Возможно, многие уже обратили внимание, что при заходе на ряд российских сайтов, например, sberbank.ru, появлется предупреждение о недоверенном сертификате. В Google Chrome оно выглядит вот так:
Причина этого явления — отказ в обслуживании российских организаций иностранными удостоверяющими центрами (УЦ, ЦС) и организации российскими властями своего УЦ, не признанного доверенным производителями браузеров (кроме российских, вроде «Яндекс.Браузера» или «Атома»).
Какие риски мы при этом получаем? Если последовать рекомендациям по установке российских сертификатов — в нынешних российских реалиях у властных и силовых структур появляется возможность (с помощью провайдеров интернет-услуг) незаметно для нас, пользователей, читать любой наш интернет-трафик — переписку в мессенджерах, перехватывать почту, считывать банковские реквизиты и пароли, всю ту информацию, которая обычно защищается шифрованием соединения и обозначается примерно так:
В ИБ этот приём обычно называется «MITM-атакой», или атакой «Человек посередине».
Более подробно о проблеме можно почитать на сайте РосКомСвободы.
К сожалению, просто отказаться от установки сертификатов этого нового УЦ, скорее всего, не получится, так как:
- придется также отказаться от всех онлайн-услуг всех организаций, которые эти сертификаты будут использовать;
- для подразделений, ведущих документооборот в РФ, других вариантов просто не останется;
- количество организаций, использующих эти сертификаты, будет увеличиваться по мере окончания действия сертификатов, выпущенных доверенными УЦ;
- скорее всего, не только госорганы, но и многие российские компании тоже со временем перейдут на услуги этого УЦ.
Хорошего общего решения этой проблемы еще нет, но есть ряд рекомендаций, который поможет уменьшить риски и уменьшить объем раскрываемой «товарищам майорам» информации:
- Не следовать инструкциям в полном объеме, т. е. не устанавливать сертификат корневого (и промежуточного, если он есть) центров сертификации, а разрешить доверие только к сертификату самогО сайта (тогда это будет действовать только для адреса этого сайта):
Использовать для взаимодействия с госструктурами виртуальную машину с установленными на ней нужными браузером, сертификатами и другим нужным, но изолированным ПО;
Если возможности для этого нет - использовать для этого (и только для этого!) отдельный браузер («Яндекс.Браузер» или «Атом», на данный момент в них есть встроенная поддержка этих сертификатов).
Тем, кто поторопился и уже выполнил рекомендации инструкций, рекомендуем удалить установленные сертификаты УЦ.
Сделать это можно так:
В Windows:
«Пуск» -> «Панель управления» -> «Свойства браузера»
или
«Пуск» -> «Панель управления» -> «Сеть и интернет» -> «Свойства браузера».
В открывшемся окне перейдите на вкладку «Содержание», нажмите кнопку «Сертификаты», выберите «Доверенные корневые центры сертификации». В списке поищите «Russian Trusted Root CA» и «Russian Trusted Sub CA», а также поищите и удалите их в соседних вкладках
В macOS:
В приложении «Связка ключей» выберите «Вход» -> перейдите во вкладку «Сертификаты».
В списке поищите «Russian Trusted Root CA» и «Russian Trusted Sub CA», а также поищите и удалите их в соседних вкладках.
На Android:
«Настройки» -> в поиске введите «Надёжные сертификаты» (или «Надёжные учётные данные», зависит от версии) -> перейдите во вкладку «Пользователь».
В списке поищите «Russian Trusted Root CA» и «Russian Trusted Sub CA», а также поищите и удалите их в соседних вкладках
На iOS:
«Настройки» ->«Основные» -> «Об этом устройстве» -> «Доверие сертификатам»
В списке поищите «Russian Trusted Root CA» и «Russian Trusted Sub CA», а также поищите и удалите их в соседних вкладках.