Сегодня 22 ноября 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → сертификат

Национальными TLS-сертификатами пользуется лишь 30 % россиян

Лишь на 25–30 % устройств установлены российские TLS-сертификаты, обеспечивающие зашифрованное соединение между сайтом и пользователем, пишут «Ведомости» со ссылкой на данные, которые привёл в ходе вчерашнего выступления на ПМЭФ-2023 руководитель блока «Технологии» в «Сбербанке» Андрей Белевцев.

 Источник изображения: Glenn Carstens-Peters / unsplash.com

Источник изображения: Glenn Carstens-Peters / unsplash.com

Решение о выпуске российских TLS-сертификатов в Минцифры приняли в прошлом году. С началом украинских событий зарубежные удостоверяющие центры перестали продлевать сертификаты безопасности российским компаниям, оказавшимися под санкциями — в результате при попытке открывать их сайты пользователи либо видели предупреждение об их ненадёжности, либо браузеры вообще блокировали такие ресурсы. Выпуском российских TLS-сертификатов занялся Национальный удостоверяющий центр (НУЦ) — сервис выдачи заработал на «Госуслугах» в марте прошлого года. Осенью свои сайты на российские сертификаты перевёл «Сбербанк».

Для корректной работы сертификат должен быть и на сайте, и на пользовательском устройстве — его можно установить вручную на компьютер или скачать браузер со встроенным сертификатом, например, «Яндекс Браузер» или «Атом» от VK. По версии Минцифры, поддерживающими национальные сертификаты браузерами ежемесячно пользуются 75 млн человек, а статистика «Сбера» гласит, что российские сертификаты установлены лишь на 25–30 % устройств, с которых клиенты заходят на сайт банка. Чтобы увеличить этот показатель, представитель «Сбера» предложил ускорить перевод государственных сервисов на российские сертификаты, включая и сайт «Госуслуги».

Отзыв сертификата будет означать невозможность воспользоваться предоставляемой на сайте услугой, но до сих пор иностранными сертификатами пользуются даже некоторые банки из первой десятки, напомнили опрошенные «Ведомостями» эксперты. Наличие сертификата также помогает убедиться, что пользователь открывает по зашифрованному каналу именно тот сайт, который ему нужен, а не «двойник», созданный мошенниками для перехвата данных о финансовых операциях. При этом на большинство используемых сегодня сайтов установлены так называемые самоподписанные сертификаты, сформированные без участия удостоверяющего центра.

С другой стороны, уверен ещё один эксперт, насущная потребность в использовании российских сертификатов возникает в первую очередь при работе на устройствах, с которых выполняются финансовые операции на крупные суммы или юридически значимые операции. Доля их действительно невелика, и в их число не входят ни домашние игровые компьютеры, ни планшеты, ни умные телевизоры. Примерно 30 % пользователей, установивших российские сертификаты, заняты в корпоративном секторе — это в основном бухгалтеры и специалисты по тендерам.

Хакеры добыли настоящие сертификаты Samsung, LG и MediaTek и подписывают ими вирусы для Android

Специалисты по информационной безопасности, работающие в рамках инициативы Google Android Partner Vulnerability Initiative (APVI), обнаружили случаи использования легитимных сертификатов для подписи вредоносных приложений для устройств на базе Android. Обычно такие сертификаты или ключи платформы используются производителями устройств для подписи системных приложений.

 Источник изображений: Bleeping Computer

Источник изображений: Bleeping Computer

«Сертификат платформы — это сертификат подписи приложения, используемый для подписи приложения «android» в образе системы. Приложение «android» запускается с идентификатором пользователя с высокими привилегиями — android.uid.system — и имеет системные разрешения, включая разрешение на доступ к данным пользователя. Любое другое приложение, подписанное тем же сертификатом, может работать с таким же идентификатором пользователя, что предоставляет ему такой же уровень доступа к операционной системе Android», — рассказал Лукаш Сиверски (Lukasz Siewirski), один из участников инициативы APVI.

Исследователь обнаружил несколько образцов вредоносного ПО, которые были подписаны с помощью десяти сертификатов, а также предоставил SHA256-хэши для каждого из них. Согласно имеющимся данным, некоторые из сертификатов принадлежат Samsung, LG и MediaTek. На данный момент нет информации относительно того, как сертификаты для подписи системных приложений попали в руки злоумышленников. Также нет информации о том, где были обнаружены образцы вредоносного ПО, поэтому нельзя исключать того, что исследователь нашёл их в магазине цифрового контента Play Маркет.

 Названия пакетов 10 приложений, которые были подписаны скомпрометированными сертификатами

Названия пакетов 10 приложений, которые были подписаны скомпрометированными сертификатами

С помощью поиска опубликованных исследователем хэшей по базе VirusTotal удалось обнаружить некоторые вредоносы, подписанные сертификатами упомянутых компаний. Google уведомила партнёров, которых затрагивает данная проблема, и порекомендовала сменить сертификаты, используемые для подписи легитимных приложений.

В России хотят обязать Google, Microsoft и других разработчиков браузеров и ОС поддерживать отечественные сертификаты

Правительство внесло в Госдуму проект поправок к ФЗ «Об информации», который, в частности, описывает работу Национального удостоверяющего центра (НУЦ) Минцифры, выдающего сертификаты для установления зашифрованного соединения между сайтами и пользователями. Если этот проект будет утверждён, то разработчики браузеров и операционных систем будут обязаны поддерживать государственные сертификаты шифрования, на которые переведены подпавшие под санкции российские сайты.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Проект предусматривает, что НУЦ будет выпускать сертификаты в том числе на основе российских криптографических алгоритмов по ГОСТу. Правительство намерено обязать разработчиков браузеров и ОС в России включать в свои продукты поддержку таких сертификатов. В Минцифры отметили, что наказание за неисполнение требования не предусматривается. В ФСБ и ФСТЭК, где должны быть подготовлены поднадзорные акты к документу, данный вопрос не комментируют.

Напомним, НУЦ начал выдавать собственные сертификаты для установления HTTPS-соединения с сайтами в марте этого года, когда зарубежные центры начали отзывать сертификаты у сайтов российских организаций, которые подпали под действие санкций западных стран. На тот момент в сертификатах не использовалась отечественная криптография по ГОСТу, теперь же это требование стало обязательным.

ОС и браузеры компаний Microsoft, Google и Apple поставляются без корневого сертификата НУЦ, из-за чего они не позволяют устанавливать защищённое HTTPS-соединение с сайтами подсанкционных российских организаций, таких как Сбербанк. При этом отечественные обозреватели, такие как «Яндекс.Браузер» и Atom, позволяют устанавливать HTTPS-соединение, поскольку в них реализована поддержка корневого сертификата НУЦ.

В «Яндексе» отметили, что даже при наличии корневого сертификата НУЦ, доступ к веб-ресурсам с шифрованием по ГОСТу возможен только при установке стороннего компонента «КриптоПро». На данный момент компания не планирует реализовывать встроенную поддержку этого компонента в своём обозревателе.


window-new
Soft
Hard
Тренды 🔥
YouTube добавил в Shorts функцию Dream Screen — ИИ-генератор фонов для роликов 36 мин.
ПК с ИИ снижают производительность труда пользователей — люди не умеют правильно общаться с ИИ 2 ч.
Разработчики Path of Exile 2 раскрыли, чего ждать от раннего доступа — геймплей, подробности и предзаказ в российском Steam 3 ч.
Приключение Hela про храброго мышонка в открытом мире получит кооператив на четверых — геймплейный трейлер новой игры от экс-разработчиков Unravel 4 ч.
OpenAI случайно удалила потенциальные улики по иску об авторских правах 5 ч.
Скрытые возможности Microsoft Bing Wallpaper напугали пользователей 6 ч.
В WhatsApp появилась расшифровка голосовых сообщений — она бесплатна и поддерживает русский язык 6 ч.
Новая игра создателей The Invincible отправит в сердце ада выживать и спасать жизни — первый трейлер и подробности Dante’s Ring 7 ч.
Центр ФСБ по компьютерным инцидентам разорвал договор с Positive Technologies 9 ч.
Android упростит смену смартфона — авторизовываться в приложениях вручную больше не придётся 9 ч.
Magssory Fold 3 в 1 — компактная и функциональная беспроводная зарядная станция для Apple, Samsung и не только 3 ч.
Nokia подписала пятилетнее соглашение о поддержке ЦОД Microsoft Azure с миграцией с 100GbE на 400GbE 3 ч.
Давно упавший на Землю кусочек Марса пролил свет на историю воды на Красной планете 3 ч.
TeamGroup представила SSD T-Force GA Pro на чипе InnoGrit — PCIe 5.0, до 2 Тбайт и до 10 000 Мбайт/с 3 ч.
Провалился крупнейший проект по производству электромобильных батарей в Европе — Northvolt объявила о банкротстве 3 ч.
«Уэбб» открыл в ранней Вселенной три огромные галактики — учёные не понимают, почему они так быстро сформировались 4 ч.
В Зеленограде начнут выпускать чипы для SIM-карт и паспортов — на этом планируется заработать триллионы рублей 4 ч.
Смартфоны Poco X6 Pro 5G, M6 Pro и C75 предлагают современный дизайн и продвинутые характеристики 4 ч.
В России стартовали продажи полностью беспроводных наушников Tecno True 1 Air, Buds 4 и Buds 4 Air 5 ч.
Одна из структур Минпромторга закупит ИИ-серверы на 665 млн рублей 6 ч.