Иван Бегтин (Москва): Инициатива Минцифры по продвижению НУЦ будет очень сильно ограничена

Эксперт Иван Бегтин рассуждает о том, что Safari и Chrome могут перестать отображать сайты из РФ:

Начнем с того, как устроена система подтверждения безопасности сайтов. Есть так называемая система построения доверия между удостоверяющими центрами; она построена на некоей их иерархии. Есть так называемые корневые удостоверяющие центры, ограниченный список которых включен в каждый браузер и большую часть операционных систем; и есть удостоверяющие центры, которые корневыми уполномочены и выписывают сертификаты для разных целей – например, для подтверждения достоверности мобильных приложений либо веб-сайтов.

Протокол HTTPS, который сейчас используется более широко даже, чем HTTP, – это безопасный протокол, в котором браузер пользователя доверяет сертификату сайта. Этот сертификат выпущен одним из доверенных удостоверяющих центров. Благодаря этому мы можем без большой опаски открывать сайт Google, «Яндекса» или кого-то банка и быть уверенными, что никто (ни злоумышленник, ни спецслужбы, ни правоохранительные органы, ни ваш работодатель) не перехватит эту информацию и не соберет о вас те данные, которые вы бы не хотели, чтобы кто-то знал.

С недавних пор ряд российских структур (Сбербанк, банк ВТБ и ряд других государственных банков) поместили в санкционные списки, а это означает, что с ними не могут взаимодействовать практически все поставщики услуг, включая услуги технологические. Но в России нет своего удостоверяющего центра, который бы соответствовал международной цепочке доверия. Много лет назад их пытались создавать, но не создали, так как это означало довольно большие расходы. Так что все, включая государственные сайты Российской Федерации, просто продолжали пользоваться мировыми сервисами.

Однако теперь, поскольку к организациям под санкциями зарубежные сервисы перестали выпускать сертификаты, мы столкнулись с тем, что, условно говоря, вы не можете зайти на сайт некоторых организаций защищенным образом. Браузер может не пускать туда, где у сертификата безопасности истек срок действия. Поэтому Минцифры решило пойти по пути создания Национального удостоверяющего центра (НУЦ) и выпускать сертификаты, которые находятся вне мировых цепочек доверия.

Предполагалось, что выдавать сертификаты компаниям впредь будут от НУЦ; а компании будут применять их на своих сайтах и в браузерах. Но если международная система доверия обеспечивает невозможность попыток спецслужб перехватывать весь трафик, то с НУЦ будет не так. Тут по умолчанию надо доверять российскому государству и Министерству цифрового развития в частности. А ведь они находятся в в близком доступе от российских правоохранителей и спецслужб.

Поэтому наиболее популярные браузеры могут счесть, что корневой сертификат НУЦ является крайне нежелательным, так как нарушает приватность пользователей, и начать его блокировать. А поскольку правила блокировки и правила ведения сертификатов на откупе у разработчиков, а на тех может надавить правительство США, в случае такого давления НУЦ практически гарантированно внесут в «черный список» и доступ к сайтам с его сертификатами заблокируют.

Тогда те сайты, которые уже используют российские сертификаты (Сбер и ВТБ, например) перестанут нормально открываться в этих браузерах. И вся инициатива Минцифры по продвижению НУЦ и национальных российских сертификатов пусть не провалится, но будет очень сильно ограничена. Фактически, она будет ограничена только теми устройствами и программными продуктами, которые будут это поддерживать. Сейчас это – например, «Яндекс-браузер».

В общем, возможно, для открытия некоторых сайтов вам понадобится специальный браузер. Это, в принципе, решаемо на настольных компьютерах и ноутбуках (допустим, там можно держать отдельный браузер для Сбербанка), но проблематично на мобильных устройствах, особенно на айфонах.

Так что риски тут есть, они достаточно глобальны, но это риски интеграции в мировое пространство. И хороших решений здесь нет. Я, например, категорически против НУЦ – считаю, что какие бы технические решения там не придумывали, все равно это приведет к контролю за трафиком стороны спецслужб. Ведь для них эта возможность упростится на порядок. Да и с долгосрочной точки зрения проще Сбербанк лишить банковской лицензии, чем внедрять НУЦ.

В общем, может быть, больше смысла было бы разрабатывать специальные приложения, чем использовать НУЦ. Но у нас пошли таким путем, и я пока не вижу, чтобы с него свернули. Хотя если в санкционные списки попадет больше российских организаций, у нас на этом пути будут проблемы.