Привет.
Тема не новая, и, казалось бы, все многократно обсудили, но в СМИ и социальных сетях снова бушует шторм из сообщений, большая часть которых выглядят странными и не относящимися к делу напрямую. В этот раз тема всплыла из-за того, что 13 июня в теории должно было произойти массовое отключение сертификатов у российских компаний, так как в мае были приняты новые правила CA/Browser Forum. Наверняка вы уже заблудились в трех соснах, поэтому нужно немного отступить назад и объяснить, в чем сыр-бор.
Интернет устроен так, что все мы анонимны друг перед другом. В лучшем случае вы знаете некий адрес в сети, но не можете точно сказать, кому он принадлежит (точнее, кто им пользуется сейчас), это может быть Вася Пупкин или Microsoft. С технической точки зрения адрес никак не меняется и выглядит абсолютно одинаково. Заявить во всеуслышание, что конкретно этот адрес ваш, можно, но нужно подкрепить это чем-то, например, сертификатом. Как результат, в Интернете возникла целая индустрия удостоверяющих центров, они выдают сертификаты как отдельным компаниям, так и таким же центрам рангом помельче. Вы также можете получить сертификат как частное лицо и заверить, что такой то ресурс управляется Васей Пупкиным. Сертификаты нужны для того, чтобы наша жизнь в сети была упорядочена, а вы точно знали, что такой-то ресурс не подделка, а настоящий. Более того, сегодня сертификаты нужны также для того, чтобы устанавливать безопасное соединение с сайтами, так как они используются в ключах шифрования (тот самый протокол https). Например, вы можете посмотреть сертификат для нашего сайта, он общедоступен.
Обычно любой сертификат имеет срок действия, сделано это по соображениям безопасности, периодически сертификаты нужно обновлять. Случается так, что сертификат может быть скомпрометирован, тогда он отзывается, причем это может сделать как сама площадка (произошла утечка данных, сертификат сменили на другой), так и удостоверяющий центр. Помимо сайтов, сегодня сертификаты используются для подписи приложений, таким образом можно удостовериться, что они созданы конкретной компанией.
В мире несколько сотен различных удостоверяющих центров, но определяющими являются менее сотни (если быть точным, то их всего 85). Эти удостоверяющие центры прописаны в операционных системах, браузерах и других приложениях, как результат, именно информация в них является приоритетной.
Вы постоянно пользуетесь сертификатами, но не замечаете этого. Причина в том, что все работает без вашего вмешательства, все выглядит так, как должно быть. Если по какой-то причине сертификат не работает, то вы увидите сообщение что нельзя доверять конкретному ресурсу, доступ к нему будет заблокирован. Но вы на свой страх и риск все равно сможете его открыть, для этого тоже есть все опции, никаких танцев с бубнами будет не нужно.
Формально всеми удостоверяющими центрами управляет сообщество, но компании подчиняются юрисдикции той страны, где находятся, по умолчанию это США. Как следствие, все ограничения, вводимые против других стран, компаний и лиц, они должны соблюдать. Начиная с 2022 года российские государственные органы любого ранга, государственные корпорации и любые компании под санкциями не могут получать сертификаты от иностранных компаний. И с того времени ровным счетом ничего не изменилось, все осталось ровно так же. Причина нынешнего переполоха в том, что в правила сообщества внесли в явном виде описанные ограничения, найти эти правила можно вот тут.
Нас интересует вот этот пассаж: «The CA must not issue any EV Certificate to the Applicant if either the Applicant, the Contract Signer, or Certificate Approver or if the Applicant’s Jurisdiction of Incorporation or Registration or Place of Business is on any such list».
То есть фактически запрет распространяется на любую организацию под санкциями, что хорошо описывает российскую историю. В 2022 году у нас появился национальный удостоверяющий центр, то есть на уровне России мы можем выдавать свои сертификаты, что сегодня и происходит для целого ряда ресурсов. Но так как НУЦ не признан никем в мире, он не является частью большой цепочки удостоверяющих центров и на уровне операционных систем не прописан ни в Android, ни в Windows, ни в браузерах зарубежных компаний. Самый простой способ использования таких сертификатов – это российский браузер «Яндекс», в этом случае никаких проблем нет. Либо вам нужно научиться прописывать российские сертификаты ручками, что не гарантирует их надежной работы.
C 2022 года почти ничего не изменилось в области сертификатов и их использования. Такие гиганты, как Let’s Encrypt или GlobalSign, популярны в России, как и прежде, более того, их свежие сертификаты используются огромным числом государственных компаний и органов как законодательной, так и исполнительной власти, последние не спешат переходить на отечественные сертификаты. Причин для этого предостаточно.
Практика говорит о том, что международные удостоверяющие центры сами не ведут проактивную работу по поиску тех или иных нарушителей, для них это дополнительные расходы, суета без всяких причин. Никто не давит на эти компании за то, что они выдают сертификаты без пристального внимания, в том числе компаниям, находящимся под санкциями. Обычно они узнают об этом из сообщений в прессе и только после этого предпринимают какие-то шаги.
Проблема для российских компаний в том, что мы хотим доступности ресурсов как изнутри страны, так и извне, но при использовании отечественных сертификатов практически весь внешний трафик будет отрубаться. Пользователи, увидев предупреждение о том, что соединение небезопасно, начнут отказываться идти на наши ресурсы и будут правы, так как позаботятся о своей безопасности. На уровне государства мы не можем сделать так, чтобы наш удостоверяющий центр стал цепочкой международных центров.
Результат – дихотомия, когда бизнесу будет необходимо работать как под Россию, так и под внешние рынки, вероятно, разделять активности по разным сайтам, что жутко неудобно и имеет такую кучу изъянов, что перечислить их все невозможно. В аспекте приложений внутренняя сертификация и вовсе отсутствует, так как у нас нет инструментов для разработки под iOS/Android/macOS/Windows и так далее, а значит, разработчики все равно привязаны к чужим центрам. Да и магазины приложений принадлежат не нам, равно как и правила самих платформ формируются ими.
Изменить эту ситуацию невозможно, равно как и говорить о каком-то цифровом суверенитете в этом аспекте. Мы заложники той истории, что сложилась на международном рынке. Вероятно, в будущем ситуация будет меняться, но вряд ли в лучшую сторону. В 2022 году не воплотились в жизнь самые страшные предположения, нас не отрезали от Интернета, не стали уничтожать международную инфраструктуру в аспекте сетевых договоренностей и правил. Более того, режим соблюдения санкций здесь весьма относительный, крайне мягкий. Они скорее не работают, несмотря на то, что они есть и формально компании должны им следовать.
На мой взгляд, России как стране нужно повышать цифровую грамотность для своих граждан, чтобы все знали, что такое сертификаты, как они работают, какие минусы и плюсы есть у тех решений, что мы принимаем. Только знание даст нам дополнительную свободу действий, оградит людей от мошенников и их схем, поддержит отечественные решения, которые в любом случае не заменят международные правила взаимодействия.
Деление на внутренний и внешний Интернет становится заметным, где-то мы как страна сами на этом настаиваем, где-то нас подталкивают в этом направлении. Но в любом случае нужны знания чтобы понимать, что происходит, и не пугаться каждый раз той волны, что поднимается в медиа, когда нас предостерегают, что такого-то числа все может рухнуть. Наступает означенное число, и никаких проблем вселенского масштаба не случается.
P.S. Юридические лица, желающие бесплатно получить российский сертификат, могут заполнить заявку на «Госуслугах», вам его выдадут безвозмездно. Другое дело, что доступ тогда будет только через тот же «Яндекс» или браузер «Атом». Либо ваши посетители будут видеть предупреждение о небезопасном соединении.