Сертификаты Минцифры для браузеров и ОС: так ли они страшны? Ещё одно мнение
В конце сентября сайт Сбера перешёл на отечественный сертификат от Минцифры. Вскоре его примеру могут последовать и другие организации, попавшие под санкции, так как с большой долей вероятности они не смогут продлить текущие в западных удостоверяющих центрах. При этом продлевать их необходимо раз в год.
Руководитель Ассоциации участников рынка данных Иван Бегтин отнёсся к такому развитию событий с большим скепсисом, предположив, что использование государственного сертификата позволит «перехватывать трафик к HTTPS-сайтам»:
После этой публикации с редакцией «Кода Дурова» связался читатель Юрий, работающий разработчиком и, по его словам, «съевший не одну собаку с этими сертификатами». Он изложил своё понимание ситуации, объяснил, почему паниковать не стоит, и рассказал, какие шаги стоит предпринять пользователям, чтобы себя обезопасить. Передаём слово Юрию.
Russian Trusted Root CA — стоп, паника!
Сами по себе корневые сертификаты Минцифры (Russian Trusted Root CA) не опасны. При обращении на https://site браузер и сервер производят ряд запросов, который называется handshake. Там они договариваются о криптографическом контексте — об используемых шифрах и методах аутентификации, а также согласовывают ключи и другие параметры сеанса связи.
Именно там сервер показывает свой корневой и промежуточные сертификаты, а браузер смотрит, доверен ли сертификат от сервера. И если такой информации не находит, то говорит, что «подключение не защищено». Это же вы видите, когда используете самоподписанные сертификаты (логика одна).
В ОС и браузеры встроено ограниченное количество корневых сертификатов, но их можно добавлять самостоятельно, и тогда сайты, подписанные этим удостоверяющим центром, будут считаться безопасными.
Если вы установите Russian Trusted Root CA от Минцифры, а сайт подписан, например, GlobalSign Root CA, то российский сертификат не запросится и не будет участвовать в шифровании трафика, а значит и ваш трафик не сможет расшифровать какое-либо третье лицо.
Проще говоря, сертификат Russian Trusted Root CA, установленный на вашем ПК или смартфоне, не «взламывает другие сайты», как и любой другой сертификат. Ведь они вызываются браузером по мере необходимости — в те моменты, когда сервер показывает свой сертификат, подписанный тем или иным удостоверяющим центром.
Но что может пойти не так?
Приведу пример, как может быть. При этом я не утверждаю и не прогнозирую, что так будет, а просто описываю потенциальный риск, который может возникнуть.
В какой-то момент сайты Google, Apple, Facebook, Twitter и другие западные ресурсы могут оказаться подписанными тем самым Russian Trusted Root CA Минцифры. И вряд ли по собственной инициативе, правда?
Скорее всего это будет означать, что началась атака Man-in-the-middle (MITM) или «человек посередине», при которой трафик расшифровывается на сервере-посреднике.
При этом браузер будет думать, что общается с сервером сайта, а сайт будет думать, что общается с браузером пользователя, однако на самом деле взаимодействие будет идти через сервер посредник, который будет распаковывать TLS-трафик и упаковывать его снова, подписывая уже своим сертификатом, а затем отдавать его клиенту.
Предположим, что будет реализован MITM на глобальном уровне и использоваться сертификат «Trusted Me Please Root CA». И вот вы его установили себе на ПК. Теперь, зайдя на Google.com вы не заметите подмену сертификатов, пока не нажмёте на замочек и не посмотрите, кем он выдан. В то же время ваш трафик может перехватить и расшифровать тот, кто организовал MITM.
При такой атаке MITM, если вы не установите «Trusted Me Please Root CA», то вы не сможете зайти на Google.com — вместо сайта вы увидите сообщение «подключение не защищено». И это должно будет вас насторожить.
Итог и советы
На самом деле вы вряд ли не заметите MITM, так как в Сети будут трубить об этом сильно и громко — как минимум потому, что у значительной части пользователей просто «отвалятся» популярные иностранные ресурсы.
Однако с точки зрения безопасности и душевного спокойствия я рекомендую следующее.
Установите «Яндекс Браузер», «Атом» и какой-либо другой отечественный браузер с вшитым Russian Trusted Root CA, чтобы заходить на сайты Сбера, Госуслуги, mos.ru и другие российские сайты, которые уже перешли или перейдут на сертификат Минцифры. Другие браузеры не будут на него «смотреть», так как в этом случае он установлен не на уровне ОС, а на уровне конкретного браузера.
Свой же любимый Chrome, Safari, Edge, Firefox или другой браузер используйте для других ресурсов. Это поможет вам не стать жертвой потенциальной MITM-атаки (а значит и не раскрыть свой трафик), так как в этом случае вы обнаружите подмену в числе первых — когда иностранные ресурсы вмиг станут «небезопасными».
Читать первым в Telegram-канале «Код Дурова»