Стоит ли устанавливать российский TLS-сертификат

Зачем нужны TLS-сертификаты

Практически все современные сайты используют для работы протокол HTTPS. Он подразумевает передачу шифрованного трафика, который даже в случае перехвата невозможно "прочитать". Использование протокола HTTPS увеличивает вашу конфиденциальность и приватность.

Протокол HTTPS подразумевает, что сайт будет отправлять информацию в зашифрованном виде, а браузер будет её расшифровывать – и наоборот, браузер будет передавать информацию в зашифрованном виде, а сайт будет её расшифровывать. Чтобы этот механизм начал работать, сайт и браузер должны создать совместный одноразовый ключ шифрования ("пароль" для расшифровки трафика) и обменяться им.

Но браузер по умолчанию не доверяет серверу. В конце концов, мошенники могут создать сайт, который станет имитировать интернет-магазин или онлайн-банк, и таким образом начать похищать деньги у пользователей. Чтобы браузер начал доверять серверу, тот должен предоставить сертификат, выданный авторизованным центром сертификации.

У каждого браузера есть список авторизованных центров сертификации, которым он доверяет. Это могут быть DigiCert, Let’s Encrypt, GlobalSign и другие. Если браузер определяет, что TLS-сертификат выдан удостоверяющим центром из списка авторизованных, он его принимает и устанавливает защищённое соединение.

Зарубежные и российские TLS-сертификаты

До 2022 года в России не было собственного удостоверяющего центра, который бы выдавал TLS-сертификаты. Чтобы получить такие "документы", сайты обращались в зарубежные компании. Например, TLS-сертификат онлайн-банка "Сбербанк.Онлайн" был выдан удостоверяющим центром GlobalSign.

Однако в 2022 году на российские компании был наложен ряд экономических санкций, а международные удостоверяющие центры отказались выдавать сертификаты для российского бизнеса и государственных органов.

Это вынудило Минцифры РФ совместно с НИИ "Восход" создать собственный Национальный удостоверяющий центр и выпустить TLS-сертификаты для российского бизнеса.

Зачем устанавливать сертификаты?

В целом установка TLS-сертификатов – распространённая практика в корпоративных сетях. Часто внутренние корпоративные порталы – например, CRM-системы или базы знаний – запускаются на серверах без подключения к интернету, а их сайты подписываются собственным сертификатом.

Однако браузеры не принимают такие TLS-сертификаты, поскольку "не доверяют" им. Ведь они созданы не авторизованным удостоверяющим центром, а какой-то другой компанией. Чтобы браузер начал доверять этому сертификату, необходимо установить сертификат в корневое хранилище сертификатов на устройстве.

С Национальным удостоверяющим центром РФ (Russian Trusted Root CA) наблюдается похожая ситуация. Он не является авторизованным удостоверяющим центром, поэтому браузеры, получив от него сертификаты, им просто не доверяют. При попытке открыть такой сайт в Google Chrome пользователь получит предупреждение, что соединение с этим сайтом небезопасно и открывать его не рекомендуется.

Именно поэтому Минцифры РФ предлагает установить корневой TLS-сертификат на устройство. Таким образом он встроится в список сертификатов, которым браузер обязан доверять, и сайт снова начнёт открываться. Однако мы не рекомендуем этого делать, это создает риски для безопасности.

Если не получается открыть сайты с российскими TLS-сертификатами, лучше использовать для работы с ними дополнительный браузер, который им доверяет. Например, "Яндекс.Браузер" или "Атом".

Что будет, если всё-таки установить российский TLS-сертификат

TLS-сертификаты нужны для того, чтобы обеспечивать вашу информационную безопасность. Они участвуют в шифровании трафика. Поэтому перехваченный трафик не может быть прочитан злоумышленниками: максимум информации, который смогут получить хакеры, разбирая перехваченные данные – это домен сайта.

Однако при установке TLS-сертификата на компьютер вы уменьшаете защиту данных. Хотя трафик по-прежнему шифруется, злоумышленники при определённых обстоятельствах смогут выдать себя за любой сайт или создать SSL-прокси. Тогда они смогут легко расшифровать ваш трафик и получить полный доступ к вашим данным:

• Логинам и паролям сайтов, особенно передающимся в нехэшированном виде;

• Номерам банковских карт, включая CVC/CVV-коды;

• Перепискам в социальных сетях, которые используют этот TLS-сертификат;

• Историям покупок в интернет-магазинах;

• Медицинской информации;

• Данным документам;

• Просмотренным и загруженным видео, прочитанным и опубликованным статьям, распространяемой информации.

Устанавливая TLS-сертификат, вы рискуете сделать свою интернет-активность абсолютно прозрачной – особенно в том случае, если будет создан SSL-прокси.

Что такое SSL-прокси

SSL-прокси – это сервер, который пропускает через себя весь интернет-трафик пользователей, подменяя TLS-сертификат.

Предположим, вы читаете новости на Deutsche Welle и Meduza, а также оставляете комментарии на других сайтах. Ваш провайдер "видит", что вы открываете эти сайты, однако не видит, какие конкретно новости вы читаете, и не может прочитать текст этих комментариев.

Провайдер создаёт SSL-прокси и подменяет TLS-сертификаты Deutsche Welle и Meduza на сертификаты Russian Trusted Root CA. Теперь он может расшифровать весь ваш трафик и увидеть, какие конкретно новости вы прочитали и какие конкретно комментарии оставили.

Подобный механизм пытались внедрить в 2016 году в Республике Казахстан.

Россия – страна с высоким уровнем государственного контроля

Также стоит учесть, что Российская Федерация – это страна с высоким уровнем государственного контроля.

С 2018 года в России действует так называемый "пакет Яровой", в рамках которого интернет-провайдеры обязаны хранить копии интернет-трафика пользователей в течение 6 месяцев. В целях соблюдения этого закона у провайдеров хранится переписка пользователей в мессенджерах, социальных сетях, по электронной почте, а также аудиозаписи звонков.

Поскольку крупнейшие сайты использовали зарубежные TLS-сертификаты, эта информация хранилась в зашифрованном виде. Формально российские правоохранительные органы могли получить к ней доступ, однако "прочитать" её не удавалось.

Если вы будете пользоваться российским TLS-сертификатом, часть вашего трафика всё-таки смогут прочитать.

Опыт запуска "цензурирующего сертификата" в Казахстане

В 2016 году в Республике Казахстан была запущена государственная платформа анализа трафика. Сертификаты сайтов подменялись государственными, а для их работы пользователи были обязаны установить корневой сертификат, выданный Комитетом связи, информатизации и информации Министерства по инвестициям и развитию РК.

Это вызвало множество негодования и протестов. Кроме того, попытки подменить сертификат на стороне провайдера привели к тому, что множество критически важных для инфраструктуры страны сайтов перестало открываться.

Результатом стала отмена инициативы в скором времени после запуска.

Не устанавливайте российский TLS-сертификат

Установив российский TLS-сертификат, вы откроете свой трафик для хакеров и слежки. Вместо этого воспользуйтесь одним из двух российских браузеров, поддерживающих TLS-сертификаты Russian Trusted Root CA. Это "Яндекс.Браузер" и "Атом". Используйте их только для доступа к сайтам, которые недоступны в привычных браузерах.

Если вам всё-таки нужно установить этот TLS-сертификат, вы сможете защитить себя, используя VPN. Он создаёт туннель, в котором дополнительно шифруется весь трафик. Так что никакие хакеры или государственные службы не смогут прочитать вашу интернет-активность.