разбор

Власти хотят контролировать интернет-сертификаты. За мной будут следить?

10 карточек
  • Что случилось?
  • А теперь можно, пожалуйста, по-русски?
  • Шифрование трафика — это так важно?
  • Зачем властям государственный удостоверяющий центр?
  • Такой центр может расшифровать трафик с сайтов своих клиентов?
  • Это как?
  • Центр может подменять сертификаты сайтов только своих клиентов?
  • А почему удостоверяющие центры обычно этим не промышляют?
  • Когда блокируют корневой сертификат, сайт становится недоступен для пользователей?
  • И когда в России появится государственный удостоверяющий центр?
1

Что случилось?

Администрация президента России планирует создать государственный удостоверяющий центр для выдачи SSL-сертификатов, необходимых сайтам для установления HTTPS-соединений. 

2

А теперь можно, пожалуйста, по-русски?

Это все про интернет и шифрование. Когда вы переходите по адресу, начинающемуся с https://, браузер устанавливает между вами и сайтом защищенное соединение. Это позволяет быть уверенным, что даже если кто-то (например, злоумышленники или спецслужбы) перехватит ваш трафик, то он не сможет понять, чем вы занимались на сайте: например, какие письма отправляли и какие документы скачивали. Для установления защищенного соединения сайт должен иметь SSL-сертификат — по сути, специальный документ, содержащий информацию о владельце ресурса. Такой сертификат выдает удостоверяющий центр: проверяет информацию, предоставленную владельцем сайта, и гарантирует, что он не самозванец.

3

Шифрование трафика — это так важно?

Конечно. Сложно себе представить, чтобы люди проводили в интернете банковские операции, отправляли личные письма или рабочие документы, не позаботившись о безопасности. Именно поэтому адреса многих сайтов, где пользователю нужно вводить личные данные, начинаются с https://. 

4

Зачем властям государственный удостоверяющий центр?

Власти объясняют эти меры борьбой за безопасность. Сейчас многие государственные сайты используют SSL-сертификаты, выданные иностранными компаниями. Если последние вдруг решат отозвать сертификаты, данные пользователей могут оказаться под угрозой.

5

Такой центр может расшифровать трафик с сайтов своих клиентов?

Нет. У центра нет информации, необходимой для расшифровки трафика — так называемого приватного ключа, который остается у клиента и никогда не передается третьим лицам. Но если такой удостоверяющий центр не дорожит своей репутацией или не боится быть пойманным, он может выпустить для того же сайта сертификат-двойник. Если этот второй сертификат каким-то образом попадет к спецслужбам или мошенникам (например, центр передаст его под давлением), они смогут использовать его для перехвата и расшифровки трафика.

6

Это как?

Речь идет об атаке типа «человек посередине» (man-in-the-middle attack). Злоумышленник вклинивается между пользователем и сайтом. Потом устанавливает два разных шифрованных соединения: для сайта он прикидывается пользователем, а для пользователя — сайтом. Замаскироваться ему позволяет именно второй сертификат. Теперь он участник соединения и может расшифровать весь проходящий трафик. 

7

Центр может подменять сертификаты сайтов только своих клиентов?

Нет. Теоретически пока нет никаких ограничений. Это может быть любой сайт. 

8

А почему удостоверяющие центры обычно этим не промышляют?

Предоставление сертификатов — бизнес, в котором репутация очень сильно ценится. Достаточно огласки одного подобного инцидента, чтобы твой корневой сертификат заблокировали во всех браузерах. Так, к примеру, случилось в 2015 году с китайским государственным удостоверяющим центром CNNIC, выпустившим поддельные сертификаты для сайтов Google. В ответ браузеры Google Chrome и Mozilla Firefox заблокировали у себя корневой сертификат CNNIC. 

9

Когда блокируют корневой сертификат, сайт становится недоступен для пользователей?

Нет. Но при попытке зайти на ресурс браузер предупредит вас, что шифрованию на таком сайте не стоит доверять.

10

И когда в России появится государственный удостоверяющий центр?

Если появится, то через четыре-пять лет. Во всяком случае, так оценивает сроки Алексей Платонов, генеральный директор компании «Технический центр интернет», которая, возможно, и займется созданием удостоверяющего центра.