Сертификаты Минцифры для браузеров и ОС: так ли они страшны? Ещё одно мнение

В конце сентября сайт Сбера перешёл на отечественный сертификат от Минцифры. Вскоре его примеру могут последовать и другие организации, попавшие под санкции, так как с большой долей вероятности они не смогут продлить текущие в западных удостоверяющих центрах. При этом продлевать их необходимо раз в год.

Руководитель Ассоциации участников рынка данных Иван Бегтин отнёсся к такому развитию событий с большим скепсисом, предположив, что использование государственного сертификата позволит «перехватывать трафик к HTTPS-сайтам»:

После этой публикации с редакцией «Кода Дурова» связался читатель Юрий, работающий разработчиком и, по его словам, «съевший не одну собаку с этими сертификатами». Он изложил своё понимание ситуации, объяснил, почему паниковать не стоит, и рассказал, какие шаги стоит предпринять пользователям, чтобы себя обезопасить. Передаём слово Юрию.

Russian Trusted Root CA — стоп, паника!

Сами по себе корневые сертификаты Минцифры (Russian Trusted Root CA) не опасны. При обращении на https://site браузер и сервер производят ряд запросов, который называется handshake. Там они договариваются о криптографическом контексте — об используемых шифрах и методах аутентификации, а также согласовывают ключи и другие параметры сеанса связи.

Именно там сервер показывает свой корневой и промежуточные сертификаты, а браузер смотрит, доверен ли сертификат от сервера. И если такой информации не находит, то говорит, что «подключение не защищено». Это же вы видите, когда используете самоподписанные сертификаты (логика одна).

В ОС и браузеры встроено ограниченное количество корневых сертификатов, но их можно добавлять самостоятельно, и тогда сайты, подписанные этим удостоверяющим центром, будут считаться безопасными.

Если вы установите Russian Trusted Root CA от Минцифры, а сайт подписан, например, GlobalSign Root CA, то российский сертификат не запросится и не будет участвовать в шифровании трафика, а значит и ваш трафик не сможет расшифровать какое-либо третье лицо.

Проще говоря, сертификат Russian Trusted Root CA, установленный на вашем ПК или смартфоне, не «взламывает другие сайты», как и любой другой сертификат. Ведь они вызываются браузером по мере необходимости — в те моменты, когда сервер показывает свой сертификат, подписанный тем или иным удостоверяющим центром.

Но что может пойти не так?

Приведу пример, как может быть. При этом я не утверждаю и не прогнозирую, что так будет, а просто описываю потенциальный риск, который может возникнуть.

В какой-то момент сайты Google, Apple, Facebook, Twitter и другие западные ресурсы могут оказаться подписанными тем самым Russian Trusted Root CA Минцифры. И вряд ли по собственной инициативе, правда?

Скорее всего это будет означать, что началась атака Man-in-the-middle (MITM) или «человек посередине», при которой трафик расшифровывается на сервере-посреднике.

При этом браузер будет думать, что общается с сервером сайта, а сайт будет думать, что общается с браузером пользователя, однако на самом деле взаимодействие будет идти через сервер посредник, который будет распаковывать TLS-трафик и упаковывать его снова, подписывая уже своим сертификатом, а затем отдавать его клиенту.

Предположим, что будет реализован MITM на глобальном уровне и использоваться сертификат «Trusted Me Please Root CA». И вот вы его установили себе на ПК. Теперь, зайдя на Google.com вы не заметите подмену сертификатов, пока не нажмёте на замочек и не посмотрите, кем он выдан. В то же время ваш трафик может перехватить и расшифровать тот, кто организовал MITM.

При такой атаке MITM, если вы не установите «Trusted Me Please Root CA», то вы не сможете зайти на Google.com — вместо сайта вы увидите сообщение «подключение не защищено». И это должно будет вас насторожить.

Итог и советы

На самом деле вы вряд ли не заметите MITM, так как в Сети будут трубить об этом сильно и громко — как минимум потому, что у значительной части пользователей просто «отвалятся» популярные иностранные ресурсы.

Однако с точки зрения безопасности и душевного спокойствия я рекомендую следующее.

Установите «Яндекс Браузер», «Атом» и какой-либо другой отечественный браузер с вшитым Russian Trusted Root CA, чтобы заходить на сайты Сбера, Госуслуги, mos.ru и другие российские сайты, которые уже перешли или перейдут на сертификат Минцифры. Другие браузеры не будут на него «смотреть», так как в этом случае он установлен не на уровне ОС, а на уровне конкретного браузера.

Свой же любимый Chrome, Safari, Edge, Firefox или другой браузер используйте для других ресурсов. Это поможет вам не стать жертвой потенциальной MITM-атаки (а значит и не раскрыть свой трафик), так как в этом случае вы обнаружите подмену в числе первых — когда иностранные ресурсы вмиг станут «небезопасными».