Безопасность российских сайтов поможет обеспечить НУЦ
По сообщению НИИ «Восход», подведомственного учреждения Минцифры России, в России разработана информационная инфраструктура, необходимая для поддержания безотказной работы отечественных информационных ресурсов.
В частности, созданная для этих целей информационная система Национального удостоверяющего центра (НУЦ) обеспечивает выпуск TLS-сертификатов с применением как российских, так и иных криптографических алгоритмов.
Задача TLS/SSL-сертификата — защитить соединение по протоколу HTTPS между интернет-ресурсом и браузером пользователя. Чтобы оградить пользователя от риска перехвата и подмены данных, веб-браузеры блокируют доступ к интернет-ресурсу, не имеющему сертификата. Сейчас работу российских сертификатов поддерживают отечественные браузеры Яндекс.Браузер и Атом.
«По поручению Минцифры России на базе Национального удостоверяющего центра НИИ «Восход» обеспечивает возможность для российских владельцев сайтов получать сертификаты безопасности без обращения в иностранные удостоверяющие центры, что актуально в условиях санкционной политики. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS -сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно в онлайн-режиме через портал Госуслуг в течение 5 рабочих дней», — такой комментарий дал и.о. директора ФГАУ НИИ «Восход» Максим Рымар.
Национальный удостоверяющий центр начал выпуск TLS-сертификатов с поддержкой прозрачности
23 мая 2022 года Национальный удостоверяющий центр (НУЦ) сообщил о выпуске сертификатов безопасности для сайтов с поддержкой технологии прозрачности (certificate transparency). Эта технология обеспечивает дополнительное доверие к сертификатам безопасности для сайтов. Ее внедрение было выполнено в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации» и помощью специалистов НИИ «Восход».
Эксперты НУЦ пояснили, что внедрение данной технологии позволит улучшить работу суверенного интернета.
«На базе НУЦ мы реализовали технологию, которая позволяет сделать выдачу сертификатов безопасности или TLS-сертификатов прозрачной для пользователей и для владельцев доменов. Кроме обеспечения выдачи самих сертификатов, мы дополнительно публикуем их в три независимых лога – один государственный и два частных. При взаимодействии с сайтом браузеры «обращаются» в эти логи и проверяют, действительно ли был выдан сертификат данному сайту», — пояснил представитель НИИ «Восход».
Он добавил, что реализация технологии certificate transparency основана на том, что все сертификаты, выпускаемые НУЦ, записываются в независимые журналы, из которых нельзя удалить сведения после записи из-за использования специализированных криптографических методов. Яндекс пояснил Хабру, как это работает.
Сертификаты по данной технологии поддерживают российские браузеры «Атом» и «Яндекс.Браузер». Они при установлении соединения с сайтом проверяют, что сертификат сайта записан в нужные журналы. Если сертификат сайта не имеет меток о записи в журналы, то пользователь увидит в браузере предупреждение о небезопасном соединении и рекомендацию не использовать сайт, так как он не является безопасным.
Эксперты НИИ «Восход» рассказали, что в настоящий момент НУЦ проводит работы по созданию удобных сервисов, через которые любой владелец сайта может проверить наличие сертификата на свой сайт в журналах прозрачности сертификатов.
«Работы по развитию Национального удостоверяющего центра продолжаются. Например, в дальнейшем с помощью публичных журналов любой владелец сайта сможет проверить выпуск сертификатов для его домена в режиме реального времени. Для этих целей создается специальный сервис. Публичные журналы – один из способов сделать процесс выдачи сертификатов прозрачным. Данный подход позволяет обеспечить максимальный уровень доверия ко всем участникам процесса: и со стороны владельца веб-ресурса, и со стороны Удостоверяющего центра —, обеспечив невозможность подлога любым из участников», — заявили в НИИ «Восход».
В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ, с использованием ЕПГУ, выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».
В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.
- Национальный удостоверяющий центр
- TLS-сертификат
- прозрачность
- НУЦ
- Восход
- сертификат
- Информационная безопасность
- Веб-разработка
- IT-компании
НУЦ сурка
Последние месяцы регулярно получаю уведомления с Хабра, что мою майскую статью упомянули в публикации, посвященной очередному этапу обилечивания россиян «надежными» «суверенными сертификатами». Также регулярно комментирую эту тему для СМИ и почти всегда сталкиваюсь с выпадением собеседника в BSOD. Казалось бы, вот все факты, вот официальные документы и прочие «пруфы», но поверить в услышанное все равно невозможно: федеральный орган исполнительной власти не первый месяц открыто нарушает закон, раздает филькины грамоты для «защиты» важнейших сайтов и… ничего.
Давайте и вам расскажу эту историю: как Минцифры не имея на то полномочий «создало» т.н. «национальный удостоверяющий центр», да не один раз, как несуществующий УЦ выпускает «государственные» TLS-сертификаты, и как вся эта деятельность проходит по разделу перехода на отечественную криптографию, а не превышения должностных полномочий, а то и чего похуже.
Итак, на сайте Минцифры сообщается, что сертификаты выдает Национальный удостоверяющий центр. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг. Однако «Портал государственных услуг Российской Федерации», утверждает, что российский сертификат безопасности для интернет-сайтов, заверенный «российским корневым сертификатом», предоставляется самим Минцифры. Да и в сертификате указано, что его выпустило «The Ministry of Digital Development and Communications», а не какой-то «национальный удостоверяющий центр».
В то же время на сайте подведомственного Минцифры ФГАУ НИИ «Восход» сообщается, что разработку системы национального удостоверяющего центра ведет этот самый подведомственный Минцифры НИИ «Восход».
Для повышения градуса детективности упомяну существующее с 2012 года АО «Национальный удостоверяющий центр», к которому Минцифры не имеет никакого отношения.
Тут самое время вспомнить, что еще в начале 2019 года Минцифры отчитывалось о выполнении мероприятия 3.D 4.4.3 подпрограммы 3 «Безопасность в информационном обществе» госпрограммы «Информационное общество», а если по простому – о создании в 2018 году национального удостоверяющего центра для обеспечения устойчивости функционирования взаимодействия устройств в российском сегменте сети «Интернет», корневой сертификат которого является доверенным для международных удостоверяющих центров и основных операционных систем.
Создало ли Минцифры национальный удостоверяющий центр в 2018, 2022 году или никогда, мы можем узнать из Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи».
Согласно п.2 ст.8 этого закона, уполномоченный федеральный орган осуществляет аккредитацию удостоверяющих центров и функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров. Согласно п.7 ст.2 того же закона, функции по выдаче заявителям «сертификатов ключей проверки электронных подписей» возложены на удостоверяющие центры, а не уполномоченный федеральный орган.
Данные нормы продублированы в корреспондирующих пунктах части II Положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства России от 02.06.2008 № 418, которым на Минцифры и возложены функции «уполномоченного федерального органа».
Таким образом, Минцифры не наделено полномочиями по:
- выдаче заявителям «сертификатов ключей проверки электронных подписей», т.е. выполнению функций неголовного удостоверяющего центра;
- выполнению функций головного удостоверяющего центра в отношении неаккредитованных удостоверяющих центров.
Если по простому: Минцифры не имеет права выдавать TLS-сертификаты для сайтов и не имеет право заверять своим корневым сертификатом сертификаты неаккредитованных УЦ. Может, но права не имеет.
Согласно ст.16 все того же закона, полномочия по аккредитации УЦ и ведению их перечня также возложены на Минцифры. Перечень этот опубликован и в нем отсутствует информация о наличии аккредитации у УЦ с названием «Национальный удостоверяющий центр», а также у ФГАУ НИИ «Восход». А вот в перечне УЦ, аккредитация которых прекращена, мы находим и тот самый АО «Национальный удостоверяющий центр» (к которому Минцифры не имеет отношения), и ФГАУ НИИ «Восход».
- УЦ с названием «Национальный удостоверяющий центр» не имеет аккредитации;
- ФГАУ НИИ «Восход», возможно, создало УЦ и, возможно, тоже назвало его «Национальный удостоверяющий центр», но этот УЦ не аккредитован;
- сертификат УЦ «Национальный удостоверяющий центр» по закону не может быть заверен сертификатом Минцифры, поскольку этот УЦ не аккредитован.
Если по-простому: TLS-сертификаты сайтов, в которых написано, что они выданы (или заверены сертификатом) Минцифры – фейк.
И чтобы уж раз и навсегда закрыть тему нарушений закона, допущенных при выпуске т.н. «национального корневого сертификата» т.н. «национальным удостоверяющим центром», вспомним о Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти, утвержденных приказом Минэкономразвития России от 16.10.2009 № 470.
Согласно п.6е Требований, в целях защиты информации, размещенной на официальном сайте, должно быть обеспечено применение шифрованных транспортных механизмов и сертификатов безопасности при передаче данных, обеспечивающих шифрование и защиту передаваемой информации (на что значительная часть государственных органов забивает).
Одновременно п.1в Требований устанавливает, что информация, размещаемая на официальном сайте не должна быть зашифрована или защищена от доступа иными средствами, не позволяющими осуществить ознакомление пользователя информацией с ее содержанием, а также ее получение без использования иного программного обеспечения или технических средств, чем веб-обозреватель.
А п.4а Требований добавляет, что пользование информацией, размещенной на официальном сайте, не может быть обусловлено требованием использования пользователями информацией определенных веб-обозревателей или установки на технические средства пользователей информацией программного обеспечения, специально созданного для доступа к информации, размещенной на официальном сайте.
Однако «Портал государственных услуг Российской Федерации» сообщает, что для получения защищенного доступа к информации на сайтах, использующих сертификаты от НУЦ, необходимо установить браузеры «Яндекс Браузер» или «Атом», либо «российский корневой сертификат».
Таким образом, требование установки и использования веб-обозревателей «Яндекс Браузер» или «Атом», равно как и «российского корневого сертификата» для получения защищенного доступа к информации, размещенной на официальных сайтах ФОИВ и их территориальных органов, противоречит п.1в и п.4а указанных Требований, тогда как предоставление незащищенного доступа к такой информации – противоречит п.6е Требований.
Если по простому: просто убрать «вражеский» сертификат с сайта и предоставлять доступ только по незащищенному HTTP, ФОИВ не имеют права, равно как и заменить его на фейковый суверенный сертификат. Несмотря на это, фейковые сертификаты используются на сайтах Единая ГИС в сфере здравоохранения, ГАИС «Управление» и нескольких территориальных управлений Роспотребнадзора.
Вернее, не имели права, так как с 10 декабря Приказ № 470 был заменен Приказом № 624, в котором перечисленные требования удивительным образом исчезли. Удивительное заключается в том, что проект приказа был, как и положено, опубликован на портале проектов НПА, и в виде проекта приказ № 624 слово в слово совпадал с приказом № 470, а в виде приказа – его текст изменился до неузнаваемости.
Итого, что мы на сегодня знаем о т.н. «национальном корневом сертификате» и т.н. «национальном удостоверяющем центре»:
- Минцифры не имеет права учреждать УЦ (кроме головного УЦ для аккредитованных УЦ), поэтому формально-юридически «НУЦ Минцифры» не существует (что не мешает ведомству чуть ли не ежегодно рапортовать об очередном его создании);
- Минцифры не имеет права заверять своим корневым сертификатом сертификаты неаккредитованных УЦ, поэтому формально-юридически корневой и промежуточный сертификаты Russian Trusted выпущены неизвестным лицом, которым не может быть Минцифры;
- Минцифры не имеет права выпускать TLS-сертификаты для «розничных клиентов», т.е. исполнять функции «конечного» УЦ, так что сертификаты, «удостоверяемые» неким Russian Trusted, формально-юридически не удостоверяются Минцифры или НУЦ Минцифры.
А куда смотрят прокуратура, «Спортлото» и ЮНЕСКО ФСБ? – спросите вы. О, это интересно! ФСБ считает, что отношения в области обеспечения безопасного доступа к веб-сайтам сети «Интернет», в том числе использование для этих целей сертификата ключа проверки электронной подписи, Законом об ЭП не регулируется. Законодательство Российской Федерации в области использования электронных подписей не распространяется на сертификаты безопасности, а Национальный удостоверяющий центр, осуществляющий создание и выдачу сертификатов безопасности, не подлежит аккредитации в соответствии с положениями Закона об ЭП.
Насколько я смог перевести это мнение на русский, оно заключается в том, что TLS-сертификат – это не электронная подпись; точка, конец цитаты. Хотя тут возникает новый вопрос: а как же «отечественная криптография» и вот эта вся сертификация СКЗИ в ФСБ – зря мы что ли покупали за многие тысячи CryptoPro и прочие высочайше одобренные ЭП для ДБО и прочего ЭДО?!
Прокуратура же лаконично сообщила, что по изложенным доводам организована проверка, результатов которой пока не знаю, но обязательно буду узнавать. Мне, видите ли, очень интересно: как федеральный орган исполнительной власти смог якобы создать НУЦ, спустя 4 года – якобы снова создать его, заявить на всю страну, что только фейковые сертификаты – суверенны, невозбранны, а кто не согласен – тому отключим госсайты, при этом ни тогда, ни сейчас не имея на это никаких полномочий. Неужели, так можно было и никому за это ничего не будет?
- сертификаты x.509
- регулирование
Подача заявки на выпуск регистрационного свидетельства
Запустите браузер и наберите в адресной строке: pki.gov.kz. Появится главная страница Национального удостоверяющего центра Республики Казахстан.
Нажмите на меню «Получение ключей ЭЦП». Выберите необходимый раздел: «Технический сертификат SSL». Из выпадающего меню выберите необходимый шаблон регистрационного свидетельства.
В открывшемся окне, ознакомьтесь с информацией и нажмите на кнопку «Подайте заявку».
Ознакомьтесь с соглашением, и в случае согласия нажмите кнопку подтвердить.
В открывшемся окне введите код указанный на картинке и свой индивидуальный идентификационный номер (далее – ИИН).
Затем нажмите кнопку «Проверить ИИН». После успешной проверки с базой ГБД ФЛ, введенного ИИН, данные о Вашем ФИО заполнятся автоматически.
Затем необходимо ввести свой адрес электронной почты в поле «E-mail» (данное поле является не обязательным). На данный адрес электронной почты Вам будет приходить информация о состоянии ЭЦП, а также по окончанию подачи заявки, Вам будет выслан номер заявки и заявление для предоставления в Центр регистрации.
Ниже укажите последовательно область и город где будет подтверждаться поданная заявка.
Следующим пунктом является обязательное поле «Доменное имя». В данном поле Вам необходимо указать доменное имя, для которого создается данное регистрационное свидетельство SSL.
Внимание! При отсутствии Ваших данных в базе ГБД ФЛ, просим обратиться в Отдел документирования Департамента юстиции Вашего города!
Внимание! Внимательно заполняйте поле «E-mail», если Вы допустите ошибку, уведомление об успешной регистрации не придет на Ваш электронный адрес.
В Поле «Хранилище ключей» выберите хранилище «Персональный компьютер» или «Хранилище ключей java». Укажите папку, в которой будет создан закрытый ключ.
Внимание! Хранилище «Персональный компьютер» является небезопасным. Рекомендуем использовать защищенный носитель ключевой информации для снижения риска компрометации ключей ЭЦП.
Далее нажмите кнопку «Подать заявку».
В следующем окне появится номер заявки.
Внимание! Запомните номер заявки, он необходим для идентификации Вашей заявки в Центре Регистрации, а также для установки выпущенного регистрационного свидетельства.
Сохраните и распечатайте заявление в удобном для Вас формате.
После подачи заявки на Вашем компьютере был сформирован закрытый ключ, убедиться в его наличии Вы можете, открыв папку, путь до которой Вы указывали во время подачи заявления.
После успешной подачи заявления, на Ваш e-mail (в случае его указания при регистрации), придет письменное уведомление о том, что на сайте НУЦ РК была подана заявка на получение регистрационного свидетельства, в которой также будет указан номер Вашей заявки. Хотим отметить, что НУЦ РК не несет ответственность за доставку информационного письма. В случае его отсутствия, проверьте папку спама, проверьте правильность указанного адреса, либо убедитесь, что Ваш почтовый сервер надежен.
Внимание! После подачи запроса, Вам необходимо обратиться в Центр Регистрации с необходимым пакетом документов в течении 1 месяца,с даты подачи заявки. В случае если Вы не подтвердили заявку в Центре регистрации в указанный период, заявка будет аннулирована. С необходимым списком документов Вы можете ознакомиться на официальном сайте НУЦ РК.
Проверка статуса заявки и установка регистрационного свидетельства
После подтверждения заявки в Центре регистрации, воспользуйтесь функционалом проверки статуса Вашей заявки.
Для этого перейдите в раздел: «Проверка статуса заявки».
В открывшемся окне, в поле «Номер заявки», введите полученный Вами уникальный номер заявки при подаче заявки Online и нажмите на кнопку «Искать».
Вам представится информация о Вашей заявке.
В поле «Статус заявки» будет указано, на какой стадии находиться поданная заявка.
При успешном выпуске регистрационного свидетельства будет указан статус — «Выпущены регистрационные свидетельства (сертификаты) по заявке».
Укажите путь к папке с закрытым ключам.
В случае использования хранилище ключей — Персональный компьютер, появятся поля заполнения пароля. Придумайте и введите пароль на Ваши ключи ЭЦП.
Внимание! Пароль должен содержать символы латинского алфавита и цифры. Длина пароля: от 6 до 32 символов. Дополнительно, пароль может включать в себя: латинские буквы верхнего регистра и специальные символы «#$^+=!*()@%&_?-.».
Нажмите кнопку «Загрузить сертификаты».
Обязательно запомните указанный пароль! Пароль восстановлению не подлежит! НУЦ РК не хранит Ваши пароли, и в случае утери пароля данные ключи ЭЦП необходимо отозвать.
После установки регистрационного свидетельства откроется окно с указанием статуса заявки «Сертификаты установлены».
Откройте папку, указанную при подаче заявления. При успешном прохождении всех этапов получения регистрационного свидетельства SSL, в папке будет находиться одно регистрационное свидетельство с закрытым ключом, готовое к использованию.
Получение регистрационного свидетельства успешно завершено.