HTTPS на сайтах отечественных регуляторов по ИБ

Криптография

Одна из классических рекомендаций для обеспечения безопасности в Интернет касается использования HTTPS на сайтах (для пользователей эта рекомендация звучит как «убедитесь, что у посещаемого вами сайта есть значок в адресной строке браузера»). Без него сайту доверять нельзя. Это уже аксиома! Тем страннее выглядит ситуация, когда отечественные регуляторы по ИБ ее игнорируют и имеют сайты, которые Google помечают как «небезопасные».

Российские государственный сайты не используют SSL
Российские государственный сайты не используют SSL

Причин у этого явления несколько, но основной называется нежелание российского государства зависеть от зарубежных удостоверяющих центров, которые в любой момент могут отозвать сертификат сайта, как это уже было с сайтом Общественной палаты в 2018-м году. В отдельных случаях, это может быть связано с санкциями, которые наложены или могут быть наложены на организации. Допускаю, что все так. Но почему тогда личный кабинет на сайте ЦБ защищен HTTPS (а основной сайт нет)? Почему сайт ФСТЭК защищен HTTPS (а сайт созданного ею центра тестирования Linux нет)? Почему сайты Минцифры и Роскомнадзора имеют действующие SSL-сертификаты иностранных удостоверяющих центров, как и российские компании, находящиеся под санкциями?

Ну да ладно, хрен с ними, с зарубежными сертификатами. Почему наши регуляторы не могут использовать отечественные УЦ? Если посмотреть на список действующих аккредитованных УЦ, то их немало и их число растет. И у нас есть национальный удостоверяющий центр, который мог бы выдавать свои, патриотически верные сертификаты.

Тем более, что это уже сейчас вполне возможно, ряд отечественных сайтов уже так работают. Например, те же Госуслуги, личный кабинет налогоплательщика, личный кабинет ФинЦЕРТ и т.п. Да, это не самая простая процедура, перейти на отечественные удостоверяющие центры, но это и не невозможно и регуляторы по безопасности могли бы стать примером для всех, в том числе и для отечественных компаний по ИБ, которые поддерживают отечественную криптографию только в процессе продаж и увеличения своих доходов, но не работы с клиентами или сотрудниками.

Однако, судя по всему, проблема не только в том, что у нас не хотят использовать выданные зарубежом сертификаты. Управлять ими у нас тоже не очень-то умеют. Достаточно вспомнить историю с просроченным сертификатом сайта НКЦКИ safe-surf.ru или сайта Минцифры, в 2021 и 2018 годах соответственно. При этом, если НКЦКИ оперативно обновило сертификат основного сайта, то они забыли обновить сайты подчиненные. Или свежая история с просроченным сертификатом другого сайта НКЦКИ — cert.gov.ru, который является витриной центра, ответственного за управление инцидентами ИБ в национальном масштабе и также является частью 8-го Центра ФСБ, который в России является головной структурой, регулирующей криптографию. Интересная коллизия, криптографический регулятор не смог настроить управление криптографическими сертификатами у себя на сайте.

Просроченный SSL-сертификат у НКЦКИ
Просроченный SSL-сертификат у НКЦКИ

После того, как информация о просроченном уже неделю сертификате сайта НКЦКИ просочилась наружу, регулятор поступил просто и даже прямолинейно — они вообще запретили HTTPS на своем сайте. Нет HTTPS, нет проблем! Правда, они забыли настроить редирект с https:// на http://, чтобы пользователи не видели сообщений об ошибке, набирая https://cert.gov.ru в адресной строке браузера. А вообще сайт cert.gov.ru уже не первый раз сталкивается с проблемами с криптографией. Раньше они собирали данные об инцидентах через форму на сайте без какой-либо защиты, рекомендовали использовать PGP и т.п.

Возможно, ситуация изменится с появлением государственного регистратора доменных имен госорганов и организаций с участием государства, о создании которого говорится в плане законотворческой деятельности Правительства. Хотя и сейчас такая структура у нас вроде бы есть — почти все сайты госорганов висят на домене .gov.ru, за который отвечает ФСО, которая могла бы управлять и SSL-сертификатами. Но и у самой ФСО на сайте такого сертификата нет. Так что…

Но, как мне кажется, даже при отсутствии такой структуры, нашим регуляторам стоило бы подумать о том, чтобы сделать свои сайты более защищенными. В конце концов, можно поставить бесплатный сертификат Let’s Encrypt, что не требует бюджетных согласований. Даже если его отзовут, то ситуация станет ровно такой же, как и сейчас, то есть не хуже. А пока используется этот бесплатный SSL-сертификат, можно решать вопрос с массовым переходом на отечественную криптографию в Рунете (все-таки распоряжению Президента уже скоро 6 лет будет); хотя я в него и не очень верю.

А еще отсутствие поддержки HTTPS у сайта (неважно, на какой криптографии; или важно?) приводит к понижению рейтинга сайта в поисковой выдаче, ограничивает показы их рекламы (хотя для государственных сайтов это и не так уж и критично), а также может привести к краже идентификационной информации, в том числе и администраторов (например, на фстэковском центре тестирования Linux есть вход для пользователей, где необходимо вводить логин и пароль, но сам сайт при этом не защищен и HTTPS не поддерживает).

ЗЫ. Слайды выше взяты из презентации Станислава Смышляева (КриптоПро) о будущем отечественной криптографии в Рунете, которая была прочитана на CTCrypt 2021.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Сергей

    Таки аккредитованных УЦ нынче не так уж и много. Всего 40. Из которых чуть меньше десятка госорганы или госкорпорации, наверное треть — банки, и еще треть телеком и холдинговые структуры. Вот правильная ссылка
    https://digital.gov.ru/ru/activity/govservices/certification_authority/
    Но в целом с криптографией у госорганов беда, да…

    Ответить
    1. Алексей Лукацкий автор

      Я бы сказал, что с криптографией беда в России в целом. Один регулятор, который застыл в прошлом веке и сдерживает развитие всего рынка

      Ответить
  2. Андрей

    вот по этой теме аж с 2018 года
    https://youtu.be/1T4qZbDFkAE
    там в начале рассматривают использование криптографии на сайтах госорганов
    4 года уже прошло. В России что отечественной что криптографии нет? Или Госорганы её забыли или надзора над ними нет?
    С такими темпами не то что процессор Эльбрус не запустим, который требуют очень много вложений, а и российскую криптографию потеряем.

    Ответить
    1. Алексей Лукацкий автор

      Вот что-что, а криптографию мы не потеряем. Скоро просто никакой не останется, кроме отечественной. И будем жрать кактусы. А может наконец-то тогда регуляторы повернулся лицом к народу и предприятиям и сделают использование российских СКЗИ более удобным и простым

      Ответить