Разработчиков браузеров и ОС обяжут поддерживать российские сертификаты шифрования
Правительство внесло в Госдуму законопроект, предлагающий обязать всех разработчиков браузеров и ОС в России включать в продукты поддержку российских сертификатов для установления зашифрованного соединения. Иностранные компании отозвали сертификаты безопасности у сайтов Рунета из-за санкций
Правительство внесло в Госдуму проект поправок в закон «Об информации», предлагающий обязать всех разработчиков браузеров и операционные системы (ОС) в России включать в продукты поддержку сертификатов безопасности на основе российских криптографических алгоритмов. «Это необходимо в связи с досрочным отзывом сертификатов безопасности у сайтов российского сегмента информационно-телекоммуникационной сети Интернет, которые выдавались иностранными организациями», —говорится в пояснительной записке к документу, опубликованному на сайте обеспечения законодательной деятельности.
Обеспечить сайты в российском сегменте интернета специальными сертификатами безопасности должен Национальный удостоверяющий центр (НУЦ).
Наказания за неисполнение требования не предусмотрено, сообщила «Коммерсанту» пресс-служба Минцифры, подчеркнув: «Мы надеемся на добросовестность разработчиков, поскольку это обеспечит беспрепятственный и защищенный доступ к российским сайтам».
В сертификатах для зашифрованного соединения с сайтами (HTTPS), которые НУЦ начал выдавать в марте, после того как зарубежные центры стали отзывать их у подсанкционных российских организаций, российская криптография по ГОСТу не использовалась. ОС и браузеры от Microsoft, Google и Apple поставляются в страну без корневого сертификата НУЦ, и при попытке открыть в них сайты, использующие национальный сертификат (например, Сбербанка), защищенное соединение не устанавливается.
Директор НКО «Информационная культура» Иван Бегтин объяснил, что сейчас от разработчиков ОС и браузеров в России не требуется поддерживать российскую криптографию, а в государственных информационных системах, где это необходимо, например ГИС «Электронный бюджет», это часто игнорировалось, так как «удаленные соединения устанавливались через сертифицированные VPN».
По мнению главы информационно-аналитической службы ОД «Информация для всех» Евгения Альтовского, российская криптография, скорее всего, будет «в приказном порядке» использоваться на сайтах госорганов и госпредприятий, а остальные организации ее проигнорируют. Управляющий партнер юридической фирмы DRC Саркис Дарбинян отметил, что ответственность за нарушения пока не предполагается, но блокировка сайтов или штрафы для разработчиков за отказ от российской криптографии может стать следующим шагом.