Главная » Криптография

Что у нас с НУЦем?

Криптография
На чтение 6 мин Просмотров 1.5к. Опубликовано

3 с лишним года назад я написал про запуск нашим Минцифры Национального удостоверяющего центра и начало выдачи сертификатов российским юридическим лицам. Что у нас поменялось с тех пор? Особенно на фоне блокировок РКНом ресурсов Cloudflare, на которых и за которым располагаются популярные в России сервисы Let’s Encrypt (я про это у себя в Telegram подробно расписал).

НИЧЕГО! Минцифры в своем официальном Telegram-канале за это время дважды написало про НУЦ — 10-го марта 2022, анонсировав сам сервис, и 15-го сентября того же года, рассказав, что Сбербанк перешел на выдаче сертификатов через НУЦ. С тех пор, то есть с 15.09.2022 Минцифры ни разу не упомянуло НУЦ и больше не призывало к переходу на отечественные сертификаты TLS. На сайте Минцифры новостей чуть больше — к двум из Telegram-канала добавлено еще три, две из которых со статистикой выдачи сертификатов юрлицам и физлицам (не больше пяти тысяч за год, а всего было 15 тысяч заявок).

Если бы я отвечал в министерстве цифрового развития за цифровой суверенитет и развитие национального удостоверяющего центра (НУЦ), мои действия можно было бы разбить на три направления: технические меры, организационные и регуляторные меры, а также коммуникация и продвижение. Вот чтобы сделал я, будучи дилетантом в деле управления государственными проектами в целом и PKI в частности.

Содержание
  1. ТЕХНИЧЕСКИЕ МЕРЫ
  2. ОРГАНИЗАЦИОННЫЕ И РЕГУЛЯТОРНЫЕ МЕРЫ
  3. КОММУНИКАЦИЯ И ПРОДВИЖЕНИЕ

ТЕХНИЧЕСКИЕ МЕРЫ

Начал бы с масштабной интеграции поддержки НУЦ в отечественные продукты. К сожалению, браузеры Атом и Спутник приказали «долго жить», но в Яндекс.Браузере такая поддержка есть. По российским операционным системам вроде все неплохо (не знаю, насчет всех, но основные сертификаты НУЦ поддерживают).

В декабре 2024 года Минцифры предложило новые правила для ПО из реестра российского ПО или претендующего на включение в него. В частности такой софт должен быть совместим с двумя российскими ОС, отвечающими дополнительным требованиям, среди которых — поддержка сертификатов безопасности НУЦ. Документ пока, правда, так и не принят и поэтому российское ПО не должно по умолчанию доверять НУЦ. Госкомпании, госбанки и т.п. такую поддержку обеспечивают, а вот остальные, увы.

Следующим шагом я бы запустил простейший процесс получения, продления и отзыва сертификатов. Для этого надо было бы разработать публичный API для автоматизации по аналогии с ACME от Let’s Encrypt, внедрить утилиты и плагины для популярных веб-серверов: nginx, Apache, Битрикс и др. Затем нужно сделать автоматическую и максимально упростить и ускорить ручную валидацию сертификатов.

Все это можно было бы возложить на Национальный технологический центр цифровой криптографии. Это прям хорошо ложится в его цели и задачи. И финансирование ему выделить, а не урезать его так, что даже с помпой запущенные проекты типа Мультисканера пришлось официально закрывать из-за нехватки денег.

Затем я бы замутил какой-нибудь прототип гибридной схемы с fallback, описав вариант наличия у сайта двух сертификатов:

  • один — от глобального CA (если есть),
  • второй — от НУЦ (для fallback через национальный браузер или ПО).

TLS может работать как с международными, так и с российскими криптографическими алгоритмами. Наше государство, конечно, хотело бы, чтобы все перешли на отечественную криптографию. А РКН так и вовсе призвал отказаться от зарубежных криптографических протоколов (написал подробно в Telegram об этом). Поэтому было бы неплохо оснастить россиян российскими криптобиблиотеками для интеграции со своими ресурсами (когда-то даже президент такое распоряжение давал, но его все проигнорировали).

Я бы с удовольствием на свой нынешний сайт поставил бы отечественную криптографию. Но за 3 года с моей заметки ситуация не сдвинулась ни на йоту 🙁 Как технически разместить сертификат НУЦа даже на западной криптографии у себя на сайте я не очень понимаю, так как мой хостер не поддерживает этот CA.

ОРГАНИЗАЦИОННЫЕ И РЕГУЛЯТОРНЫЕ МЕРЫ

На уровне организационных и регуляторных мер можно было бы включить требование обязательного наличия основного или резервного сертификата от НУЦ для госорганов и муниципальных структур, а также, возможно, субъектов КИИ (для последних — к 2030-му году). Для оставшихся юридических лиц — добровольно-рекомендательный характер, но с льготами.

Еще одна задача, где центр цифровой криптографии был бы очень к месту, это разработка стандартов и рекомендаций вокруг НУЦ:

  • Описать требования к инфраструктуре, обновлению, ротации ключей, журналированию и т.п.

  • Разработать единый реестр доменов, сертифицированных НУЦ, с открытым доступом (транспарентность, аналог Certificate Transparency) и автоматизацией доступа к нему (а не только через обычный файлик, сгружаемый с сайта).

Если вы захотите отозвать сертификат НУЦ, выданный до 13 июля 2025 года, то вы должны отправить сертификат по электронной почте в Минцифры, подписав (письмо или сертификат???) его УКЭП. Если же сертификат был получен после 14-го июля, то можно просто заполнить заявление на Госуслугах. Срок исполнения заявки — 5 (пять!!!!) дней. Ахренеть, как удобно.

Можно было бы также подумать о финансовых и юридических стимулах:

  • Сертификаты бесплатны или льготны для малого бизнеса, ИТ-компаний и госучреждений.

  • Возможность включения затрат на внедрение в субсидии по цифровизации.

КОММУНИКАЦИЯ И ПРОДВИЖЕНИЕ

3 года молчания о НУЦ — это, конечно, зашквар. Проведи сейчас опрос среди пользователей и многие не вспомнят, что это такое. Поэтому нужна кампания под лозунгом «Ваш сайт — ваша ответственность!», в рамках которой надо объяснять, что отсутствие действующего и доверенного TLS — это:

  • потеря доверия клиентов,
  • угроза MITM-атак,
  • невозможность работы через HTTPS-API.

И все это продвигать разными способами:

  • Проведение онлайн-встреч для ИТ-директоров и системных администраторов.
  • Инструкции, how-to, ролики на VK Video и RuTube: как получить, установить, продлить сертификат НУЦ.
  • Истории успеха тех, кто это сделал (вот чего добился Сбер за прошедшие 3 года, кто знает?).
  • Привлечение известных техно-блогеров.
  • Партнерская программа с хостинг-провайдерами и регистраторами доменов, в рамках которой внедрить возможность выпускать НУЦ-сертификаты в панели управления хостинга и сразу предлагать сертификат НУЦ при регистрации домена.

И затем уже отчетность, которую так любят все госорганы. Ежеквартно постить в канале Минцифры:

  • статистику по числу выданных сертификатов,
  • отраслевую аналитику (кто уже перешел и как это помогло),
  • примеры успешного внедрения.

Цель — не заставить, а дать работающий и надежный резерв, особенно в условиях санкционного давления. НУЦ — это не конкурент глобальным CA, а страховка от внешнеполитических рисков. Если пользователи увидят, что это удобно, прозрачно, бесплатно и технически безопасно, они начнут использовать НУЦ добровольно — сначала как резерв, потом, возможно, как основной канал получения и продления сертификатов для своих ресурсов.

Не знаю, будут ли об этом говорить на грядущем PKI-форуме, но было бы неплохо. Пока там слово «НУЦ» встречается только один раз — в пленарной дискуссии о том, что изменилось с прошлого года.

 

PKI Минцифры
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.