В интернет по ГОСТу: как пользователю подключаться к сайту по ГОСТовым протоколам шифрования

Протокол TLS, пришедший на смену протоколу SSL — один из кубиков в построении защиты данных в глобальном интернете. Шифрование информации, которая передается между веб-ресурсами и устройствами пользователей, а также подтверждение подлинности веб-ресурса основаны на работе этих протоколов. Использование https-соединения — оно защищает информацию по протоколу TLS/SSL — вместо http, в котором никакой защиты нет, стало мировым трендом. Браузеры помечают сайты, не поддерживающие https, как небезопасные, а поисковики ранжируют их ниже в своей выдаче.

В 2022 году зарубежные центры сертификации стали отзывать TLS-сертификаты сайтов российских компаний. И вопрос безопасного доступа в Рунете оказался под большим вопросом. Почему так произошло и что делать пользователям дальше, расскажем в этой статье.

Массовый сегмент интернета один для всех — не даром это всемирная паутина. TLS-сертификаты долгие годы были универсальным инструментом, который позволял проверить, что браузер связывается с запрашиваемым сайтом, а не с подменным. Полномочия по выдаче сертификатов возложены на специальные центры сертификации. Последних в мире не так много, и до недавнего времени в России не было ни одного. У каждого центра есть собственный корневой сертификат, с помощью которого можно проверить сертификат, выданный сайту. Для этого корневые сертификаты центров должны быть встроены в ПО на устройстве, например, в браузер. Как выглядит весь процесс, видно на картинке.

Система работала до 2022 года, пока зарубежные центры не начали отзывать сертификаты российских сайтов. В этот момент выяснилось, что компенсирующих мер, по сути, нет. Во-первых, в России не было собственных центров. Во-вторых, большинство операционных систем и браузеров зарубежные, и в них уже зашиты корневые сертификаты зарубежных центров. Добавить к ним российские в современных условиях весьма затруднительно.

Тогда Минцифры России оперативно создало Национальный Удостоверяющий Центр (НУЦ), который обеспечил выпуск TLS-сертификатов для сайтов с применением зарубежных (а в ближайшей перспективе и российских) криптографических алгоритмов. В то же время легитимный статус НУЦ не признается мировым сообществом — его сертификат не считается доверенным. Поэтому он не встроен в зарубежные операционные системы и браузеры, и пользователям нужно устанавливать его дополнительно. В противном случае вы увидите это:

В российских браузерах, например, в Яндекс Браузере, Atom или Луне, отечественный сертификат добавлен по умолчанию.

Создание российского центра сертификации действительно помогло остановить массовый отзыв зарубежных сертификатов безопасности. С другой стороны, российские сертификаты особой популярностью пока не пользуются — слишком мало сайтов получили сертификат НУЦ.

Итак, курс на независимую инфраструктуру как с зарубежными алгоритмами, так и с отечественными уже взят. Однако использование российских ГОСТ сложнее в реализации для обычного пользователя. Как обучить свое устройство ГОСТу, расскажу ниже.

Чтобы ваш компьютер или телефон смог «договориться» с сайтом, получившим гостовый TLS‑сертификат, в него требуется установить специальное программное обеспечение, у которого есть два варианта реализации.

Первый — это криптопровайдер, например, КриптоПро CSP. Он реализует ГОСТ-криптографию и позволяет другим приложениям, в том числе и браузеру, использовать ее в своей работе. Сертификат российского центра сертификации уже зашит в этот программный комплекс.

Второй вариант — специальный клиент, который обеспечивает построение защищенного соединения по ГОСТ-алгоритмам, пропуская через себя трафик. Клиент может также иметь и другие функции — работу с электронной подписью и проверку защищенности рабочего места пользователя. Например, это ViPNet PKI Client, ZTNA Client.

Какой вариант выбрать? Это зависит от вашего браузера, операционной системы, предпочтений, платить ли за софт или использовать бесплатный вариант.

Если вы пользуетесь этими браузерами, то вам подойдет вариант с криптопровайдером. После его загрузки на компьютер, нужно будет сделать пару простых манипуляций непосредственно в браузере.

В преддверии выборов — как мы помним, голосовать можно было дистанционно — на портале Госуслуг появились следующие комплекты для реализации шифрования:

Для пользователей Windows и Яндекс.Браузера процесс установки довольно простой, справится обычный пользователь. Надо просто поставить галочку и разрешить использовать шифрование по ГОСТ. Для Linux процесс выглядит чуть сложнее, но и пользователи обычно более квалифицированные.

Chromium-Gost может использоваться, например, на устройствах c macOS. Windows и Linux также поддерживаются. Требуется установка и Chromium-Gost, и КриптоПро CSP.

Пользователи этих браузеров могут выбрать и второй вариант, то есть клиента. Манипуляций с настройками браузера не потребуется, но настройка самого клиента потребует больше сил. Каких именно, расскажу далее.

Многие из нас все‑таки пользуются популярными зарубежными браузерами Chrome, Safari, Opera и т.д. В них опций для настройки криптопровайдера нет. Но пользователи к ним привыкли и устанавливать дополнительный браузер ради поддержки ГОСТа не готовы. Решение в такой ситуации — установка клиента с поддержкой ГОСТ-алгоритмов. По сути, это локальный прокси, который работает для определенных сайтов.

По такой логике работает ViPNet PKI Client с модулем TLS Unit и Континент ZTNA Клиент. Из нюансов: модуль TLS Unit для ViPNet PKI Client платный.

Клиенты поддерживают большинство популярных ОС — Windows, Linux, Android, MacOS, iOS. Как мы говорили выше, установка и настройка клиента сложнее, чем аналогичные действия с криптопровайдером. Может потребоваться ручная загрузка сертификатов и указание доменов сайтов, на которые нужно подключаться по ГОСТу. Зато получаем возможность работы с любимым браузером.

С мобильными устройствами тоже есть свои сложности. У большинства мобильных браузеров, даже Яндекс.Браузера нет возможности использовать криптопровайдер. Исключение — Chromium-Gost, но только для Android. Здесь на помощь придет клиент – все по аналогии с десктопным браузером.

Также в отдельные мобильные приложения могут быть встроены российские алгоритмы. Например, можно сделать специальный браузер с поддержкой ГОСТ-алгоритмов (бесплатная бизнес-идея).

Особняком стоит ОС Аврора, которая доступна для бизнеса и госструктур как проектное решение, ГОСТ-криптография там изначально на борту.

Подключение к сайтам, которые используют для https только российскую инфраструктуру, требует от пользователя дополнительных действий. При использовании сайтом сертификата НУЦ с зарубежными алгоритмами, действия минимальны — нужно установить корневые сертификаты на своё устройство.

Если речь идет о российских криптоалгоритмах, то потребуется установка дополнительного ПО, реализующего ГОСТ.

Все возможные варианты для наглядности в одной таблице.