PIAROFF
Компании
Новости
Пресс-релизы
События
Статьи
3 минуты

«Солар» рассказал о подключениях пользователей к сайту по ГОСТовым протоколам шифрования

Протокол TLS (пришедший на смену протоколу SSL) — один из кубиков системы защиты данных в глобальном Интернете. Шифрование информации, которая передается между веб-ресурсами и устройствами пользователей, а также подтверждение подлинности веб-ресурса...

Tag : SSL,TLS,гост,солар

Протокол TLS (пришедший на смену протоколу SSL) — один из кубиков системы защиты данных в глобальном Интернете. Шифрование информации, которая передается между веб-ресурсами и устройствами пользователей, а также подтверждение подлинности веб-ресурса основаны на работе этих протоколов. Использование https-соединения (которое защищает информацию по протоколу TLS/SSL) вместо http (в котором никакой защиты нет) в принципе стало мировым трендом. Браузеры помечают сайты, не поддерживающие https, как небезопасные, а поисковики ранжируют их ниже в своей выдаче.

По этим принципам «жили» все онлайн-ресурсы, однако в 2022 году зарубежные центры сертификации стали отзывать TLS-сертификаты сайтов российских компаний. И вопрос безопасного доступа в Рунете оказался под большим вопросом. Почему так произошло и что делать пользователям дальше – рассказал руководитель направления ГОСТ VPN ГК «Солар» Александр Веселов.

Инфраструктура и риски

Массовый сегмент Интернета один для всех (не даром это «всемирная паутина»). TLS-сертификаты долгие годы были универсальным инструментом, который позволял проверить, что браузер связывается с запрашиваемым сайтом, а не с подменным. Полномочия по выдаче сертификатов возложены на специальные центры сертификации. Последних в мире не так много и до недавнего времени в России не было ни одного. У каждого центра есть собственный корневой сертификат, с помощью которого можно проверить сертификат, выданный сайту. Для этого корневые сертификаты центров должны быть встроены в ПО на устройстве (например, в браузер). Весь процесс выглядит так:

«Солар» рассказал о подключениях пользователей к сайту по ГОСТовым протоколам шифрования

Система работала до 2022 года, пока зарубежные центры не начали отзывать сертификаты российских сайтов. В этот момент выяснилось, что компенсирующих мер, по сути, нет. Во-первых, в России не было собственных центров сертификации для выпуска сертификатов для сайтов. Во-вторых, большинство операционных систем и браузеров зарубежные, и в них уже «зашиты» корневые сертификаты зарубежных центров, и добавить к ним российские в современных условиях весьма затруднительно.

Тогда Минцифры России оперативно создало Национальный удостоверяющий центр (НУЦ), который обеспечил выпуск TLS-сертификатов для сайтов с применением зарубежных (а в ближайшей перспективе и российских) криптографических алгоритмов. В то же время легитимный статус НУЦ не признаётся мировым сообществом – его сертификат не считают доверенным. Из-за «недоверия» этот сертификат не встроен в зарубежные операционные системы и браузеры, поэтому пользователям нужно установить его дополнительно. В противном случае вы увидите это:

«Солар» рассказал о подключениях пользователей к сайту по ГОСТовым протоколам шифрования

В российских браузерах (например, «Яндекс.Браузер», «Атом» или «Луна») отечественный сертификат добавлен «по умолчанию».

Создание российского центра сертификации действительно помогло остановить массовый отзыв зарубежных сертификатов безопасности. Но, с другой стороны, российские сертификаты особой популярностью пока не пользуются – слишком мало сайтов получили сертификат НУЦ.

От редакции

По данным «Технического центра Интернет», на июнь 2024 года в зонах .ru, .рф и .su TLS-сертификаты были лишь у 36% сайтов. Причём 98% из них пользуются иностранными сертификатами. Среди них – сайты Центробанка, финансовых организаций, пенсионных фондов, госорганов, промышленных предприятий, магазинов и школ.

Итак, курс на независимую инфраструктуру как с зарубежными алгоритмами, так и с отечественными, уже взят. Однако использование российских ГОСТ сложнее в реализации для обычного пользователя. Как «обучить» свое устройство ГОСТу?

Что делать?

Чтобы ваш компьютер (или телефон) смог «договориться» с сайтом, получившим гостовый TLS-сертификат, в него требуется установить специальное программное обеспечение, у которого есть два варианта реализации.

Первый – это криптопровайдер, например «КриптоПро CSP». Он реализует ГОСТ-криптографию и позволяет другим приложениям (в том числе и браузеру) использовать её в своей работе. Сертификат российского центра сертификации уже зашит в этот программный комплекс.

Второй вариант – специальный клиент, который, пропуская «через себя» трафик, обеспечивает построение защищенного соединения по ГОСТ-алгоритмам. Клиент может также иметь и другие функции – работу с электронной подписью и проверку защищенности рабочего места пользователя (например, это ViPNet PKI Client, ZTNA Client).

Какой вариант выбрать, зависит от вашего браузера, операционной системы и готовности платить за софт (или использовать бесплатный вариант).

«Яндекс.Браузер» и Chromium-Gost

Если вы пользуетесь этими браузерами, то вам подойдет вариант с криптопровайдером. После его загрузки на компьютер нужно будет сделать пару простых манипуляций непосредственно в браузере.

В преддверии голосования (которое, как мы помним, можно было осуществлять дистанционно) на портале госулуг появились следующие комплекты для реализации шифрования:

  • Для Windows: «КриптоПро CSP» + «Яндекс.Браузер» единым комплектом;
  • Для Linux: «КриптоПро CSP» + «Яндекс.Браузер» как отдельные сущности.

«Солар» рассказал о подключениях пользователей к сайту по ГОСТовым протоколам шифрования

Для пользователей Windows и «Яндекс.Браузера» процесс установки довольно простой, справится обычный пользователь – необходимо просто поставить галочку в разрешении использования шифрования по ГОСТ. Для Linux процесс выглядит чуть сложнее, но и пользователи обычно более квалифицированные.

Также упоминается Chromium-Gost, который может использоваться, например, на устройствах c macOS. Windows и Linux также поддерживаются. Требуется установка и Chromium-Gost, и «КриптоПро CSP».

Пользователи этих браузеров могут выбрать и второй вариант, то есть клиента. Манипуляций с настройками браузера не потребуется, но настройка самого клиента потребует больше сил. Каких именно – расскажем далее.

Любимый браузер

Многие из нас всё-таки пользуются популярными зарубежными браузерами Chrome, Safari, Opera и т.д. В них опций для настройки криптопровайдера нет. Но пользователи к ним привыкли и устанавливать дополнительный браузер ради поддержки ГОСТа не готовы. Решение в такой ситуации – установка клиента с поддержкой ГОСТ-алгоритмов. По сути это локальный прокси, который работает для определенных сайтов.

По такой логике работает ViPNet PKI Client с модулем TLS Unit и «Континент ZTNA Клиент». Из нюансов: модуль TLS Unit для ViPNet PKI Client платный.

Клиенты поддерживают большинство популярных ОС – Windows, Linux, Android, MacOS, iOS. Как мы говорили выше, установка и настройка клиента сложнее, чем аналогичные действия с криптопровайдером. Может потребоваться ручная загрузка сертификатов и указание доменов сайтов, на которые нужно подключаться по ГОСТу. Но бонусом получаем возможность работы с любимым браузером.

«Солар» рассказал о подключениях пользователей к сайту по ГОСТовым протоколам шифрования
Пример настройки «ZTNA Клиент» «Кода Безопасности».

Мобильные ОС

С мобильными устройствами тоже есть свои сложности. У большинства мобильных браузеров (даже «Яндекс.Браузера») нет возможности использовать криптопровайдер (исключение – Chromium-Gost, но только для Android). Здесь на помощь придет клиент – все по аналогии с десктопным браузером.

Также в отдельные мобильные приложения могут быть встроены российские алгоритмы. Например, можно сделать специальный браузер с поддержкой ГОСТ-алгоритмов (бесплатная бизнес-идея).

Особняком стоит ОС «Аврора», которая доступна для бизнеса и госструктур как проектное решение, ГОСТ-криптография там изначально «на борту».

Итого

Подключение к сайтам, которые используют для https только российскую инфраструктуру, требует от пользователя дополнительных действий. При использовании сайтом сертификата НУЦ с зарубежными алгоритмами действия минимальны – нужно установить корневые сертификаты на своё устройство.

Если речь идет о российских криптоалгоритмах, то потребуется установка дополнительно ПО, реализующего ГОСТ.

Ниже — таблица с возможными вариантами.

Варианты для пользователей

«Солар» рассказал о подключениях пользователей к сайту по ГОСТовым протоколам шифрования