Российские TLS-сертификаты: что нужно знать для безопасной работы
Рассказываем, чем именно российские TLS-сертификаты отличаются от зарубежных. Вспоминаем, с какими трудностями сталкиваются владельцы ресурсов. Показываем, как избавить посетителей от беспокойства и недоумения.
Сегодня редко можно встретить сайт, который не поддерживает безопасное подключение по HTTPS. Однако в последнее время все чаще попадается тревожное предупреждение о незащищенности соединения или использовании неподтвержденного TLS-сертификата.
Почему сайты переходят на российские сертификаты
Безопасность подключения HTTPS (Hyper Text Transfer Protocol Secure) обеспечивается использованием TLS (Transport Layer Security) — протокола, который защищает обмен данными по сети. Он решает несколько важных задач: проверяет подлинность ресурса, управляет сессиями, заботится о шифровании всей передаваемой информации с помощью набора современных криптографических алгоритмов.
Ключевым элементом аутентификации сервера является цифровой сертификат, или TLS-сертификат, — электронный документ, который содержит адрес ресурса, данные его владельца и закрепленный за ним открытый криптографический ключ. Достоверность заявленной информации подтверждается третьей стороной — выпустившим сертификат специальным удостоверяющим центром (Certification Authority, CA).
Технология устроена так, что одним сертификатом можно заверить другой — сформировать электронную подпись для второго сертификата с помощью закрытого ключа, связанного с первым. Поскольку открытый ключ публично доступен и позволяет выполнить проверку подписи, каждый желающий может удостовериться в подлинности связи подписанного и исходного сертификатов.
Сертификат корневого центра сертификации (Root CA, корневой), находится в самом начале цепочки доверия. Его достоверность основана не на криптографической подписи, а на репутации издателя.
Сертификат выпускающего центра сертификации (Publishing CA, публикующий, промежуточный) заверен корневым сертификатом и также позволяет подписывать другие сертификаты. Именно он применяется для подписания всех выпускаемых для конечных пользователей сертификатов без необходимости обращаться к закрытому ключу корневого центра. Такой подход повышает безопасность корневого центра и дает возможность сформировать распределенную многоуровневую систему центров сертификации.
Подробнее о шифровании, защите и аутентификации сетевых соединений вы можете прочитать в статье «Что такое SSL‑протокол».
Доверие к издателю TLS-сертификата — важное условие безопасного подключения. Наиболее известные и авторитетные центры — это Sectigo, Digicert, Globalsign, Let’s Encrypt и другие. Именно они формируют глобальную инфраструктуру открытых ключей (Public Key Infrastructure, PKI) и обеспечивают защищенность соединений по всему миру.
Начиная с середины 2022 года большинство крупнейших иностранных центров прекратили выпуск и продление сертификатов для многих государственных и коммерческих российских компаний. Часть уже выданных сертификатов для доменов в зонах .ru
и .рф
была отозвана. Владельцы ресурсов, лишившиеся возможности подтверждать безопасность соединений, начали искать альтернативу. Ей стали TLS-сертификаты, издаваемые государственным удостоверяющим центром Министерства цифрового развития, связи и массовых коммуникаций.
С технической точки зрения российские сертификаты Минцифры ничем не отличаются от зарубежных аналогов, выпускаемых мировыми центрами сертификации. И те и другие соответствуют стандартному формату X.509, поддерживают одинаковый набор криптоалгоритмов, совместимы со всеми современными устройствами и браузерами.
Что меняется для пользователей
Посетители веб-сайта с российским TLS-сертификатом — первые, кто замечает изменения. Самые распространенные браузеры — Chrome, Firefox, Safari — предупреждают пользователей каждый раз при попытке зайти на такой сайт. Предостережение говорит, что ресурс не является доверенным, его посещение небезопасно. На самом деле, причина лишь в том, что браузер не может автоматически проверить подлинность предъявленного сертификата.
Происходит это потому, что разработчики операционных систем и браузеров помещают в специальный список лишь корневые сертификаты крупнейших глобальных центров. Все изданные на их основе сертификаты публикующих центров также автоматически считаются доверенными, а сайты, которые их используют, — безопасными. Российский сертификат не устанавливается автоматически — пользователи должны его добавить самостоятельно.
Установка стороннего сертификата TLS сама по себе не способна привести к нарушению тайны переписки. Технология обмена данными остается прежней: приватные ключи, которые могут расшифровать информацию, все так же генерируются на устройстве пользователя и посещаемом ресурсе.
Будьте осторожны! На фоне перехода на отечественные сертификаты можно ожидать значительный рост количества подложных онлайн‑сервисов в российском сегменте интернета. Рассмотрим несколько угроз подробнее.
Многие пользователи вместо установки официального корневого сертификата привыкают игнорировать предупреждение безопасности и переходят на веб‑ресурсы без какой-либо проверки, которую браузер выполняет всегда по нескольким критериям. Внешний вид сайта обманчив — он покажется знакомым и не вызовет никаких подозрений. На самом же деле страница может оказаться поддельной и распространять вредоносное ПО или похищать личные данные: номера банковских карт, пароли, контактную информацию.
Другая опасность — оправданное, казалось бы, требование установить сертификат для продолжения работы с сайтом. Однако при этом ссылка приведет к получению поддельного сертификата, после чего браузер будет считать доверенными любые ресурсы злоумышленника.
Самый надежный способ не попасться на поддельный сертификат — зайти на «Госуслуги» и следовать несложным инструкциям. Поддерживаются все устройства и операционные системы.
Пользователям Mozilla Firefox потребуется дополнительное действие — импортировать уже находящиеся в системе сертификаты. Сделать это можно в настройках браузера, в разделе «Конфиденциальность и безопасность».
Чтобы обезопасить себя, следуйте простым правилам.
Скачивайте сертификаты из доверенного источника. Помните, что для работы с российскими сайтами необходима установка только двух электронных документов — от корневого (Russian Trusted Root CA) и публикующего (Russian Trusted Sub CA) центров сертификации Минцифры. Если и после их получения сайт настаивает на выполнении каких‑то действий для продолжения работы — это почти наверняка уловка злоумышленников.
Не игнорируйте предупреждения безопасности, даже если адрес и внешний вид сайта не вызывают подозрений. Браузер выполняет проверку по нескольким критериям с учетом данных о доверенных центрах сертификации.
Не разрешайте установку сертификатов посторонним. Вы не можете быть уверенными в их достаточном понимании процессов для правильных действий, не говоря уже о намерениях.
Избегайте скачивания ненужного ПО и расширений браузера. Если в процессе установки выводится запрос на принятие сертификата, будьте предельно осторожны. Появились подозрения в безопасности каких-либо операций — обратитесь за помощью к компетентному специалисту.
Что меняется для владельцев веб-сайтов
Российским сайтам необязательно обращаться именно к удостоверяющему органу в РФ. Если зарубежный аккредитованный центр исправно выдает и продлевает TLS‑сертификаты, то и нет прямой необходимости разрывать с ним отношения, особенно когда онлайн‑ресурс востребован пользователями из‑за рубежа. Однако нужно учитывать риск внезапного отзыва сертификата, что сразу сделает подключение к сайту небезопасным для пользователей.
Владельцы и администраторы доменных имен могут заказать базовый (DV) или стандартный (OV) российский TLS-сертификат на портале «Госуслуги». После их установки на веб-сервер или межсетевой экран пользователям тоже потребуется получение сертификатов Минцифры, иначе они будут наблюдать предупреждение браузера.
Для повышения уровня доверия посетителей лучше использовать стандартный сертификат (OV) — при его выдаче проводится более тщательная проверка заявителя и предоставленных им данных. Необходимо также ограничить доступ к контейнеру закрытого криптографического ключа в соответствии с руководством разработчика веб-сервера или межсетевого экрана, который используется в качестве TLS-шлюза.
Сертификация и криптография
Не требуется никаких дополнительных средств для работы с российскими TLS-сертификатами, выпущенными государственным удостоверяющим центром РФ. Все необходимые криптоалгоритмы уже встроены во все современные операционные системы и браузеры.
Существует особая категория сайтов, доступ к которым осуществляется с использованием TLS со специальными российскими криптоалгоритмами, регламентируемыми ГОСТ. В таком случае и TLS-шлюзы на стороне серверов, и криптопровайдеры на стороне клиента подлежат обязательной сертификации ФСБ.
Такие веб-сайты не являются общедоступными — они обеспечивают функционирование информационных систем государственных органов или используются для работы с персональными данными. В них часто встречается взаимная аутентификация клиента и сервера, а также другие дополнительные меры безопасности. Цифровые сертификаты при этом выпускаются специально аккредитованными подразделениями — например, центром сертификации Федеральной налоговой службы.
Заключение
Переход к использованию российских TLS-сертификатов вызван, прежде всего, действиями крупных зарубежных центров: отказом в выдаче и продлении сертификатов российским компаниям.
Для обычных пользователей интернета, которые работают в популярных браузерах вроде Chrome, Firefox или Safari, изменения покажутся наиболее чувствительными. Вместо привычных сайтов будет возникать не всем понятное предупреждение об открытии небезопасной страницы. Для кого‑то даже простые действия по скачиванию сертификатов могут стать серьезным испытанием.
Тем не менее выхода из сложившейся ситуации только два: либо самостоятельно установить на устройстве или в браузере корневые сертификаты Минцифры, либо перейти на работу с российскими браузерами, где все необходимые настройки уже выполнены. В противном случае придется терпеть неудобство и подвергаться существенному риску нарваться на мошеннические сайты.
Владельцы интернет‑ресурсов самостоятельно принимают решение о переходе на российские сертификаты. Они вынуждены учитывать аудиторию пользователей и возможность обслуживания зарубежным центром сертификации. В случае необходимости, системным администраторам не составит труда выполнить несложные действия для выпуска и добавления российских сертификатов.
На самом деле никаких особых трудностей сложившаяся ситуация не несет: технически российские TLS-сертификаты ничем не отличаются от зарубежных. Кроме однократной установки сертификата удостоверяющего центра никаких дополнительных действий не потребуется. При этом все вопросы безопасного посещения привычных ресурсов благополучно разрешатся.