12 декабря 2024

eur = 105.10 -1.20 (-1.13 %)

btc = 100 822.00$ 4 578.11 (4.76 %)

eth = 3 816.78$ 222.08 (6.18 %)

ton = 6.46$ 0.62 (10.70 %)

usd = 99.38 -0.05 (-0.05 %)

eur = 105.10 -1.20 (-1.13 %)

btc = 100 822.00$ 4 578.11 (4.76 %)

Форум

Сертификаты Минцифры для браузеров и ОС: так ли они страшны? Ещё одно мнение

4 минуты на чтение
Сертификаты Минцифры для браузеров и ОС: так ли они страшны? Ещё одно мнение

В конце сентября сайт Сбера перешёл на отечественный сертификат от Минцифры. Вскоре его примеру могут последовать и другие организации, попавшие под санкции, так как с большой долей вероятности они не смогут продлить текущие в западных удостоверяющих центрах. При этом продлевать их необходимо раз в год.

Руководитель Ассоциации участников рынка данных Иван Бегтин отнёсся к такому развитию событий с большим скепсисом, предположив, что использование государственного сертификата позволит «перехватывать трафик к HTTPS-сайтам»:

Сбер перевёл свой сайт на российский сертификат от Минцифры
Уже сейчас в браузерах без российских сертификатов всплывает предупреждение о небезопасности сайта.

После этой публикации с редакцией «Кода Дурова» связался читатель Юрий, работающий разработчиком и, по его словам, «съевший не одну собаку с этими сертификатами». Он изложил своё понимание ситуации, объяснил, почему паниковать не стоит, и рассказал, какие шаги стоит предпринять пользователям, чтобы себя обезопасить. Передаём слово Юрию.


Russian Trusted Root CA — стоп, паника!

Сами по себе корневые сертификаты Минцифры (Russian Trusted Root CA) не опасны. При обращении на https://site браузер и сервер производят ряд запросов, который называется handshake. Там они договариваются о криптографическом контексте — об используемых шифрах и методах аутентификации, а также согласовывают ключи и другие параметры сеанса связи.

Именно там сервер показывает свой корневой и промежуточные сертификаты, а браузер смотрит, доверен ли сертификат от сервера. И если такой информации не находит, то говорит, что «подключение не защищено». Это же вы видите, когда используете самоподписанные сертификаты (логика одна).

В ОС и браузеры встроено ограниченное количество корневых сертификатов, но их можно добавлять самостоятельно, и тогда сайты, подписанные этим удостоверяющим центром, будут считаться безопасными.

Если вы установите Russian Trusted Root CA от Минцифры, а сайт подписан, например, GlobalSign Root CA, то российский сертификат не запросится и не будет участвовать в шифровании трафика, а значит и ваш трафик не сможет расшифровать какое-либо третье лицо.

Проще говоря, сертификат Russian Trusted Root CA, установленный на вашем ПК или смартфоне, не «взламывает другие сайты», как и любой другой сертификат. Ведь они вызываются браузером по мере необходимости — в те моменты, когда сервер показывает свой сертификат, подписанный тем или иным удостоверяющим центром.

Но что может пойти не так?

Приведу пример, как может быть. При этом я не утверждаю и не прогнозирую, что так будет, а просто описываю потенциальный риск, который может возникнуть.

В какой-то момент сайты Google, Apple, Facebook, Twitter и другие западные ресурсы могут оказаться подписанными тем самым Russian Trusted Root CA Минцифры. И вряд ли по собственной инициативе, правда?

Скорее всего это будет означать, что началась атака Man-in-the-middle (MITM) или «человек посередине», при которой трафик расшифровывается на сервере-посреднике.

При этом браузер будет думать, что общается с сервером сайта, а сайт будет думать, что общается с браузером пользователя, однако на самом деле взаимодействие будет идти через сервер посредник, который будет распаковывать TLS-трафик и упаковывать его снова, подписывая уже своим сертификатом, а затем отдавать его клиенту.

Предположим, что будет реализован MITM на глобальном уровне и использоваться сертификат «Trusted Me Please Root CA». И вот вы его установили себе на ПК. Теперь, зайдя на Google.com вы не заметите подмену сертификатов, пока не нажмёте на замочек и не посмотрите, кем он выдан. В то же время ваш трафик может перехватить и расшифровать тот, кто организовал MITM.

При такой атаке MITM, если вы не установите «Trusted Me Please Root CA», то вы не сможете зайти на Google.com — вместо сайта вы увидите сообщение «подключение не защищено». И это должно будет вас насторожить.

Итог и советы

На самом деле вы вряд ли не заметите MITM, так как в Сети будут трубить об этом сильно и громко — как минимум потому, что у значительной части пользователей просто «отвалятся» популярные иностранные ресурсы.

Однако с точки зрения безопасности и душевного спокойствия я рекомендую следующее.

Установите «Яндекс Браузер», «Атом» и какой-либо другой отечественный браузер с вшитым Russian Trusted Root CA, чтобы заходить на сайты Сбера, Госуслуги, mos.ru и другие российские сайты, которые уже перешли или перейдут на сертификат Минцифры. Другие браузеры не будут на него «смотреть», так как в этом случае он установлен не на уровне ОС, а на уровне конкретного браузера.

Свой же любимый Chrome, Safari, Edge, Firefox или другой браузер используйте для других ресурсов. Это поможет вам не стать жертвой потенциальной MITM-атаки (а значит и не раскрыть свой трафик), так как в этом случае вы обнаружите подмену в числе первых — когда иностранные ресурсы вмиг станут «небезопасными».

Читать первым в Telegram-канале «Код Дурова»

Важные новости коротко — от GigaChat Max 
1-bg-изображение-0
img-content-1-изображение-0

GigaChat Max: коротко о главном

Как изменился Код Дурова вместе с GigaChat Max?

Узнай о всех возможностях в FAQ-статье 
70c20f70-7f12-4e9d-a022-b281d879c6f2-изображение-0905b98de-7995-4bca-b9ef-227338105e4f-изображение-14deeffce-0bb5-4b63-8a59-f0f5676c5762-изображение-2

GigaChat Max: коротко о главном

Яндекс запустил Документы со встроенной YandexGPT

Полная версия 
3e71e041-6300-43ea-85c9-90df3c814a3b-изображение-0

GigaChat Max: коротко о главном

Т-банк выпустил в открытый доступ большую языковую модель T-Pro на 32 млрд параметров

Полная версия 

Реализовано через GigaChat Max 

Сейчас читают
Карьера
Блоги 300
Газпромбанк
МТС
Т-Банк
X5 Tech
Сбер
билайн
Яндекс Практикум
Ozon Tech
Циан
Банк 131