HTTPS на сайтах отечественных регуляторов по ИБ

Одна из классических рекомендаций для обеспечения безопасности в Интернет касается использования HTTPS на сайтах (для пользователей эта рекомендация звучит как «убедитесь, что у посещаемого вами сайта есть значок в адресной строке браузера»). Без него сайту доверять нельзя. Это уже аксиома! Тем страннее выглядит ситуация, когда отечественные регуляторы по ИБ ее игнорируют и имеют сайты, которые Google помечают как «небезопасные».

Причин у этого явления несколько, но основной называется нежелание российского государства зависеть от зарубежных удостоверяющих центров, которые в любой момент могут отозвать сертификат сайта, как это уже было с сайтом Общественной палаты в 2018-м году. В отдельных случаях, это может быть связано с санкциями, которые наложены или могут быть наложены на организации. Допускаю, что все так. Но почему тогда личный кабинет на сайте ЦБ защищен HTTPS (а основной сайт нет)? Почему сайт ФСТЭК защищен HTTPS (а сайт созданного ею центра тестирования Linux нет)? Почему сайты Минцифры и Роскомнадзора имеют действующие SSL-сертификаты иностранных удостоверяющих центров, как и российские компании, находящиеся под санкциями?

Ну да ладно, хрен с ними, с зарубежными сертификатами. Почему наши регуляторы не могут использовать отечественные УЦ? Если посмотреть на список действующих аккредитованных УЦ, то их немало и их число растет. И у нас есть национальный удостоверяющий центр, который мог бы выдавать свои, патриотически верные сертификаты.

Тем более, что это уже сейчас вполне возможно, ряд отечественных сайтов уже так работают. Например, те же Госуслуги, личный кабинет налогоплательщика, личный кабинет ФинЦЕРТ и т.п. Да, это не самая простая процедура, перейти на отечественные удостоверяющие центры, но это и не невозможно и регуляторы по безопасности могли бы стать примером для всех, в том числе и для отечественных компаний по ИБ, которые поддерживают отечественную криптографию только в процессе продаж и увеличения своих доходов, но не работы с клиентами или сотрудниками.

Однако, судя по всему, проблема не только в том, что у нас не хотят использовать выданные зарубежом сертификаты. Управлять ими у нас тоже не очень-то умеют. Достаточно вспомнить историю с просроченным сертификатом сайта НКЦКИ safe-surf.ru или сайта Минцифры, в 2021 и 2018 годах соответственно. При этом, если НКЦКИ оперативно обновило сертификат основного сайта, то они забыли обновить сайты подчиненные. Или свежая история с просроченным сертификатом другого сайта НКЦКИ — cert.gov.ru, который является витриной центра, ответственного за управление инцидентами ИБ в национальном масштабе и также является частью 8-го Центра ФСБ, который в России является головной структурой, регулирующей криптографию. Интересная коллизия, криптографический регулятор не смог настроить управление криптографическими сертификатами у себя на сайте.

После того, как информация о просроченном уже неделю сертификате сайта НКЦКИ просочилась наружу, регулятор поступил просто и даже прямолинейно — они вообще запретили HTTPS на своем сайте. Нет HTTPS, нет проблем! Правда, они забыли настроить редирект с https:// на http://, чтобы пользователи не видели сообщений об ошибке, набирая https://cert.gov.ru в адресной строке браузера. А вообще сайт cert.gov.ru уже не первый раз сталкивается с проблемами с криптографией. Раньше они собирали данные об инцидентах через форму на сайте без какой-либо защиты, рекомендовали использовать PGP и т.п.

Возможно, ситуация изменится с появлением государственного регистратора доменных имен госорганов и организаций с участием государства, о создании которого говорится в плане законотворческой деятельности Правительства. Хотя и сейчас такая структура у нас вроде бы есть — почти все сайты госорганов висят на домене .gov.ru, за который отвечает ФСО, которая могла бы управлять и SSL-сертификатами. Но и у самой ФСО на сайте такого сертификата нет. Так что…

Но, как мне кажется, даже при отсутствии такой структуры, нашим регуляторам стоило бы подумать о том, чтобы сделать свои сайты более защищенными. В конце концов, можно поставить бесплатный сертификат Let’s Encrypt, что не требует бюджетных согласований. Даже если его отзовут, то ситуация станет ровно такой же, как и сейчас, то есть не хуже. А пока используется этот бесплатный SSL-сертификат, можно решать вопрос с массовым переходом на отечественную криптографию в Рунете (все-таки распоряжению Президента уже скоро 6 лет будет); хотя я в него и не очень верю.

А еще отсутствие поддержки HTTPS у сайта (неважно, на какой криптографии; или важно?) приводит к понижению рейтинга сайта в поисковой выдаче, ограничивает показы их рекламы (хотя для государственных сайтов это и не так уж и критично), а также может привести к краже идентификационной информации, в том числе и администраторов (например, на фстэковском центре тестирования Linux есть вход для пользователей, где необходимо вводить логин и пароль, но сам сайт при этом не защищен и HTTPS не поддерживает).

ЗЫ. Слайды выше взяты из презентации Станислава Смышляева (КриптоПро) о будущем отечественной криптографии в Рунете, которая была прочитана на CTCrypt 2021.