Российские TLS-сертификаты обретают законодательную обвязку

30.11.2022 |

Андрей Блинов.

На рассмотрении Госдумы находится пакет поправок к ФЗ № 149 «Об информации, информационных технологиях и о защите информации», касающийся применения российских национальных сертификатов безопасности. После внесения поправок закон, в частности, будет регламентировать деятельность Национального удостоверяющего центра (НУЦ) Минцифры а также рекомендовать отечественным разработчикам браузеров и операционных систем обеспечить совместимость своих продуктов с государственными сертификатами шифрования. Это позволит российским компаниям обеспечить для пользователей защищенный доступ к своим веб-ресурсам.

На днях, 28 ноября, на рассмотрение Государственной Думы РФ был внесен законопроект № 244043-8 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации». В документе закреплены такие определения, как «сертификат безопасности» и «информационная система национального удостоверяющего центра». Также в нем регламентируется деятельность Национального удостоверяющего центра (НУЦ) Минцифры, который «предназначен для обеспечения устойчивого взаимодействия устройств в сети Интернет и осуществляет безвозмездное создание и выдачу сайтам … сертификатов безопасности».

Авторы законопроекта в пояснительной записке обосновывают необходимость создания НУЦ, ссылаясь на досрочный отзыв сертификатов безопасности у сайтов Рунета (домен RU), выданных иностранными удостоверяющими центрами. Напомним, еще в начале марта иностранные отраслевые игроки объявили об уходе с российского рынка и начали отзывать сертификаты безопасности: например, американский провайдер DigiCert таким образом нарушил работу веб-ресурсов Центробанка, а южноамериканский Thawte – ВТБ. Также в числе покинувших Россию организаций входят такие крупные глобальные игроки, как GeoTrust, Sectigo (бывш. Comodo) и Rapid. В это же время на государственном уровне стал обсуждаться перевод российских сайтов на отечественные сертификаты безопасности, а Минцифры начал экстренную работу по созданию НУЦ и выдаче TLS-сертификатов.

Сбербанк превентивно уже перевел все свои онлайн-сервисы на российские TLS-сертификаты. «Вряд ли это свидетельство какой-то чрезмерной параноидальности крупнейшей финансовой организации страны. Скорее всего, уже совсем скоро на отечественные сертификаты безопасности начнут переходить и другие крупные компании, ведь зарубежные центры сертификации всё чаще практикуют отзыв сертификатов без предупреждения», – отметил аналитик ICT-Online.ru Андрей Блинов, выступая на конференции «Осенний документооборот – 2022».

Проблема заключалась в том, что не участники рынка признавали правовой статус Минцифры как оператора удостоверяющего центра. Теперь этот пробел должен быть устранен. «Новые сертификаты безопасности будут выдаваться с применением отечественных криптографических алгоритмов. Реализация решений, предусмотренных законопроектом, позволит обеспечить признание и поддержку использования сертификатов безопасности, выданных посредством информационной системы национального удостоверяющего центра, в операционных системах, информационных системах, сайтах и браузерах», – утверждается в пояснительной записке к законопроекту.

TLS-сертификат (Transport Layer Security) – это «электронная подпись» веб-ресурса, подтверждающая, что он работает с использованием защищенного криптографического протокола HTTPS (HyperText Transfer Protocol Secure) и обеспечивает пользователям безопасный обмен данными с сервером. В иностранных сертификатах не использовалась российская криптография по ГОСТу. Также ее нет и в зарубежных браузерах. Поэтому, например, при обращении к ресурсам Сбера из Chrome или Opera браузеры покажут, что «подключение к сайту не защищено». Корневой сертификат НУЦ на данный момент имеют только «Яндекс Браузер» и Atom от VK. Кроме того, пользователь сам может закачать этот сертификат на свое устройство (Windows, Android, iOS и MacOS) на сайте Госуслуг.

Эксперты рынка отмечают, что в данный момент отечественные разработчики операционных систем и браузеров не обязаны поддерживать российскую криптографию, а Минцифры в комментарии «Коммерсанту» подчеркивает, что наказания за неисполнение требований не предусматривается, в ведомстве надеются на добросовестность разработчиков.