В современном интернете проблема безопасности очень велика. С одной стороны, мы доверяем «коллективному разуму» свои личные данные, финансы, авторские творения. С другой стороны, большинство из нас понятия не имеет, куда эти сведения уходят, где хранятся, и кто имеет к ним доступ. Поэтому нужно четко понимать, кто находится на другом конце провода, а иначе мы рискуем нарваться на мошенника.
Суть проблемы с сертификатами
В рамках санкционного давления на Россию страны Запада во главе с США стремятся любыми способами усложнить жизнь простым россиянам. Интернет давно превратился в неотъемлемую часть жизни для значительной части нашего общества. Без него трудно представить успешный бизнес, развитие науки и даже образовательный процесс в школе.
В начале марта из-за включения некоторых российских и белорусских компаний в санкционный список Минфина США ряд американских IT-организаций (так называемых удостоверяющих центров) отказался выдавать SSL-сертификаты для доменов *.ru, *.su, *.рф и *.by (белорусский домен). Среди них гиганты рынка – Sectigo (бывший Comodo) и DigiCert.
Сайты, лишенные SSL-сертификатов, интернет-браузеры по умолчанию считают небезопасными. То есть приватность и сохранность любой информации, которой пользователь обменивается с данным сайтом, никто не гарантирует.
Взгляните на строку с адресом интернет-страницы (URL) в верхней части вашего браузера. Сегодня практически все доступные вам сайты начинаются с символов HTTPS://. Буква S в этом наборе означает secure – безопасный, то есть проверенный на отсутствие угроз. Дополнительно это подтверждается иконкой запертого замочка (в некоторых браузерах он зеленого цвета) перед началом строки.
Если адрес начинается с символов HTTP://, то это значит, что его безопасность не гарантирована. Замочек на иконке откроется и станет красным. В этом случае браузер выдаст предупреждение о том, что страница небезопасна, или вовсе ее заблокирует. Кроме того, поисковые системы не будут высоко ранжировать такой сайт, а значит, его шансы на продвижение (один из ключевых инструментов маркетинга) при прочих равных окажутся около нуля.
Бывает ли шопинг выгодным? Да, если покупать с Халвой! До 10% кешбэка, пассивный доход в виде процента на остаток собственных средств до 17% с подпиской «Халва.Десятка». А самое главное — покупки в рассрочку до 24 месяцев и никаких процентов. Оформите Халву в пару кликов!
Для чего нужен SSL-сертификат
В обычной жизни мы привыкли, что сертификат – это документ наподобие диплома, который подтверждает наши навыки или соответствие качества продукта заявленным характеристикам.
SSL-сертификат в этом плане не исключение. В широком понимании он представляет собой электронный документ, подтверждающий, что владелец сайта является тем, кем он себя называет. Организация, выдавшая сертификат, берет на себя ответственность за то, что страница не является сайтом-однодневкой и сведения о владельце достоверные.
SSL (англ. Secure Sockets Layer protocol) означает «протокол безопасных соединений». Более современная версия корневого сертификата носит аббревиатуру TLS (англ. transport layer security — протокол защиты транспортного уровня), но по привычке чаще его называют SSL/TLS.
Такой цифровой «пропуск» состоит из двух частей:
- приватный ключ, доступ к которому имеют только владелец сайта;
- публичный ключ, который хранится на стороне сервера.
Сличая два этих ключа, система производит опознание интернет-страницы.
Любой сайт и мобильное приложение (МП) обладают сразу несколькими SSL-сертификатами разных уровней. Первый – корневой сертификат (КС), он подтверждает легитимность доверенного удостоверяющего центра. Таких УЦ в мире немного и лицензию им выдает непосредственно правительство государства. Большинство государств сертифицируют только один доверенный УЦ.
Например, в России – это Национальный удостоверяющий центр (НУЦ), который работает под эгидой Минцифры. Первоначально он был создан для обеспечения работы портала «Госуслуги».
Доверенные УЦ выдают промежуточные SSL-сертификаты следующего уровня другим УЦ, которые в свою очередь могут выдавать свои промежуточные и конечные (для отдельного домена) SSL-сертификаты.
Таким образом, выстраивается своего рода «цепочка рукопожатий», благодаря которой любой сайт или МП получает правовое одобрение своего функционала со стороны властей государства, выдавшего КС.
Это может быть регулирующий орган страны, на территории которой зарегистрирован владелец интернет-страницы (МП), но на практике большинство сайтов и МП имеют КС американской, европейской или японской юрисдикции.
Так сложилось потому, что исторически на территории этих стран быстрее развивалась интернет-инфраструктура и лучше налажено правовое регулирование деятельности в глобальной сети. Именно такое положение вещей привело к нынешней непростой ситуации – санкции западных стран могут ограничить функционал российских сайтов, которые имеют иностранный КС (то есть абсолютное большинство из них).
Промежуточные и конечные цифровые сертификаты бывают платными и бесплатными. Различие определяется типом валидации (т.е. глубиной проверки данных):
- DV – самый простой сертификат, подтверждающий только домен сайта, подходит для физлиц и юрлиц и бывает бесплатным;
- OV – валидирует домен и саму организацию (физлицам не доступен);
- EV – расширенная валидация (только для организаций), самый высокий уровень гарантий, но при этом самый дорогой для покупателя сертификата.
Как обойти санкции
В целом, проблема с сертификацией российских сайтов не требует немедленного поиска альтернатив. Никакого интернет-апокалипсиса не предвидится.
Во-первых, актуальна она только для тех компаний, которые предоставляют через сайт финансовые услуги, услуги по бронированию (билетов, номеров в гостинице и т.п.) или передают конфиденциальную информацию. Для владельцев обычных лендингов, новостных сайтов или блогов ничего не изменится.
Во-вторых, многие западные УЦ пока не приняли окончательного решения по выполнению рекомендаций американского правительства. Среди них популярный в России GlobalSign, а также некоммерческие организации (например, Let’s Encrypt), для которых доверие клиентов по всему миру не менее важно, чем рекомендации национальных властей.
В-третьих, действие текущих иностранных сертификатов никто не прекращает. Чаще всего срок их действия составляет 1-2 года, а значит, большинство сертифицированных сайтов продолжит работать ближайшие полгода-год без изменений.
В конце концов, есть несколько способов обойти ограничения. Ниже рассмотрим основные из них.
Пользователям рунета — установить российский сертификат
Упомянутый выше НУЦ выдает бесплатные SSL/TLD-сертификаты для российских организаций через портал «Госуслуги». Пока что получить их могут только юридические лица в течение пяти дней после подачи заявки.
Корневой сертификат Минцифры по умолчанию будет вшит в такие популярные отечественные браузеры, как Яндекс.Браузер и Atom. То есть в них любые сервисы рунета будут работать как и раньше. Но как быть с другими браузерами?
Главное преимущество топовых иностранных УЦ в том, что выданные ими сертификаты имеют силу практически в любой точке мира. Любой браузер по умолчанию считает их актуальными.
Однако, сертификаты, выданные российским НУЦ к таким не относятся. Это значит, что в таких популярных браузерах, как Google Chrome или Mozilla, а также в мобильных приложениях смартфонов, они, скорее всего, не будут доверенными по умолчанию. В этом случае пользователь получит предупреждение об угрозе безопасности.
К счастью, эту проблему легко решить на стороне пользователя. Для этого потребуется вручную установить файл с расширением *.crt в операционную систему устройства. Эта несложная операция займет не более пяти минут.
Халва знает, как заставить цвести ваше «денежное дерево» в любых условиях: покупать в беспроцентную рассрочку товары более чем в 250 000 магазинов-партнеров на сумму до 500 000 рублей, получать кешбэк до 10% и приумножать сбережения в удобной онлайн-копилке до 12,5% годовых. Оформите карту и получите «золотой ключик» финансового благополучия!
Владельцам сайтов — установить бесплатный SSL
Некоторые иностранные некоммерческие УЦ (самый популярный – Let’s Encrypt) выдают бесплатные SSL-сертификаты. Срок их действия намного меньше, чем у платных, – 90 дней. Поэтому с технической точки зрения работать с ними сложнее.
Такие сертификаты подойдут для публичных сайтов компаний, если они не связаны с передачей важных конфиденциальных сведений. А для организаций, предоставляющих платные услуги через интернет, они не станут решением проблемы. УЦ, выдавший такой сертификат, не дает никаких гарантий.
Кроме того, на рынке IT-услуг имеются китайские сертификаты. Правда они имеют еще меньший авторитет и так же небольшой срок действия.
Приходим к выводу: проблема с корневыми сертификатами для рунета – лишь временная неприятность, которая не приведет к непоправимым последствиям.