Перейти к основному контенту
Технологии и медиа ,  
3 200 
Эксклюзив

Как на безопасность сайтов повлияет отзыв SSL-сертификатов у банков

Будут ли работать российские сайты после отзыва у банков иностранных SSL-сертификатов
У попавших под санкции банков и Центробанка отозвали SSL-сертификаты, обеспечивающие безопасность сайта и сохранность персональных данных. Они уже получили новые сертификаты и угрозы данным клиентов нет
ВТБ VTBR ₽96,35 -0,64% Купить
Фото: Владислав Шатило / РБК
Фото: Владислав Шатило / РБК

После внесения в санкционный список ЦБ, ВТБ, Совкомбанка и Промсвязьбанка сайты этих организаций на некоторое время могли снизить уровень защиты специальным сертификатом, хотя банки утверждали, что санкции не повлияют на уровень безопасности.

Первым на это во вторник, 1 марта, обратил внимание «Деловой Петербург». По его информации, хостинг-провайдер DigiCert (США) отозвал у Центробанка сертификат TLS — один из версий протокола SSL, который обеспечивает подлинность сайта и защиту персональных данных на нем. В тот же день сайт ВТБ не позволил провести транзакцию из-за просроченного SSL-сертификата, убедился корреспондент РБК. На сайте банка отображалась ошибка cert_revoked — что означает, что сертификат отсутствует (или неправильно установлен, или просрочен, или отозван), пояснил РБК один из участников ИТ-рынка. Согласно информации из Telegram-каналов, до недавнего времени у ВТБ был SSL-сертификат от Thawte Consulting (ЮАР).

Что такое SSL-сертификат

SSL-сертификат отображается в левом углу адресной строки браузера в виде закрытого замка. Так пользователь может определить, является ли сайт надежным или фишинговым. Во втором случае персональные и платежные данные, оставленные на таком сайты, попадут злоумышленникам, как и сам платеж. SSL-сертификаты выпускают удостоверяющие центры — специальные организации, они также поддерживают их работу. Как пояснил руководитель направления ГОСТ VPN компании «Ростелеком-Солар» Александр Веселов, существуют три основные цели использования таких сертификатов: шифрование данных между пользователем и сайтом; сертификат выступает в качестве своеобразного «удостоверения личности» для организации и защищает пользователя от фишинговых сайтов; улучшает ранжирование в поиске — сайты, у которых сертификат отсутствует, опускаются ниже в выдаче.

Какие риски существуют

В среду, 2 марта, сайт Центробанка получил новый сертификат, подтвержденный бельгийской компанией GlobalSign. Он действителен до 2 апреля 2023 года. ВТБ еще 1 марта получил новый сертификат, и он одобрен удостоверяющим центром.

Могут ли санкции отключить смартфоны россиян
Технологии и медиа
Фото:Евгений Разумный / Ведомости / ТАСС

В Центробанке и ВТБ не ответили на запрос РБК.

Представитель технической поддержки DigiCert на вопрос, действительно ли они отозвали сертификат у ЦБ и намерены ли поступать так же с другими российскими организациями, сообщил, что компания «действует в соответствии с законодательством своей страны и внимательно отслеживает международную обстановку, а именно — все санкции, которые вводятся против России со стороны США и других стран». Аналогичный ответ предоставил представитель Thawte.

24 февраля США, ЕС и ряд других стран объявили о санкциях в отношении ЦБ, ряда банков и физлиц из России в ответ на проведение спецоперации на Украине. ВТБ, банк «Открытие», Совкомбанк, Промсвязьбанк и Новикомбанк попали под самые жесткие санкции из-за аффилированности с госструктурами России: их активы и счета в долларах США заблокированы, карты перестанут работать за границей, они не смогут поддерживать сервисы Apple Pay, Google Pay и Samsung Pay.

Среди перечисленных банков 1 марта новый сертификат появился также у Совкомбанка и Промсвязьбанка, следует из технической информации на их сайтах.

ФСБ предложила шифровать данные в Рунете «Кузнечиком»
Технологии и медиа
Фото:Victor J. Blue / Bloomberg

РБК направил запрос в банк «Открытие», Совкомбанк, Новикомбанк и Промсвязьбанк.

Согласно официальной статистике Технического центра Интернет (ТЦИ), на 2 марта этого года в домене .RU около 80% сайтов имеют сертификат от центра сертификации LetsEncrypt (США), в домене .РФ — 82%, а в домене .SU — 72%. Это бесплатный сертификат, его шифрование обновляется автоматически каждые три месяца.

По данным эксперта в области информационной безопасности Алексея Лукацкого, сейчас в сообществе LetsEncrypt, которое занимается технической поддержкой пользователей, идет обсуждение статуса сертификата сайтов в зоне gov.ru — российских государственных сайтов, который администрирует Спецсвязь Федеральной службы охраны.

РБК направил запрос в LetsEncrypt.

Какие последствия будут у отзывов

По словам Алексея Лукацкого, есть несколько вариантов для российской компаний или ведомств, у которых был отозван SSL-сертификат:

  • пойти к другому удостоверяющему центру;
  • сделать свой «самописный» сертификат, используя программное обеспечение удостоверяющего центра;
  • попробовать получить сертификат у российских удостоверяющих центров.

Он привел в пример удостоверяющие центры при Центробанке и Казначействе. В то же время Лукацкий предположил, что коммерческие компании могут воспользоваться услугами ФНС, так как взаимодействие с налоговой подразумевает получение у последней сертификата, однако «до этого такая практика не применялась». Также эксперт напомнил, что Минцифры работает над созданием российского головного удостоверяющего центра, но его пока не успели запустить, для этого необходимо доработать законодательство. «Есть еще вариант запустить в России свой национальный удостоверяющий центр, который будет выдавать SSL-сертификаты российским компаниям и ведомствам. Однако не уверен, что все коммерческие компании на это согласятся, так как это предоставит возможность полностью контролировать трафик, перехватывать персональные данные и т.д.», — рассуждает Лукацкий.

Путеводитель по санкциям и ограничениям против России. Главное
Бизнес
Фото:Андрей Рудаков / Bloomberg

Александр Веселов напомнил, что это уже не первый случай отзыва SSL-сертификатов у российских сайтов. Например, в 2018 году американская компания GeoTrust отозвала сертификат у сайта Торгово-промышленной палаты России. Он также отметил, что ряд сайтов российских госорганов работает вообще без них, «это объясняется тем, что такие сайты выполняют преимущественно информационную функцию: там нет форм авторизации и личного кабинета».

Веселов предполагает, что единственный выход из ситуации с отзывами сертификатов — это импортозамещение, то есть создание собственной инфраструктуры на оборудовании, поддерживающем российские криптоалгоритмы по ГОСТу. Однако он признает многогранность этой проблемы. «Со стороны владельцев веб-сайтов реализация российской криптографии выглядит не самой простой задачей. Web-серверы не поддерживают ГОСТ «из коробки», требуются приобретение, настройка и эксплуатация дополнительного оборудования», — рассуждает он.

При этом браузер может не одобрить SSL-сертификат, тогда у пользователей будет на сайте отображаться предупреждение, что сайт не безопасен, указывает Лукацкий. «Тогда отличить фишинговый сайт от сайта с непринятым сертификатом будет сложнее», — предупредил эксперт.

ВТБ предупредил об отключении мобильного банка на iOS в ближайшее время
Финансы
Фото:Андрей Любимов / РБК

Эксперт по безопасности «Лаборатории Касперского» Денис Паринов говорит, что при посещении сайта с отозванным сертификатом все браузеры реагируют по-разному. «Как правило, показывают предупреждение о недоверенном сертификате, но при этом позволяют открыть сайт. При посещении сайта, использующего отозванный сертификат, могут возникнуть неудобства, ошибки при работе, например, в личном кабинете. Чтобы это исправить, администраторы сайтов могут выписать новый сертификат в авторизованном центре сертификации», — комментирует он. По его мнению, сейчас нет признаков массовых отзывов, пока «речь идет о единичных случаях отзывов сертификатов, выписанных Thawte».

По мнению ведущего специалиста отдела аудита Infosecurity в Softline Анатолия Сазонова, отзыв сертификатов может стать массовой историей в условиях, когда большая часть удостоверяющих центров находится за рубежом, а «отечественный глобальный удостоверяющий центр находится в процессе создания». «Но даже при условии запуска российского центра его сертификат тоже может быть не принят, как это было с китайским центром China Internet Network Information Center», — выражает опасения он.

Впрочем, менеджер по продуктам хостинг-провайдера REG.RU Антон Бобков заверил, что они находятся на связи со всеми ключевыми удостоверяющими центрами и на данный момент не видят предпосылок к прекращению сотрудничества. В то же время он оговорился, что прогнозировать отказ всех иностранных удостоверяющих центров сложно.

СберПро Транспорт

Бизнес с ускорением. Как строительство скоростной железной дороги изменит инфраструктуру

СберПро ВЭД

Близкий импорт. Как развивается торговля со странами Азии и Ближнего Востока

СберПро Финансы

Субсидии для инноваций. Какие меры поддержки бизнеса будут доступны в 2025 году

СберПро Интересное

Востребованные ниши для импортозамещения

СберПро Торговля

Барометр отрасли. Ритейл: одежда, электроника и товары для дома

СберПро Торговля

Купи сейчас, плати потом. Как развивается рынок BNPL и с какими вызовами может столкнуться

СберПро Главная

Как подготовить производство к роботизации и получить нужный эффект

СберПро Главная

Как развивалась квантовая индустрия в 2024 году

СберПро Интересное

Зумеры вышли на работу. Что нужно знать бизнесу о найме нового поколения

СберПро Интересное

Что такое нейросеть и как работает эта технология

Авторы
Теги
Магазин исследований Аналитика по теме "Интернет"
Лента новостей
Медведев описал доверие к Трампу фразой из фильма «17 мгновений весны» Политика, 22:34
Дуров заявил о готовности поехать в Румынию и дать показания Политика, 22:31
Проигравший выборы в Румынии кандидат обвинил Францию во вмешательстве Политика, 22:14
Пять стратегий инвестора в недвижимость: как устроены и какую выбрать РБК и ПИК, 22:12
МВД начало проверку после избиения подростками женщины в Москве Общество, 22:03
Объем размещенных в ЕС бондов превысил €1 трлн в рекордно короткие сроки Инвестиции, 21:58
На строителей линий обороны в Белгородской области подали в суд Политика, 21:58
Онлайн-курс Digital MBA от РБК и ProductStar
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
Уволенная из-за слов дочери чиновница назвала правильной свою отставку Политика, 21:49
Вяльбе назвала зарплату Большунова в сборной России Спорт, 21:24
Рубио заявил, что США не делали уступки России по Украине Политика, 21:10
Илон Маск пообещал постепенный уход из политики Политика, 20:57
ЕС решил пересмотреть отношения с Израилем из-за операции в Газе Политика, 20:56
Третья ракетка России вышла в 1/4 финала турнира WTA во Франции Спорт, 20:55
Евросоюз решил снять экономические санкции с Сирии Политика, 20:41