Как работают TLS-сертификаты Минцифры

Год назад иностранные удостоверяющие центры начали отзывать электронные сертификаты безопасности у российских интернет-ресурсов. Из-за этого пользователи стали чаще видеть предупреждение о небезопасности сайта. В ответ Минцифры выпустило собственные сертификаты TLS. Госуслуги предоставляют их бесплатно – достаточно зайти на сайт и скачать.

Российские электронные сертификаты безопасности гарантируют безопасный и независимый от заграницы доступ к ресурсам. Решение поддерживают только два отечественных браузера – «Яндекс Браузер» и «Атом» от холдинга VK. Пользователям других предлагают установить корневой сертификат на свое устройство. Бесплатные дистрибутивы для Windows, Linux, MacOS, Android, iOS и подробная инструкция, как скачать сертификат с сайта «Госуслуги», есть в открытом доступе.

Насколько популярны сейчас TLS-сертификаты Минцифры? И станут ли зарубежные браузеры и операционные системы поддерживать их в будущем? Ответы и мнения экспертов – в этой статье.

Для чего нужны сертификаты TLS

Протокол защиты транспортного уровня (TLS – transport layer security) обеспечивает безопасную передачу данных в интернете, а точнее – между узлами сети. Его используют браузеры, приложения для обмена мгновенными сообщениями, работы с email и IP-телефонии.

Сертификат TLS – гарантия того, что передача данных проходит с учетом протоколов транспортного уровня и защищенного соединения (HTTPS). Если ее нет, то браузер считает ресурс небезопасным, блокирует доступ и предупреждает об этом пользователей.

TLS-сертификаты выдают удостоверяющие центры. Только они могут оценить безопасность передачи данных со стороны пользователя и заверить подлинность ресурса. В мире работает несколько тысяч таких организаций, в России – пока одна. Это Национальный удостоверяющий центр (НУЦ) Минцифры, который создали весной прошлого года. Тогда же он выпустил первый отечественный TLS-сертификат.

А пользователи кто?

Только за февраль-март 2022-го без западных TLS-сертификатов остались ВТБ, Промсвязьбанк, Совкомбанк и даже Центробанк. Как пишет КоммерсантЪ, сайты всех государственных структур в России тоже пользовались услугами иностранных удостоверяющих центров. Без TLS-сертификата Минцифры их будущее оказалось туманным.

С того момента прошел год, а массового перехода на российское решение пока не произошло. Многие компании еще не столкнулись с проблемой. А те, кто столкнулся, перешли на другие иностранные сертификаты. Это подтверждает статистика.

Тимур Габдурашитов

Ведущий инженер компании ИМБА ИТ

Весной 2022 года объявили, что любая российская компания может бесплатно получить TLS-сертификат, выпущенный НУЦ Минцифры РФ. Осенью министерство заявило, что было выпущено около 7 тыс. сертификатов. Хотя, если обратить внимание на реестр выпущенных сертификатов, опубликованный на Госуслугах, то в нем количество меньше почти в два раза (около 4900). Много это или мало – судить сложно. Но то, что процесс выдачи сертификатов налажен и любой компании не составляет большого труда его получить, – это хорошая тенденция.

Осенью 2022-го о переходе на TLS-сертификат Минцифры заявил Сбер. Пока это единственная крупная организация, которая громко сообщила о своем решении. Эксперты уверены: многие компании медлят с переходом на российский аналог, так как по-прежнему могут использовать иностранные сертификаты.

Тимур Габдурашитов

Ведущий инженер компании ИМБА ИТ

На самом деле даже тот же Сбер только громко заявил о переходе на российские TLS-сертификаты. При этом смог в 2022 году продлить сертификаты на многие свои домены в «недружественных» удостоверяющих центрах. В частности, для одного из своих самых главных доменов – online.sberbank.ru.

Связанно это, конечно, в первую очередь с тем, что очень много внешних и внутренних сервисов в любой большой компании (а тем более финансовой) «завязаны» на использовании сертификатов, выпущенных доверенными удостоверяющими центрами. И эту проблему нельзя решить за день или недели.

Также сказывается желание компаний минимизировать неудобства для клиентов, которые в любом случае возникнут при полном переходе на TLS-сертификаты Минцифры. Поэтому пока будет возможность продлевать сертификаты в иностранных доверенных удостоверяющих центрах, большинство компаний продолжат этим пользоваться.

При этом, по словам эксперта, компании все равно активно тестируют и переводят свои сервисы на российские сертификаты. Пусть и постепенно, но движение идет.

Андрей Воробьев 

Директор Координационного центра доменов .RU/.РФ

Драматизм ситуации с отказами зарубежных удостоверяющих центров от работы на российском рынке сильно преувеличен. В 2022 году мировые УЦ выдавали российским клиентам, в среднем, по 130 тысяч сертификатов в день. Однако, если до февраля 2022 года сертификаты российским доменам выдавали 10 крупнейших УЦ по всему миру,  то сейчас тот же объем сосредоточился в трех. Let's Encrypt и ранее доминировал на рынке, а в прошлом году он увеличил свою долю более чем до 99%.

Но, так как это американская компания, подчиняющееся американским законам и экспортным ограничениям, то перед Минцифры была поставлена задача обеспечить возможность выдачи собственных сертификатов в случае возникновения каких-либо проблем. Ведомство сработало очень быстро, был создан отечественный удостоверяющий центр, и ситуация на рынке была быстро выправлена.

На сегодняшний день, по его словам, полноценно функционируют уже несколько отечественных УЦ. Например, летом 2022 года начал работать Центр сертификации ТЦИ, который поддерживает сертификаты как с распространенной криптосистемой ECDSA, так и с российской криптосистемой семейства ГОСТ 34.10, а также выпускающий сертификаты для электронной почты (S/MIME).

TLS-сертификаты Минцифры: сложности и прогнозы

Решение создать свой удостоверяющий центр и сертификат было экстренным. Фактически его реализовали за считанные недели. Однако в спешке не удалось избежать сопутствующих проблем. Вероятно, ими в Минцифры займутся в ближайшие годы – прогнозируют эксперты.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Решение делать свои удостоверяющие центры безусловно верное, тем более что все в мире начинали с того же. Проблема в том, что кроме собственно удостоверяющих центров нужна и вся остальная инфраструктура, а ее пока нет.

Еще один важный момент заключается в том, что вся инфраструктура PKI в мире строится на доверии удостоверяющим центрам, которые соблюдают требования ИБ, проходят аудиты, не замечены в скандалах. С российскими удостоверяющими центрами такой опции пока тоже нет.

Кроме того, нерешенными остаются технические нюансы импортозамещения. Отечественный электронный сертификат безопасности, как и другое российское ПО, пока разрабатывается с использованием иностранных продуктов.

Тимур Габдурашитов

Ведущий инженер компании ИМБА ИТ

Мне видится, что сейчас к проблеме сертификатов нужно подойди немного с другой стороны. И в первую очередь заняться вопросом выпуска сертификатов с применением российских криптоалгоритмов.

Даже сейчас российские сертификаты TLS создаются с применением иностранной криптографии RSA. Но Минцифры уже занимается решением этой проблемы.

Опасения у экспертов также вызывает факт, что выпуском сертификатов будет заниматься единый удостоверяющий центр. Такой подход может принести немало бед бизнесу и самому министерству, считают они.

Дмитрий Гачко

Серийный ИТ-предприниматель, венчурный инвестор, основатель ГК ITGLOBAL.COM

Полагаю, что стоило бы использовать уже существующую систему удостоверяющих центров, выдающих электронные подписи, – фактически использовать механизм СРО. Это бы позволило создать более независимую и децентрализованную систему. Опираясь на нее, можно было бы лоббировать внесение корневых сертификатов этих удостоверяющих центров в репозитарии браузеров и операционных систем.

Дмитрий Гачко уверен: лоббирование интересов российских удостоверяющих центров должно войти в ближайшие задачи государства. Иначе судьба TLS-сертфикатов Минцифры  в иностранных браузерах и операционных системах останется под вопросом.

Сертификаты с Госуслуг и зарубежное ПО

Встроят ли российские электронные сертификаты безопасности в браузеры и системы за границей – вопрос пока открытый. Собеседники Cyber Media считают, что шансов мало. 

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис»

Очень трудно себе представить, что в текущей ситуации какая-то крупная компания включит корневые сертификаты российских УЦ в перечень доверенных в своем продукте. Даже если это случится, по сети прокатится кампания с требованием их срочно удалить, так как это ставит под угрозу безопасность работы в такой ОС или в таком браузере. 

Но это не повод отчаиваться – решение с TLS-сертификатом Минцифры в перспективе для России все равно выглядит жизнеспособным.

Возможно, отмечает Сергей Полунин, со временем появятся сборки популярных продуктов для РФ, в которые войдут TLS-сертификаты Минцифры. Или в России станут массово использовать собственные браузеры. Шансы у обоих вариантов пока одинаковые.

Итоги

Вероятно, разработать собственные TLS-сертификаты и верифицировать их в иностранных продуктах – задача, которую стоило решать намного раньше. И власти понимают это. Чиновники даже рассматривали эту идею пять лет назад, пишет КоммерсантЪ. Но что их остановило, неизвестно.

Известно другое: сегодня переход на TLS-сертификаты Минцифры – логичное решение для бизнеса, который столкнулся с санкциями Запада. И хорошо, что им можно воспользоваться.