«Коммерсантъ»: Власти России создадут собственный центр выдачи SSL-сертификатов Материал редакции
В администрации президента (АП) России идёт работа по созданию государственного удостоверяющего центра (УЦ) для выдачи SSL-сертификатов, предназначенных для шифрования данных и идентификации сайта при установлении защищенного https-соединения. Об этом сообщает «Коммерсантъ» со ссылкой на источники в Минкомсвязи, АП и главу одной из российских ИТ-компаний.
Собеседники издания в правительстве утверждают, что идею создания отечественного УЦ пропагандирует компания «Крипто-Про», которую они называют «тесно связанной с ФСБ». Коммерческий директор компании Юрий Маслов эту связь отрицает, но признаёт, что «около трети штата сотрудников "Крипто-Про" действительно являются бывшими сотрудникам ФСБ».Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете.
— источник «Коммерсанта», близкий к АП
Он уточнил, что компания не обращалась в госструктуры с таким предложением, но консультировала чиновников по данному вопросу.
«Для обеспечения безопасности и защиты от сбора информации необходимо не только создать российский УЦ и добавить его в "доверенные" во все ОС и браузеры, но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования», — заявил Маслов.
По данным «Коммерсанта», в качестве площадки для создания УЦ рассматривается Технический центр интернет (ТЦИ), совладельцами которого являются Координационный центр национального домена сети интернет и Фонд развития сети интернет. Гендиректор ТЦИ Алексей Платонов заявил, что «официальных переговоров с госорганами ТЦИ на эту тему не проводил».
По его оценке, на создание УЦ с добавлением поддержки основных браузеров и операционных систем потребуется около пяти лет и 200-300 млн рублей. Источник «Коммерсанта», близкий к АП, заявил, что если компании-разработчики ОС и браузеров не согласятся на предустановку российского сертификата, то этот вопрос будет решаться «мерами законодательного регулирования».
По данным компании Reg.Ru, которая занимается продажей SSL-сертификатов мировых УЦ в России, в 2015 году число используемых SSL-сертификатов в доменной зоне .ru составило 124,5 тысячи. По подсчётам «Коммерсанта», средний объём продажи SSL-сертификатов в России ежегодно составляет около 6,2 млрд рублей.
В России есть УЦ, которые выдают собственные SSL-сертификаты, но они не предустановлены в ОС и браузерах, пишет «Коммерсантъ». При заходе на сайт с таким сертификатом пользователи получают уведомление о небезопасном соединении до тех пор, пока самостоятельно не добавят эти УЦ в «коренные доверенные центры сертификации» на своём компьютере, поясняет издание.
Блоги компаний
Taras Halturin
Объясните мне, откуда столько хейтерсва на вполне понятную и позитивную активность? Каковы причины зуда и попаболи от желания государства обеспечить безопастность работы своих служб? PS: мантру про "опять все попилят" давайте оставим в стороне ибо это не конструктивно.
Taras Halturin
Taras...да, и вместе с тем, вполне спокойно живете с зондами от западных спецслужб через майкрософт и эппл, при этом нет в сети плача на сей счет.
Revertron
TarasПросто западным спецслужбам больше доверия, чем местным.
А с помощью своего сертификата, установленного в ваш браузер (или систему), они смогут читать весь ваш трафик. Вам это надо?
Taras Halturin
Revertr…Просто западным спецслужбам больше доверия, чем местным.
аргументище )))))
Pavel Osadchuk
TarasБыл знаком как то с товарищем который утверждал что во всех процессорах закладки, которые отправляют все в иностранные спецслужбы.
Всегда смеюсь над тем что люди придумывают из-за непонимания как технологии работают
Taras Halturin
PavelПавел, на счет закладок. Эта статья мне попалась на глаза оч давно. не знаю, насколько правдива история, но выглядит весьма убедительно. Спросил у гугла и удалось ее найти вот тут xakep.ru/2011/12/26/58104/
Если есть тут люди, профессионально владеющие темой, дайте знать ваше мнение.
Серёга Протонов
Tarasну вот америку пусть американце обсирают, а мы тут будем россию
Aleksandr Sorokin
Я так понимаю, что техническая сторона вопроса заключается в использовании гос-вом выданных сертификатов для доступа к закрытым соединениям пользователей. Ну и плюс бюджетик попилить как обычно?
Иван Анатольев
AleksandrЕщё в первое время создать кучу проблем с таким сертификатами в альтернативных ОС и браузерах.
Илья Гераськин
ИванЕсли он будет легальный, то промежуточные сертификаты никто не отменял
Злой Полушубок
ИльяОн должен быть именно корневым, иначе это будет то же самое что и сейчас. Так что никаких промежуточных сертификатов.
Илья Гераськин
ЗлойЧто же самое, что и сейчас? Сейчас у них нет никаких ключей, а если будет даже не корневой, то ключ всё равно будет.
Злой Полушубок
ИльяНе корневой сертификат может быть отозван тем кто его выдал. О чем они и говорят: "Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете."
Vladislav Kharchev
Давно пора было это сделать! Ведь продажа SSL сертификатов это фактически продажа воздуха. На ней например 1 ярд баксов поднял Mark Shuttleworth - первый космический турист.
Если 6 ярдов рублей каждый год будут оставаться в стране - это прекрасно. Это вроде как стоимость пары станций метро в провинции.
Ну а если всякие msft & AAPL не будут вставлять сертификаты этого госцентра в свои браузеры - им же хуже, просто всем пользующимся госуслугами будут рекомендовать Яндекс.Браузер.
slugge
VladislavЯ не думаю что отечественный центр поднимет на этом хотя бы $100
Revertron
Надо озадачиться расширением к браузеру, или чем-то подобным, что будет проверять какие домены подписаны этим российским УЦ, чтобы не допустить MITM других сайтов.
Сергей Достовалов
Треть сотрудников бывшие ФСБшники? Они там чем в КП занимаются, программируют или криптоанализ через паяльник делают? Лучше бы софт свой привели в человеческий вид и техподдержку наладили, а то пользоваться невозможно!
Комментарий удален
Комментарий удален
Комментарий удален
Комментарий удален
Комментарий удален
Aleksandr Noch
Бывших чекистов не бывает ))
ave ego
Если сайт работает в россии, он должен использовать российский HTTPS, иначе он будет заблокирован. Ближайшее будущее.
Мальчик Умный
2021 год - по всему миру начинаются продажи электрокаров, альтернативные источники энергии все больше и больше используются (Греф так говорит), в промышленности укрепляются 3д принтеры и умные материалы, Россия выпускает свой SSL-сертификат.
@aivanov
Следующим шагом заставят все почтовые и коммуникационные сервисы на территории РФ использовать сертификаты этого центра, а через год - приобрести оборудование для удобной организации MITM-атак и за свой счет предоставить ФСБ доступ к нему. Смекалочка!
Sergey Kh
Пять, сука, лет?
Виталий Смирнов
Лучше поздно, чем никогда.
Зинаида Фролова
Недавно купила мужу препарат, который посоветовала знакомая, так была в шоке от результата: наш секс стал в разы дольше и ярче (как в начале отношений), стояк крепче, оргазмы стали намного ярче и ощутимее. О этом уже в журналах пишут, вот --- https://surfe.be/4Mm
Mike Kosulin
Зинаидасертификат российский купи, чтобы всё безопасно ходило.
Denis Zykov
Господа, хватит истерить. MiTM атаку нельзя устроить даже если ты УЦ, т.к. для этого требуется приватный ключ от сертификата, который НИКОГДА не посылается в УЦ для создания(подписи) сертификата. Плюс, что бы такой УЦ внесли в список доверенных он должен присоедениться к certificate transparency initiative, а это уже не позволяет выписывать сертификаты левым доменам.
Злой Полушубок
DenisЕсли ты владеешь корневым сертификатом, можно даже не корневым, но с правом подписи на любой домен. То ты просто генерируешь фейковый сертификат на нужный домен и используешь его для MiTM.
Прецеденты уже были. В Китае у которого есть свои корневые сертификаты спалились на подделке Гугловых сертификатов https://habrahabr.ru/company/infopulse/blog/255251/.
Denis Zykov
ЗлойЯ и писал про Certificate Transparency Initiative, которая не дает выписать левый сертификат на домен. А без него не все браузеры будут а) добавлять такой УЦ к себе б) считать его сертификаты доверенными.
Ниже уже писали, что это придумано для зарабатывания 100500 денег, а не для контроля.
Злой Полушубок
Denis1. CTI никак не препятствует созданию поддельных сертификатов. А только позволяет постфактум это обнаружить.
2. Это пока экспериментальный RFC который поддерживается только хромом.
Что касается обнаружения, это не такая уж и большая проблема. Во первых это произойдет не сразу, а значит целевая атака к тому моменту будет уже завершена. Во вторых подделывать будет не с помощью корневого сертификата, а какой нибудь подставной фирмой (как в примере выше), забанят ее создадут новую. Опять же центры по сбору логов можно и забанить. Это защитит от полного прослушивания трафика, но не точечных атак.
Denis Zykov
ЗлойДа, от атаки это не защищает, но после первой же атаки через УЦ, он перестает быть доверенным и всё. Нельзя абузить систему которая строится на доверии. Если бы разработчики и все участники это PKI находились в России, то можно было бы говорить о "глобальной прослушке" и "хитрых точечных операциях". А так один косяк и прощай доверие.
Злой Полушубок
DenisПросто почитайте историю по ссылке. CNNIC (China Internet Network Information Center — административное агентство, управляющее доменом cn и подконтрольное Министерству Информатизации Китая) выдал сертификат некой MCS Holdings, которая и спалились на MiTM атаке. В результате сертификат MCS отозвали, а CNNIC до сих пор живее всех живых. Можете открыть свой хранилище сертификатов своего браузера и убедится, что CNNIC все еще там и выкинуть его нельзя, потому что половина китайнета перестанет работать.
Denis Zykov
ЗлойНу это не противоречит тому что я говорю, раз попробовали и всё. Если бы CNNIC продолжали темные дела, то их бы выкинули из корневых.
offtopic: создается впечатление что на vc.ru полно "ботов" или школьников или ботов-школьников, которые не думая минусят/плюсят всё подряд.
Злой Полушубок
DenisПопались они на том, что у хрома корневой сертификат гугла зашит в код браузера и жестко привязан к своим доменам. Так что не известно, больше не пробовали или просто были осторожнее и не попадались.
Что касается атаки на CTI, тут самое уязвимое звено логи - их адреса известны, они централизованы. Так что их можно легко забанить и браузер не сможет отослать репорт про поддельный сертификат.
Евгений Граков
DenisУчи матан
Denis Zykov
ЕвгенийУчись читать.
Pavel A Pushkarev
Отличная идея, но почему пять лет? Технологии так быстро меняются, что через пять лет SSL может заменить новая технология ;-)
Может пять таки месяцев?
Птиц
PavelЗа 5 месяцев 300млн не освоишь, а за 5 лет - вполне.
Михаил Петров
Если SSL сертификаты будут выдаваться бесплатно для владельцев сайта, я не вижу тут ничего плохого, а в таком случае даже закрою глаза про «тесно связана с ФСБ»
Сергей Иванов
МихаилКто же их будет выдавать бесплатно. :)
Михаил Петров
СергейКрипто-ПРО
Nikolay Panov
С появлением letsencrypt рынок дорогих сертификатов несколько подсдувается. Особенно в РФ.
Целью инициативы, разумеется, является более dpi чем мы имеем сейчас в связи с широким распространением https.
slugge
Чтобы использовать их сертификаты, надо быть очень смелым человеком
hakhagmon
На проект потребуется около пяти лет и порядка 300 млн рублей
все нормально, просто роспил, а потом как с тором скажут что не смогли
Мальчик Умный
hakhagmonЗато они попытались!
Николай Емашев
Дело-то хорошее, но зная как наши чиновники к нему подходят - становится грустно.
>>>"в правительстве утверждают, что идею создания отечественного УЦ пропагандирует компания Крипто-Про"....
>>если компании-разработчики ОС и браузеров не согласятся на предустановку российского сертификата, то этот вопрос будет решаться «мерами законодательного регулирования»...
А потом запретят другие средства шифрования, привяжут это к криптопро и для настройки https нужен будет этот самый криптопро. А вот только благодаря ФСБ эта штука не поддерживает PKCS#12, так как закрытые ключи должны находиться на съемных носителях.
Илья Гераськин
Я почему-то думал, что у нас есть свой УЦ. Если они сделают его передоверенным через зарубежный УЦ, то будет же работать нормально, не?
Евгений Архангельский
Нездоровый интерес к тотальному контролю за интернетом в последнее время у государства. Сделать проще им свою сеть и закрыть железным занавесом весь интернет. Культ личности и Сталина обратно :))))