С начала войны «Госуслуги», сайты Кремля и других ведомств работают с трудом — или вообще не открываются Рассказываем, с чем это связано и как на них зайти, если очень надо
С начала войны в Украине у российских пользователей начались проблемы с доступом к правительственным сайтам и онлайн-клиентам банков. Браузеры начали помечать эти сайты как небезопасные и сбрасывать соединение. Причина — отзыв цифровых сертификатов безопасности, без них браузеры не доверяют сайтам и «защищают» от них своих пользователей. Рассказываем, что теперь будет с правительственными сайтами и как получить к ним доступ, если очень нужно, но ничего не работает.
Цифровые сертификаты нужны, чтобы подтвердить, что сайт на который хочет попасть пользователь, не мошеннический. Они содержат ключи шифрования для установки безопасного соединения между сайтом и пользователем. Понять, защищена ли сертификатом страница в интернете, очень просто, достаточно посмотреть в адресную строку браузера. Если адрес начинается с префикса https://, а рядом с адресом есть символ замочка — страница защищена. Нажав на этот замочек, можно посмотреть статус соединения, а также название центра сертификации (Certification Authority), выпустившего сертификат, и срок его действия.
В мире есть несколько десятков коммерческих и некоммерческих организаций, обладающих корневыми цифровыми сертификатами, но ¾ всех сертификатов выдает всего пять самых крупных компаний. Четыре из них зарегистрированы в США, а одна — в Бельгии.
Как правило, цифровые сертификаты имеют древовидную структуру: владелец корневого ЦС может разрешить право выпуска ЦС, подписанных его корневым сертификатом. Они, в свою очередь, будут выпускать дочерние сертификаты — все это платные услуги. Все участники цепи зарабатывают на этом деньги. Например, компания, владеющая многими сайтами для разных продуктов, может получить от владельца корневого цифрового сертификата (КЦС) один удостоверяющий сертификат и подписывать им дочерние сертификаты — отдельный для каждого сайта.
Владельцы КЦС отзыв сертификатов у российских компаний и государственных сервисов пока не комментировали. Но в условиях санкционных ограничений платежных систем российские сайты могут просто потерять возможность оплачивать такие услуги.
К чему это приведет?
Современные браузеры, как правило, не открывают не защищенные сертификатом сайты, выдавая предупреждение о «небезопасном соединении». Кроме того, поисковики значительно понижают такие сайты в выдаче. Защищенность и подлинность соединения особенно важны, когда речь идет о работе с критическими сервисами: электронной почтой, сайтами социальных сетей, интернет-банками и госуслугами.
Именно для двух последних случаев Минцифры намеренно предложить собственный корневой сертификат, от которого можно выпускать дочерние сертификаты для банков и сайтов государственных служб, не оглядываясь на международные организации.
Проблема этого подхода следующая: поскольку Google (разработчики Chrome), Apple (Safari), Microsoft (Edge) и Mozilla ничего не знают об этом сертификате, пользователям придется или перейти на браузеры от «Яндекса» и VK (в прошлом Mail.ru Group), или добавлять российский сертификат в список доверенных вручную.
С установкой отечественных браузеров все понятно — еще 10 марта пользователи «Госуслуг» получили рассылку от Минцифры, в которой ведомство предлагало установить «Яндекс.Браузер» или Atom (Mail.ru), которые «поддерживают российские сертификаты».
А вот с ручной установкой сертификатов все сложнее. Сторонние сертификаты — это небезопасно. Убедив пользователя установить «свой» сертификат и создав поддельную копию сайта, злоумышленники смогут провести атаку, известную как man-in-the-middle (атака посредника), которая откроет доступ к обмену данными между пользователем и сайтом.
Так как сертификат государственный, его установка — вопрос доверия к властям. Обычно при работе с защищенным сайтом провайдер не имеет доступа к данным, которыми со страницей обменивается пользователь. Государственные сертификаты позволят получить доступ к информации в незашифрованном виде.
К тому же массовая информационная кампания со стороны банков и государственных сервисов, которую необходимо будет провести, чтобы пользователи установили сертификаты, открывает новые возможности для телефонных мошенников. Они смогут якобы от имени службы поддержки убедить пользователей своими руками установить поддельный сертификат.
Теоретически правительство может попытаться договориться с иностранными технологическими компаниями. Если государственный корневой сертификат добавят в список доверенных, браузеры будут считать соединение с сайтом, где установлены российские сертификаты, безопасным. Но в текущей обстановке рассчитывать на такое содействие сложно. Пользователей зарубежных браузеров, то есть самых популярных — Google Chrome, Safari, FireFox, — придется убеждать добавлять сертификат в список доверенных вручную. При этом глобальные компании все еще могут внести его в черный список.
Meduza has been blocked in Russia. We were ready for this and our work continues, no matter what, but we need your support like never before.
We need it now. Tomorrow could be too late. We are an independent publication, and we work only in the interests of our readers. Many of our readers in Russia can no longer contribute, so we turn to you, our audience around the world.
Кто-то уже вводил государственные сертификаты?
Россия предсказуемо оказывается в компании стран, наиболее озабоченных интернет-суверенитетом и иностранным информационным влиянием. В КНР к настоящему моменту — более десяти Certificate Authorities, которые Microsoft добавила в список доверенных в ОС Windows и браузере Edge. Впрочем, были и случаи отзыва статуса доверенных у китайских ЦС — так, в 2017 году Microsoft, Apple, Google и Mozilla поместили в черный список ЦС WoSign «в связи с утратой доверия», а за два года до этого Google и Mozilla перестали признавать корневой сертификат CNNIC — организации, ответственной за управление китайским сегментом интернета. Это произошло после попыток использовать дочерние сертификаты CNNIC для слежки за пользователями в Египте.
Более близким россиянам примером может быть Казахстан, где с 2015 года под предлогом борьбы с терроризмом правительство уже три раза пыталось предложить пользователям «государственный сертификат».
Первая попытка была настолько непродуманной, что привела к нарушениям работы банков и популярных интернет-сервисов. Массовые сбои произошли у международных систем, например сайтов, платежных и рекламных платформ. Браузеры просто блокировали трафик, их системы безопасности сочли происходящее атакой типа man-in-the-middle и показывали пользователям ошибку.
Позже были еще две неудачные попытки, во время которых казахстанские власти попытались выпускать сертификаты для Facebook, Twitter и Google, а пользователи отказывались устанавливать такие сертификаты на свои устройства. Разработчики браузеров массово внесли сертификаты в черные списки, и правительство просто перешло к практике массовых отключений интернета в кризисных ситуациях.
Что теперь делать российским пользователям?
Добавлять госсертификаты в основные браузеры пока не стоит, а «Яндекс.Браузером» или Atom от Mail.ru лучше пользоваться исключительно для работы с государственными сайтами и онлайн-банками. За остальной трафик устройства можно не переживать, пока российский корневой сертификат не попадет в список доверенных у зарубежных разработчиков.
Не стоит забывать и об обычных мерах предосторожности вроде использования проверенных VPN, которые шифруют всю вашу интернет-активность, и отказа от использования DNS-серверов провайдера.