Как на безопасность сайтов повлияет отзыв SSL-сертификатов у банков Будут ли работать российские сайты после отзыва у банков иностранных SSL-сертификатов У попавших под санкции банков и Центробанка отозвали SSL-сертификаты, обеспечивающие безопасность сайта и сохранность персональных данных. Они уже получили новые сертификаты, но есть риск, что проблема может быть массовой
После внесения в санкционный список ЦБ, ВТБ, Совкомбанка и Промсвязьбанка сайты этих организаций на определенный промежуток времени остались не защищены специальным сертификатом, хотя банки утверждали, что санкции не повлияют на уровень безопасности.
Первым на это во вторник, 1 марта, обратил внимание «Деловой Петербург». По его информации, хостинг-провайдер DigiCert (США) отозвал у Центробанка сертификат TLS— одной из версий протокола SSL, который обеспечивает подлинность сайта и защиту персональных данных на нем. В тотже день сайт ВТБ не позволил провести транзакцию из-за просроченного SSL-сертификата, убедился корреспондент РБК. На сайте банка отображалась ошибка «cert_revoked»— что означает, что сертификат или отсутствует (или неправильно установлен, или просрочен, или отозван), пояснил РБК один из участников ИТ-рынка. Согласно информации из Telegram-каналов, до недавнего времени у ВТБ был SSL-сертификат от Thawte Consulting (ЮАР).
Что такое SSL-сертификат
SSL-сертификат отображается в левом углу адресной строки браузера в виде закрытого замка. Так пользователь может определить, являетсяли сайт надежным или фишинговым. Во втором случае персональные и платежные данные, оставленные на таком сайты, попадут злоумышленникам, как и сам платеж. SSL-сертификаты выпускают удостоверяющие центры— специальные организации, они также поддерживают их работу. Как пояснил руководитель направления ГОСТ VPN компании «Ростелеком-Солар» Александр Веселов, существуют три основные цели использования таких сертификатов: шифрование данных между пользователем и сайтом; сертификат выступает в качестве своеобразного «удостоверения личности» для организации и защищает пользователя от фишинговых сайтов; улучшает ранжирование в поиске— сайты, у которых сертификат отсутствует, опускаются ниже в выдаче.
Какие риски существуют
В среду, 2 марта сайт Центробанка получил новый сертификат, подтвержденный бельгийской компанией GlobalSign. Он действителен до 2 апреля 2023 года. ВТБ еще 1 марта получил новый сертификат от некой структуры, в названии которой содержится название самого банка, но он одобрен удостоверяющим центром GlobalSign.
В Центробанке и ВТБ не ответили на запрос РБК.
Читайте на РБК Pro
Экс-глава Lego: CEO должен быть «директором по разрушению»
Вал исков впереди: что юристы советуют делать бизнесу во время кризиса
Сможет ли ЕС обходиться без газа из России, а РФ — без европейского рынка
«Дать отпор гегемонии доллара»: спасет ли Китай экономику России
Представитель технической поддержки DigiCert на вопрос, действительноли они отозвали сертификат у ЦБ и намереныли поступать также с другими российскими организациями, сообщил, что компания «действует в соответствии с законодательством своей страны и внимательно отслеживает международную обстановку, а именно— все санкции, которые вводятся против России со стороны США и других стран». Аналогичный ответ предоставил представитель Thawte.
24 февраля США, ЕС и ряд других стран объявили о санкциях в отношении ЦБ, ряда банков и физлиц из России в ответ на проведение спецоперации на Украине. ВТБ, банк «Открытие», Совкомбанк, Промсвязьбанк и Новикомбанк попали под самые жесткие санкции из-за аффилированности с госструктурами России: их активы и счета в долларах США заблокированы, карты перестанут работать за границей, они не смогут поддерживать сервисы Apple Pay, Google Pay и Samsung Pay.
Среди перечисленных банков 1 марта новый сертификат появился также у Совкомбанка и Промсвязьбанка, следует их технической информации на их сайтах. Первый получил сертификат от центра R3 (принадлежит американской LetsEncrypt), второй— от GlobalSign. У Новикомбанка сертификат действует с 18 января, у банка «Открытие»— с июня 2020-го.
РБК направил запрос в банк «Открытие», Совкомбанк, Новикомбанк и Промсвязьбанк.
Согласно официальной статистике Технического центра Интернет (ТЦИ), на 2 марта этого года в домене.RU около 80% сайтов имеют сертификат от центра сертификации LetsEncrypt (США), в домене.РФ— 82%, а в домене.SU— 72%. Это бесплатный сертификат, его шифрование обновляется автоматически каждые три месяца.
По данным эксперта в области информационной безопасности Алексея Лукацкого, сейчас в сообществе LetsEncrypt, которое занимается технической поддержкой пользователей, идет обсуждение статуса сертификата сайтов в зоне gov.ru— российских государственных сайтов, который администрирует Спецсвязь Федеральной службы охраны.
РБК направил запрос в LetsEncrypt.
Какие последствия будут у отзывов
По словам Алексея Лукацкого, есть несколько вариантов для российской компаний или ведомств, у которых был отозван SSL-сертификат:
- пойти к другому удостоверяющему центру;
- сделать свой «самописный» сертификат, используя программное обеспечение удостоверяющего центра;
- попробовать получить сертификат у российских удостоверяющих центров.
Он привел в пример удостоверяющие центры при Центробанке и Казначействе. В тоже время Лукацкий предположил, что коммерческие компании могут воспользоваться услугами ФНС, так как взаимодействие с налоговой подразумевает получение у последней сертификата, однако «до этого такая практика не применялась». Также эксперт напомнил, что Минцифры работает над созданием российского головного удостоверяющего центра, но его пока не успели запустить, для этого необходимо доработать законодательство. «Есть еще вариант запустить в России свой национальный удостоверяющий центр, который будет выдавать SSL-сертификаты российским компаниям и ведомствам. Однако, не уверен, что все коммерческие компании на это согласятся, так как это предоставит возможность полностью контролировать трафик, перехватывать персональные данные и т.д.»,— рассуждает Лукацкий.
Александр Веселов из «Ростелеком-Солар» напомнил, что это уже не первый случай отзыва SSL-сертификатов у российских сайтов. Например, в 2018 году американская компания GeoTrust отозвала сертификат у сайта Торгово-промышленной палаты России. Он также отметил, что ряд сайтов российских госорганов работает вообще без них, «это объясняется тем, что такие сайты выполняют преимущественно информационную функцию: там нет форм авторизации и личного кабинета».
Веселов предполагает, что единственный выход из ситуации с отзывами сертификатов— это импортозамещение, то есть создание собственной инфраструктуры на оборудовании, поддерживающим российские криптоалгоритмы по ГОСТу. Однако он признает многогранность этой проблемы. «Со стороны владельцев веб-сайтов реализация российской криптографии выглядит не самой простой задачей. Web-серверы не поддерживают ГОСТ «из коробки», требуется приобретение, настройка и эксплуатация дополнительного оборудования»,— рассуждает он.
При этом браузер может не одобрить SSL-сертификат, тогда у пользователей будет на сайте отображаться предупреждение, что сайт не безопасен, указывает Лукацкий. «Тогда отличить фишинговый сайт от сайта с непринятым сертификатом будет сложнее»,— предупредил эксперт.
Эксперт по безопасности «Лаборатории Касперского» Денис Паринов говорит, что при посещении сайта с отозванным сертификатом все браузеры реагируют по-разному. «Как правило, показывают предупреждение о недоверенности сертификата, но при этом позволяют открыть сайт. При посещении сайта, использующего отозванный сертификат, могут возникнуть неудобства, ошибки при работе, например, в личном кабинете. Чтобы это исправить, администраторы сайтов могут выписать новый сертификат в авторизованном центре сертификации»,— комментирует он. По его мнению, сейчас нет признаков массовых отзывов, пока «речь идет о единичных случаях отзывов сертификатов, выписанных Thawte».
По мнению ведущего специалисты отдела аудита Infosecurity в Softline Анатолия Сазонова, отзыв сертификатов может стать массовой историей в условиях, когда большая часть удостоверяющих центров находится за рубежом, а «отечественный глобальный удостоверяющий центр находится в процессе создания». «Но даже при условии запуска российского центра, его сертификат тоже может быть не принят, как это было с китайским центром China Internet Network Information Center»,— выражает опасения он.
Впрочем, менеджер по продуктам хостинг-провайдера REG.RU Антон Бобков заверил, что они находятся на связи со всеми ключевыми удостоверяющими центрами, и на данный момент не видят предпосылок к прекращению сотрудничества. В тоже время он оговорился, что прогнозировать отказ всех иностранных удостоверяющих центров сложно.
Дарья Чебакова,
Екатерина Ясакова Подпишись на Telegram РБК Получайте новости быстрее всех
