Безопасное соединение
До недавнего времени владельцы российских веб-ресурсов — сайтов в домене .ru — без проблем получали и продлевали сертификаты в зарубежных удостоверяющих центрах. Однако в начале марта в связи с усилением наложенных на Россию санкций некоторые иностранные центры сертификации начали массово отзывать сертификаты безопасности у сайтов крупных российских компаний, в том числе финансового сектора, и отказывать в выдаче новых. Так, например, американский провайдер DigiCert отозвал сертификат у Центробанка, а южноамериканский Thawte — у ВТБ. Таким образом, из-за санкционного давления принимать подобные меры стали не только игроки рынка США. Вскоре появилась информация, что с Рунетом отказались работать, помимо упомянутых выше, такие удостоверяющие центры, как GeoTrust, Sectigo (Comodo) и Rapid. Между тем TLS-сертификаты используются для бесперебойной работы сайтов во всем мире, поэтому их наличие критически важно.
TLS-сертификат (Transport Layer Security) — это цифровая подпись, то есть набор правил, обеспечивающих работу криптографического протокола HTTPS (HyperText Transfer Protocol Secure). Он необходим интернет-пользователям для безопасного доступа к веб-ресурсам. Данные, которыми обмениваются клиентское устройство и сервер, где расположен соответствующий веб-сайт, подвергаются шифрованию. Благодаря этому эти данные не могут быть перехвачены извне: например, со стороны интернет-провайдера или администратора локальной сети Wi-Fi.
Таким образом, сайты, использующие HTTPS-протокол, считаются доверенными, а информация, которую пользователь передает этому ресурсу, скрыта от чужих глаз механизмом шифрования. Такие сайты — в сравнении с теми, что используют протокол незащищенного обмена данными HTTP, — легко узнать по букве «S» в URL-адресе сайта и изображению замка в адресной строке браузера.
«Большинство пользователей зачастую даже не замечают, что пользуются TLS-сертификатами, — комментирует Игорь Ходюков, директор департамента информационной безопасности и специальных проектов компании МТС. — Сертификаты распространяются максимально незаметно, они предустанавливаются вместе с операционной системой, браузерами и другим ПО».
Интернет-браузеры блокируют пользователям доступ к ним, предупреждая о том, что сертификат недействителен, а соединение недостоверное. Для посещения такого сайта пользователю чаще всего предлагается совершить дополнительные специальные действия: «все равно перейти» — предполагается, что таким образом он принимает все риски на себя.
Минцифры России отреагировало на эту проблему оперативно: был создан Национальный удостоверяющий центр (НУЦ) Минцифры, приняты нормативно-правовые акты, регулирующие его работу. Выдача российских сертификатов безопасности отечественным компаниям — владельцам веб-ресурсов и пользователям — частным лицам запущена на портале «Госуслуги». В ведомстве прогнозируют, что совсем скоро российские TLS-сертификаты будут внедрены на большинстве ресурсов домена .ru. Одним из первых в стране перевод своих онлайн-сервисов на отечественные TLS-сертификаты начал «Сбер».
Российский сертификат: что это значит для пользователей?
Не только владельцам сайта в Рунете, но и обычным интернет-пользователям нужно готовиться к изменениям. Российские сертификаты безопасности должны поддерживаться обоюдно: не только веб-ресурсом, но и клиентским устройством, с которого осуществляется доступ в сеть. Например, даже из России невозможно попасть на сайт, защищенный российским TLS-сертификатом, через браузеры Opera, Chrome, Safari и другие.
Что делать? Чтобы продолжать безопасный интернет-серфинг, пользоваться банковскими услугами онлайн, заходить в «Личный кабинет» оператора связи и т. д., гражданам необходимо бесплатно скачать корневой сертификат Минцифры на сайте «Госуслуги» (там есть инструкции по установке сертификата на устройства под Windows, Android, iOS и MacOS) или использовать браузеры, поддерживающие сертификаты Минцифры.
Рекомендации для доступа к сайтам с российскими сертификатами аналогичны как для проживающих в России, так и для зарубежных пользователей. Важно знать, что, устанавливая на свое устройство сертификат безопасности Минцифры, клиент не лишается уже установленных глобальных сертификатов и сможет без проблем заходить на зарубежные интернет-ресурсы.
«Чтобы избежать проблем с доступом к сайтам, использующим российские сертификаты, проще использовать российские браузеры, например «Атом» или «Яндекс.Браузер». В других браузерах придется установить корневой сертификат, инструкции для пользователей сейчас широко доступны в интернете», — добавляет Игорь Ходюков.
«Сбер»: первый опыт использования российских TLS
26 сентября «Сбер» сообщил, что начал переводить на российские TLS-сертификаты свои сайты, рабочие ресурсы и системы, в том числе главный сайт sberbank.ru и мобильные приложения «СберБанк Онлайн» и «СберБизнес». Компания действовала превентивно: несмотря на то, что сайты «Сбера» оставались защищенными сертификатами зарубежного удостоверяющего центра (УЦ), никто не давал гарантии, что завтра этот УЦ не прервет их действие.
«Мы первые в стране начали перевод своих сайтов на сертификаты российских удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к «Личному кабинету» и другим сервисам «Сбера». Установка сертификатов — это необходимое решение, которое позволяет пользователю установить безопасное соединение между сторонами процесса. В таком случае информация между устройством пользователя и сайтом будет передаваться по защищенному протоколу шифрования HTTPS. А это значит, что полностью отсутствует возможность утечки информации. Ваши данные будут защищены. Уверен, что для многих российских компаний переход на российские сертификаты станет приоритетной задачей», — отмечает управляющий директор, начальник управления криптографии, аутентификации и идентификации Сбербанка Алексей Качалин.
Сайт sberbank.ru также перешел на сертификат Минцифры, поэтому без отечественного сертификата на устройстве пользователя зайти на него привычным и безопасным способом уже не получится. Клиентами «Сбера» являются более 100 млн человек. Для них на sberbank.com/ru/certificates опубликованы видеоинструкции по установке сертификатов с «Госуслуг», а также информация о браузерах, поддерживающих сертификаты Минцифры.
Инициатива «Сбера» — это один из первых и на сегодняшний день наиболее масштабных примеров использования отечественных сертификатов безопасности. Компания снова проявляет себя как визионер и первопроходец в области IT, прокладывая дорогу не только организациям финансовой отрасли и своим клиентам, но и всем участникам Рунета. Пользуясь подсказками, скачать корневой сертификат Минцифры можно без труда за пару минут.
Отечественные сертификаты как необходимое условие безопасности
По мнению министра цифрового развития, связи и массовых коммуникаций Максута Шадаева, перевод веб-ресурсов «Сбера» на сертификаты НУЦ — хороший пример для всего рынка, стимулирующий российские организации к снижению зависимости от зарубежных компаний. Выпуск российских сертификатов безопасности включен правительством России в план первоочередных действий по обеспечению развития российской экономики в условиях внешнего санкционного давления.
Одним словом, отечественные сертификаты критически необходимы для корректной работы банковских приложений и сайтов, дистанционного оказания услуг. Вслед за «первопроходцами», очевидно, на сертификаты Минцифры станут переключаться и другие организации.
«В вопросе перехода владельцы сайтов, конечно же, ориентируются на исполнение требований по защите информации и в том числе персональных данных. Переход рекомендован для российских организаций критической информационной инфраструктуры, например банковского и телекоммуникационного секторов, — комментирует Игорь Ходюков. — Компаниям необходимо учитывать также функциональность сайта, количество и локацию его аудитории, способы информационного обмена с ней. Учитывая текущие риски по отзыву зарубежных сертификатов, приоритетом для многих становится использование российских».