kononenkome (kononenkome) wrote,
kononenkome
kononenkome

В сертификате наша вера

В последние дни стало известно о нескольких немаловажных инициативах государства в отношении интернета. Во-первых, Министерство связи разработало законопроект о государственном контроле за прохождением интернет-трафика по территории России. Во-вторых, Роскомнадзор рассмотрел подготовленный Ассоциацией по защите авторских прав в интернете законопроект «о воспрепятствовании ограничению доступа к информации, распространение которой в России запрещено», то есть, проще говоря, о рекламе и пропаганде способов обхода блокировок сайтов. И в-третьих, стало известно, что в России может быть создан государственный удостоверяющий центр — организация, выдающая SSL-сертификаты, необходимые для организации защищенных соединений между пользователем и интернет-ресурсом.

О контроле над трафиком, впрочем, говорилось давно, и речь здесь идет не только о благородной задаче обеспечить беспроблемное функционирование русского интернета в отсутствие доступа к зарубежной инфраструктуре. А еще и о контроле особенных, более равных провайдеров над трансграничными каналами связи. Вопрос, как вы понимаете, денежный.

Что касается запрета пропаганды блокировок то, к счастью, в Роскомнадзоре пока еще понимают всю вздорность подобных предложений и их нереализуемость. Рабочая группа ведомства дала отрицательный отзыв на законопроект.

А вот история с «государственным удостоверяющим центром» куда как более интересная.

Техническая сторона дела довольно проста: для того, чтобы обеспечивать шифрованное (информацию из которого нельзя перехватить) соединение пользователя со своим сайтом (интернет-магазином, банком, социальной сетью) вы должны иметь так называемый SSL-сертификат. Это цифровая подпись, которую вам выдает некая организация по выдаче сертификатов. Эта организация — своего рода виртуальный нотариус, ей все доверяют. У этого нотариуса есть своя цифровая подпись, которой он и подписывает выданный вам сертификат. Эта цифровая подпись виртуального нотариуса (то есть — сертификат самой выдающей сертификаты организации) называется корневым сертификатом. А список корневых сертификатов разных подобных организаций встроен в каждую современную операционную систему и каждый браузер.

И когда пользователь заходит на сайт по протоколу HTTPS (чтобы установить защищенное соединение), браузер запрашивает у сайта сертификат. И смотрит, кто его выдал. И если его выдал кто-то, чей корневой сертификат есть в системе — значит, этому сайту можно доверять (и даже, в зависимости от уровня и стоимости сертификата, выделить его адрес зеленым цветом в адресной строке браузера). Если же сертификат левый — браузер немедленно выдаст пользователю предупреждение: этому сайту нельзя доверять, он опасен.

Кроме того, SSL-сертификат используется для шифрования данных, пересылаемых по защищенному соединению. То есть, без него ваши номера счетов и коды кредитных кард открытым текстом полетят по радиоволнам Wi-Fi на радость тем, кто может их перехватить и использовать. Но самое страшное: организация, выдающая (и контролирующая) SSL-сертификаты может (пусть и теоретически) участвовать в обмене сообщениями между пользователем и защищенным сайтом. А значит — получить доступ к защищенному соединению и зашифрованным данным. И даже (о ужас!) расшифровать их.

Самые понятливые уже, наверное, догадались, что все предустановленные в современных операционных системах и браузерах корневые сертификаты выданы иностранными организациями. И портал Госуслуги (сертификат, выданный английской компанией COMODO), и сайт Федеральной налоговой службы (сертификат американской компании thawte), и любой другой государственный сайт, создающий защищенные соединения, используют иностранные сертификаты. И это совершенно справедливо вызывает волнение в головах русских чиновников. Время, сами понимаете, не простое. А ну как супостат возьмет — да и аннулирует все выданные русским сертификаты? И всё поломается.

Вот вы спросите: а нельзя ли вообще без сертификата? Ну зачем он сайту, который не собирается устанавливать никаких защищенных соединений с пользователем? Скажем, сайту новостей или погоды. Справедливый вопрос. Действительно, сайт президента России, например, никакого SSL-сертификата не имеет. Однако компания Google еще в прошлом году объявила, что будет понижать в поисковой выдаче ссылки на сайты, не использующие протокол HTTPS. А использующие такой протокол наоборот, поднимать, даже если они не релевантны поисковому запросу. То есть, лидеры глобальной индустрии однажды все равно вынудят всех использовать защищенные соединения, даже если никакой секретной информации передавать не предполагается. Такова тяжелая поступь прогресса.

Надо сказать, что не мы первые. Казахстан тоже идет по этому пути. Государственный провайдер Казахтелеком еще в декабре собирался предложить своим пользователям установить «национальный сертификат безопасности» согласно пошаговой инструкции, однако потом новость об этом с сайта провайдера пропала — видимо, казахи осознали, что это сомнительный метод. В России собираются поступить элегантнее — а именно, убедить крупнейших производителей операционных систем и браузеров добавить русский корневой сертификат в свою продукцию. Нет сомнений, что методов подобного убеждения у России достаточно и производители сертификаты добавят.

Но вот что во всем этом важно. В сообщениях, опирающихся на анонимные источники, говорится о создании Государственного удостоверяющего центра. И слово «Государственный» тут определяющее.

Дело в том, что все выдающие сертификаты организации — коммерческие. Сайт президента США подписан сертификатом компании Verizon, а сайт ЦРУ — сертификатом компании Symantec. Такова природа интернета — даже если государство контролирует каналы связи и, в какой-то мере, контент, то в работу программной инфраструктуры сети оно раньше старалось не лезть. А тут ведь стоит только начать, и за Государственным удостоверяющим центром появится Государственный центр регистрации доменных имен, а там и (не дай бог!) какая-нибудь Государственная служба маршрутизации…

Разумеется, даже если российский национальный корневой сертификат будет контролироваться выбранной на конкурсе коммерческой компанией, эта компания будет связана с государством (в лице ФСБ, например) чуть менее, чем полностью. Но даже такая связанная с государством коммерческая компания — это будет не так по-северокорейски, как Государственный удостоверяющий центр.

И очень хочется верить, что разрабатывающие безусловно полезную инициативу по созданию российского национального корневого SSL-сертификата все же воздержатся от соблазна начать устанавливать государственную монополию на интернет.
ИЗВЕСТИЯ

Originally published at <KONONENKO.ME/>. You can comment here or there.

Subscribe

  • Путь к математической справедливости

    Уж сколько раз я рассказывал вам, что познание бесконечно. А одной из важнейших целей познания на текущем историческом этапе является поиск…

  • У природы нет плохой погоды

    В третьему десятилетию третьего тысячелетия человечество достигло многого. Оно синтезирует противовирусные вакцины практически из пустоты. Выделяет…

  • Стресс нам не нужен

    Среди многочисленных гуляющих по новостям весь последний год списков профессий, востребованных во время нынешнего мирового кризиса всего, я ни разу…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 2 comments