Сегодня 28 марта 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → сертификат

Национальными TLS-сертификатами пользуется лишь 30 % россиян

Лишь на 25–30 % устройств установлены российские TLS-сертификаты, обеспечивающие зашифрованное соединение между сайтом и пользователем, пишут «Ведомости» со ссылкой на данные, которые привёл в ходе вчерашнего выступления на ПМЭФ-2023 руководитель блока «Технологии» в «Сбербанке» Андрей Белевцев.

 Источник изображения: Glenn Carstens-Peters / unsplash.com

Источник изображения: Glenn Carstens-Peters / unsplash.com

Решение о выпуске российских TLS-сертификатов в Минцифры приняли в прошлом году. С началом украинских событий зарубежные удостоверяющие центры перестали продлевать сертификаты безопасности российским компаниям, оказавшимися под санкциями — в результате при попытке открывать их сайты пользователи либо видели предупреждение об их ненадёжности, либо браузеры вообще блокировали такие ресурсы. Выпуском российских TLS-сертификатов занялся Национальный удостоверяющий центр (НУЦ) — сервис выдачи заработал на «Госуслугах» в марте прошлого года. Осенью свои сайты на российские сертификаты перевёл «Сбербанк».

Для корректной работы сертификат должен быть и на сайте, и на пользовательском устройстве — его можно установить вручную на компьютер или скачать браузер со встроенным сертификатом, например, «Яндекс Браузер» или «Атом» от VK. По версии Минцифры, поддерживающими национальные сертификаты браузерами ежемесячно пользуются 75 млн человек, а статистика «Сбера» гласит, что российские сертификаты установлены лишь на 25–30 % устройств, с которых клиенты заходят на сайт банка. Чтобы увеличить этот показатель, представитель «Сбера» предложил ускорить перевод государственных сервисов на российские сертификаты, включая и сайт «Госуслуги».

Отзыв сертификата будет означать невозможность воспользоваться предоставляемой на сайте услугой, но до сих пор иностранными сертификатами пользуются даже некоторые банки из первой десятки, напомнили опрошенные «Ведомостями» эксперты. Наличие сертификата также помогает убедиться, что пользователь открывает по зашифрованному каналу именно тот сайт, который ему нужен, а не «двойник», созданный мошенниками для перехвата данных о финансовых операциях. При этом на большинство используемых сегодня сайтов установлены так называемые самоподписанные сертификаты, сформированные без участия удостоверяющего центра.

С другой стороны, уверен ещё один эксперт, насущная потребность в использовании российских сертификатов возникает в первую очередь при работе на устройствах, с которых выполняются финансовые операции на крупные суммы или юридически значимые операции. Доля их действительно невелика, и в их число не входят ни домашние игровые компьютеры, ни планшеты, ни умные телевизоры. Примерно 30 % пользователей, установивших российские сертификаты, заняты в корпоративном секторе — это в основном бухгалтеры и специалисты по тендерам.

Хакеры добыли настоящие сертификаты Samsung, LG и MediaTek и подписывают ими вирусы для Android

Специалисты по информационной безопасности, работающие в рамках инициативы Google Android Partner Vulnerability Initiative (APVI), обнаружили случаи использования легитимных сертификатов для подписи вредоносных приложений для устройств на базе Android. Обычно такие сертификаты или ключи платформы используются производителями устройств для подписи системных приложений.

 Источник изображений: Bleeping Computer

Источник изображений: Bleeping Computer

«Сертификат платформы — это сертификат подписи приложения, используемый для подписи приложения «android» в образе системы. Приложение «android» запускается с идентификатором пользователя с высокими привилегиями — android.uid.system — и имеет системные разрешения, включая разрешение на доступ к данным пользователя. Любое другое приложение, подписанное тем же сертификатом, может работать с таким же идентификатором пользователя, что предоставляет ему такой же уровень доступа к операционной системе Android», — рассказал Лукаш Сиверски (Lukasz Siewirski), один из участников инициативы APVI.

Исследователь обнаружил несколько образцов вредоносного ПО, которые были подписаны с помощью десяти сертификатов, а также предоставил SHA256-хэши для каждого из них. Согласно имеющимся данным, некоторые из сертификатов принадлежат Samsung, LG и MediaTek. На данный момент нет информации относительно того, как сертификаты для подписи системных приложений попали в руки злоумышленников. Также нет информации о том, где были обнаружены образцы вредоносного ПО, поэтому нельзя исключать того, что исследователь нашёл их в магазине цифрового контента Play Маркет.

 Названия пакетов 10 приложений, которые были подписаны скомпрометированными сертификатами

Названия пакетов 10 приложений, которые были подписаны скомпрометированными сертификатами

С помощью поиска опубликованных исследователем хэшей по базе VirusTotal удалось обнаружить некоторые вредоносы, подписанные сертификатами упомянутых компаний. Google уведомила партнёров, которых затрагивает данная проблема, и порекомендовала сменить сертификаты, используемые для подписи легитимных приложений.

В России хотят обязать Google, Microsoft и других разработчиков браузеров и ОС поддерживать отечественные сертификаты

Правительство внесло в Госдуму проект поправок к ФЗ «Об информации», который, в частности, описывает работу Национального удостоверяющего центра (НУЦ) Минцифры, выдающего сертификаты для установления зашифрованного соединения между сайтами и пользователями. Если этот проект будет утверждён, то разработчики браузеров и операционных систем будут обязаны поддерживать государственные сертификаты шифрования, на которые переведены подпавшие под санкции российские сайты.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Проект предусматривает, что НУЦ будет выпускать сертификаты в том числе на основе российских криптографических алгоритмов по ГОСТу. Правительство намерено обязать разработчиков браузеров и ОС в России включать в свои продукты поддержку таких сертификатов. В Минцифры отметили, что наказание за неисполнение требования не предусматривается. В ФСБ и ФСТЭК, где должны быть подготовлены поднадзорные акты к документу, данный вопрос не комментируют.

Напомним, НУЦ начал выдавать собственные сертификаты для установления HTTPS-соединения с сайтами в марте этого года, когда зарубежные центры начали отзывать сертификаты у сайтов российских организаций, которые подпали под действие санкций западных стран. На тот момент в сертификатах не использовалась отечественная криптография по ГОСТу, теперь же это требование стало обязательным.

ОС и браузеры компаний Microsoft, Google и Apple поставляются без корневого сертификата НУЦ, из-за чего они не позволяют устанавливать защищённое HTTPS-соединение с сайтами подсанкционных российских организаций, таких как Сбербанк. При этом отечественные обозреватели, такие как «Яндекс.Браузер» и Atom, позволяют устанавливать HTTPS-соединение, поскольку в них реализована поддержка корневого сертификата НУЦ.

В «Яндексе» отметили, что даже при наличии корневого сертификата НУЦ, доступ к веб-ресурсам с шифрованием по ГОСТу возможен только при установке стороннего компонента «КриптоПро». На данный момент компания не планирует реализовывать встроенную поддержку этого компонента в своём обозревателе.

«Сбер» установит на свои сайты отечественные сертификаты удостоверяющих центров

«Сбер» доложил, что первым в стране начнёт устанавливать на все свои сайты, ресурсы и системы российские сертификаты, которые выпускает удостоверяющий центр Минцифры. Об этом сообщается в пресс-релизе, опубликованном на сайте компании.

 Источник изображения: press.sber.ru

Источник изображения: press.sber.ru

Установка российских сертификатов, говорится в заявлении, поможет банку обеспечить свою независимость от зарубежных удостоверяющих центров, а пользователям его служб будет гарантирован безопасный доступ к услугам. Глава «Сбера» Герман Греф напомнил, что компания постоянно проводит работу по внедрению отечественных решений взамен зарубежных технологий и сервисов. Первым российский сертификат получит сайт «Сбербанка», а впоследствии аналогичные средства будут установлены на другие ресурсы в экосистеме компании.

Глава Минцифры Максут Шадаев положительно отозвался об инициативе «Сбера» и выразил уверенность, что компания станет примером для других игроков на российском рынке, а зависимость отечественных компаний от зарубежных решений начнёт снижаться. Он также напомнил, что российские сертификаты выдаются с марта 2022 года на портале «Госуслуги», причём совершенно бесплатно.

Российские сертификаты безопасности являются частью плана первоочередных действий, подготовленного правительством РФ для обеспечения развития экономики в условиях санкций. В «Сбере» также напомнили, что компания проводит постоянные консультации с ведомствами для минимизации потенциальных ограничений, которые могут наложить иностранные компании.

Российские сертификаты поддерживаются «Яндекс.Браузером» и браузером «Атом» от Mail.ru.

Joby Aviation получила первый сертификат для оказания услуг аэротакси — осталось ещё два

Калифорнийский разработчик электрических летательных аппаратов с вертикальными взлётом и посадкой (eVTOL) Joby Aviation получил первый сертификат Федерального управления гражданской авиации (FAA), позволяющий компании оказывать услуги по перевозке пассажиров на регулярной коммерческой основе. Но для фактического начала работы потребуются ещё два документа.

 Источник изображений: jobyaviation.com

Источник изображений: jobyaviation.com

Сертификат FAA был выдан досрочно — первоначально Joby рассчитывала получить его только в второй половине года. К сожалению, для начала работы этого недостаточно: необходимо также получить сертификат, удостоверяющий, что летательные аппараты компании соответствуют всем требованиям безопасности, а также документ, позволяющий запустить их в серийное производство.

Разработанный Joby Aviation электролёт оборудуется шестью несущими винтами и пятью посадочными местами, включая место пилота. Аппарат производит вертикальный подъём в воздух, как вертолёт, а затем поворотные винты позволяют ему переходить к полёту в горизонтальном направлении. Как заявляет производитель, eVTOL от Joby разгоняется до 320 км/ч, имеет запас хода в 240 км и работает в 100 раз тише обычного самолёта. Запуск воздушного такси как коммерческой услуги намечен на 2024 год.

Этот срок приводится условно: некоторые эксперты утверждают, что пройдёт не менее 5 лет, прежде чем FAA выдаст полный комплект разрешительных документов компании, которая намеревается производить eVTOL и оказывать услуги по перевозке. С этим частично согласно профильное издание The Air Current, согласно которому ведомство «резко» пересмотрело свою политику в отношении летательных аппаратов данного типа.

Joby Aviation основал в 2009 году изобретатель Джо Бен Бевирт (JoeBen Bevirt). К настоящему моменту компания привлекла не менее $690 млн инвестиций от ряда компаний, включая Intel и Toyota. В прошлом году было объявлено о планах вывести Joby Aviation на биржу через SPAC-слияние с компанией Reinvent Technology Partners, которой управляют соучредитель LinkedIn Рейд Хоффман (Reid Hoffman) и основатель Zynga Марк Пинкус (Mark Pincus).

Российские сайты обеспечат отечественными сертификатами безопасности — их поддерживают «Яндекс.Браузер» и «Атом»

В России создана информационная инфраструктура, предназначенная для обеспечения безотказной работы российских веб-ресурсов. Для этих целей разработана информационная система Национального удостоверяющего центра, обеспечивающая выпуск TLS-сертификатов с применением российских и других криптографических алгоритмов.

 Источник изображения: Pixabay

Источник изображения: Pixabay

«По поручению Минцифры России на базе Национального удостоверяющего центра НИИ "Восход" обеспечивается возможность для российских владельцев сайтов получать сертификаты безопасности без обращения в иностранные удостоверяющие центры, что актуально в условиях санкционной политики. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно в онлайн-режиме через портал госуслуг в течение пяти рабочих дней», — прокомментировал данный вопрос и.о. директора ФГАУ НИИ «Восход» Максим Рымар.

Напомним, сертификаты TLS и SSL применяются для обеспечения безопасного соединения по протоколу HTTPS между пользовательским браузером и веб-ресурсом. Такой подход позволяет защитить передаваемые данные от перехвата и подмены. Кроме того, при отсутствии сертификата безопасности многие обозреватели автоматически блокируют доступ к веб-ресурсу. В настоящее время российские сертификаты безопасности поддерживаются в обозревателях «Яндекс.Браузер» и «Атом». Что касается национального удостоверяющего центра Минцифры РФ, то он был создан в рамках исполнения поручения президента России по обеспечению устойчивого взаимодействия устройств в российском сегменте интернета.


window-new
Soft
Hard
Тренды 🔥
Canonical увеличила срок поддержки LTS-релизов Ubuntu до 12 лет 11 мин.
Claude 3 Opus сбросила GPT-4 с первого места в рейтинге языковых моделей 17 мин.
Intel Gaudi2 остаётся единственным конкурентом NVIDIA H100 в бенчмарке MLPerf Inference 30 мин.
Яндекс представил третье поколение нейросетей YandexGPT 33 мин.
«Мы нанимаем сценаристов, а не заставляем ChatGPT писать диалоги за них»: глава Larian высказался о потенциале ИИ в разработке игр 60 мин.
Аппаратные требования больших языковых моделей ИИ сокращаются вдвое каждые восемь месяцев 2 ч.
Sega подтвердила массовые увольнения и продажу Relic Entertainment — разработчики Company of Heroes и Warhammer 40,000: Dawn of War вновь станут независимыми 3 ч.
Hellgate: London спустя 17 лет получит продолжение на Unreal Engine 5 — первые подробности Hellgate: Redemption 4 ч.
Take-Two Interactive купит Gearbox у Embracer Group за $460 миллионов — подтверждена новая Borderlands 4 ч.
Amazon.com инвестирует в ИИ-стартап Anthropic дополнительно $2,75 млрд 15 ч.