Как я пытался внедрить гостовый SSL-сертификат к себе на сайт

Криптография

Я вообще человек не заскорузлый и люблю пробовать что-то новое в области ИБ; особенно когда меня некоторые коллеги обвиняют, что я «не люблю пролетариат», то есть продукцию отечественного ИТ/ИБ-прома.

Да вот ни хрена 🙁 Моя любовь не связана со страной происхождения. Просто так получается, что многие отечественные начинания, мягко говоря, не очень удобны в использовании. Возьмем к примеру тему с российской криптографией, о которой говорят из каждого утюга и обещают оснастить ею всех — от мала до велика, от крупных госорганов до физлиц, которые смогут общаться с госорганами и вообще бороться с угрозами со стороны американских супостатов.

Поручение Президента о переходе органов власти на использование российских криптографических алгоритмов и средств шифрования было подписано еще в июле 2016-го года.

Так вот я решил попробовать поставить ГОСТовый CSP и SSL-сертификат на свой новый сайт. Как вы думаете, легко ли мне было это сделать? Да вот ни хрена — я не смог пройти этот квест. Несколько регистраторов доменов, а также хостинговых компаний, в которые я обращался, ответили мне, что не предоставляют такую услугу. И, кстати, еще вопрос, — юридически, как физлицо, я вообще могу на свой сайт поставить отечественную криптографию? Если же попробовать это сделать как индивидуальный предприниматель (если бы у меня был такой статус), то там еще больше вопросов возникает.

Вообще поиск в Интернет по ключевым словам «ГОСТ» и «SSL-сертификат» выдает катастрофически мало ссылок, что говорит о непроработанности этой темы, несмотря на заявления отечественных игроков рынка СКЗИ о том, что все готово и надо только желание общества. Увы…

Их возникает еще больше, если вдруг сайт хостится за пределами РФ, так как необходимо решить вопрос с экспортом СКЗИ за пределы РФ, а это тот еще квест; и уже точно как физлицо я не буду его проходить. Вам нужно взять где-то соответствующие криптографические библиотеки, вывезти их за пределы РФ, ввезти их в страну нахождения хостинга и поставить на хостинг. При наличии VPS последнюю задачу еще можно решить, а вот при наличии общего хостинга, увы.

Генерить самоподписанные сертификаты или сертификаты от тестового УЦ КриптоПро, как было описано на Хабре, я посчитал для себя неправильным. Я все-таки хотел получить полноценный и официально признаваемый сертификат ГОСТ SSL от какого-либо государственного УЦ. Попытка пообщаться с такими центрами тоже закончилась ничем — с физлицами они предпочитают не связываться. 

Так что моя попытка добавить на сайт к зарубежному SSL-сертификату еще и отечественный закончилась ничем. А так хотелось… 

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Александр Веселов

    > Попытка пообщаться с такими центрами тоже закончилась ничем — с физлицами они предпочитают не связываться. 

    А в каких УЦ пробовал получить сертификат? Тензор, ИИТ?

    Ответить
    1. Алексей Лукацкий автор

      Не буду их озвучивать. Если бы выдали — я бы похвастался 🙂

      Ответить
  2. Алексей

    А что значит «хотел получить полноценный и официально признаваемый сертификат ГОСТ SSL от какого-либо государственного УЦ»?
    Вы хотели получить TLS сертификат с ГОСТ от АУЦ? Или именно от Восхода? И что такое «официально признаваемый»? Вы хотели что бы он валидным относительно списка корневых сертификатов Mozilla (NSS)?

    Ответить
    1. Алексей Лукацкий автор

      Я хотел, чтобы с моим сайтом можно было бы работать по ГОСТовому сертификату, выданному одним из аккредитованных УЦ (с простройкой цепочки доверия до ГУЦ или без нее).

      Ответить