Власти хотят контролировать интернет-сертификаты. За мной будут следить?
Что случилось?
Администрация президента России планирует создать государственный удостоверяющий центр для выдачи SSL-сертификатов, необходимых сайтам для установления HTTPS-соединений.
А теперь можно, пожалуйста, по-русски?
Это все про интернет и шифрование. Когда вы переходите по адресу, начинающемуся с https://, браузер устанавливает между вами и сайтом защищенное соединение. Это позволяет быть уверенным, что даже если кто-то (например, злоумышленники или спецслужбы) перехватит ваш трафик, то он не сможет понять, чем вы занимались на сайте: например, какие письма отправляли и какие документы скачивали. Для установления защищенного соединения сайт должен иметь SSL-сертификат — по сути, специальный документ, содержащий информацию о владельце ресурса. Такой сертификат выдает удостоверяющий центр: проверяет информацию, предоставленную владельцем сайта, и гарантирует, что он не самозванец.
Шифрование трафика — это так важно?
Конечно. Сложно себе представить, чтобы люди проводили в интернете банковские операции, отправляли личные письма или рабочие документы, не позаботившись о безопасности. Именно поэтому адреса многих сайтов, где пользователю нужно вводить личные данные, начинаются с https://.
Зачем властям государственный удостоверяющий центр?
Власти объясняют эти меры борьбой за безопасность. Сейчас многие государственные сайты используют SSL-сертификаты, выданные иностранными компаниями. Если последние вдруг решат отозвать сертификаты, данные пользователей могут оказаться под угрозой.
Такой центр может расшифровать трафик с сайтов своих клиентов?
Нет. У центра нет информации, необходимой для расшифровки трафика — так называемого приватного ключа, который остается у клиента и никогда не передается третьим лицам. Но если такой удостоверяющий центр не дорожит своей репутацией или не боится быть пойманным, он может выпустить для того же сайта сертификат-двойник. Если этот второй сертификат каким-то образом попадет к спецслужбам или мошенникам (например, центр передаст его под давлением), они смогут использовать его для перехвата и расшифровки трафика.
Это как?
Речь идет об атаке типа «человек посередине» (man-in-the-middle attack). Злоумышленник вклинивается между пользователем и сайтом. Потом устанавливает два разных шифрованных соединения: для сайта он прикидывается пользователем, а для пользователя — сайтом. Замаскироваться ему позволяет именно второй сертификат. Теперь он участник соединения и может расшифровать весь проходящий трафик.
Центр может подменять сертификаты сайтов только своих клиентов?
Нет. Теоретически пока нет никаких ограничений. Это может быть любой сайт.
А почему удостоверяющие центры обычно этим не промышляют?
Предоставление сертификатов — бизнес, в котором репутация очень сильно ценится. Достаточно огласки одного подобного инцидента, чтобы твой корневой сертификат заблокировали во всех браузерах. Так, к примеру, случилось в 2015 году с китайским государственным удостоверяющим центром CNNIC, выпустившим поддельные сертификаты для сайтов Google. В ответ браузеры Google Chrome и Mozilla Firefox заблокировали у себя корневой сертификат CNNIC.
Когда блокируют корневой сертификат, сайт становится недоступен для пользователей?
Нет. Но при попытке зайти на ресурс браузер предупредит вас, что шифрованию на таком сайте не стоит доверять.
И когда в России появится государственный удостоверяющий центр?
Если появится, то через четыре-пять лет. Во всяком случае, так оценивает сроки Алексей Платонов, генеральный директор компании «Технический центр интернет», которая, возможно, и займется созданием удостоверяющего центра.
«Медуза» — это вы! Уже три года мы работаем благодаря вам, и только для вас. Помогите нам прожить вместе с вами 2025 год!
Если вы находитесь не в России, оформите ежемесячный донат — а мы сделаем все, чтобы миллионы людей получали наши новости. Мы верим, что независимая информация помогает принимать правильные решения даже в самых сложных жизненных обстоятельствах. Берегите себя!