Государство проследит за безопасностью передачи данных в сети
Администрация президента обсуждает, как дополнительно обезопасить передачу данных в интернете в случае конфликта с иностранными партнерами. Как стало известно "Ъ", в России может быть создан государственный удостоверяющий центр (УЦ) для выдачи SSL-сертификатов, которые используют интернет-магазины, платежные системы и такие государственные порталы, как сайт Федеральной налоговой службы (ФНС) и gosuslugi.ru. Чтобы сделать использование SSL-сертификатов этого УЦ массовым, основных производителей операционных систем и браузеров — Microsoft, Google, "Яндекс" и других — могут обязать предустановить в свои продукты специальный корневой сертификат.
В администрации президента идет работа по созданию государственного удостоверяющего центра, который будет выдавать сайтам в рунете SSL-сертификаты, используемые для шифрования данных и идентификации сайта при установлении защищенного https-соединения, рассказали "Ъ" источник, близкий к администрации президента, собеседник в Минкомсвязи и глава российской IT-компании. "Огромное количество сайтов в рунете использует защищенное соединение: интернет-магазины, платежные системы, государственные сервисы, где пользователь вводит свои персональные данные. На государственном портале gosuslugi.ru используется SSL-сертификат, выданный УЦ американской компании Comodo, а на портале ФНС nalog.ru — SSL-сертификат от компании Thawte, принадлежащей Symantec. Если они по какой-то причине отзовут эти сертификаты, это может поставить под угрозу защищенную передачу данных в рунете",— объясняет собеседник "Ъ", близкий к администрации президента (АП).
Глава Фонда информационной демократии Илья Массух подтвердил "Ъ", что создание УЦ будет обсуждаться рабочей группой "по использованию информационно-телекоммуникационной сети интернет в отечественной экономике".
Группа создана в начале февраля решением главы администрации президента Сергея Иванова для выполнения поручений Владимира Путина. Господин Массух возглавил подгруппу "Интернет плюс суверенитет", в рамках которой, по его словам, "будут вырабатываться предложения по созданию УЦ с учетом мнения экспертов и компаний--разработчиков отечественных браузеров — "Яндекс.Браузер" и "Спутник". Гендиректор InfoWatch Наталья Касперская также подтвердила "Ъ", что знакома с идеей создания российского УЦ для выдачи сертификатов SSL. В Минкомсвязи от комментариев отказались.
Два профильных чиновника утверждают, что идею создания отечественного УЦ и имплементации его корневых сертификатов во все ОС и браузеры пропагандирует компания "Крипто-Про", которую называют "тесно связанной с ФСБ". При этом с начала года, по их словам, в качестве площадки для создания УЦ рассматривается Технический центр интернет (ТЦИ), совладельцами которого являются Координационный центр национального домена сети интернет и Фонд развития сети интернет. Гендиректор ТЦИ Алексей Платонов сообщил "Ъ", что "официальных переговоров с госорганами ТЦИ на эту тему не проводил". Коммерческий директор "Крипто-Про" Юрий Маслов в разговоре с "Ъ" уточнил, что сама компания в госструктуры с таким предложением не обращалась, но чиновники с ними по данному вопросу консультировались. "Для обеспечения безопасности и защиты от сбора информации необходимо не только создать российский УЦ и добавить его в "доверенные" во все ОС и браузеры, но и использовать во всех ОС, установленных на компьютерах российских пользователей, протокол SSL с российскими алгоритмами шифрования",— считает господин Маслов. Связи компании с ФСБ он отрицает, но признает, что "около трети штата сотрудников "Крипто-Про" действительно являются бывшими сотрудниками ФСБ".
В России существуют УЦ, которые выдают собственные SSL-сертификаты, однако они не предустановлены в ОС и браузерах, а потому пользователи, зашедшие на сайт с таким сертификатом, получают уведомление о небезопасном соединении до тех пор, пока самостоятельно не добавят эти УЦ в "коренные доверенные центры сертификации" на своем компьютере. По оценке Алексея Платонова, стоимость развертывания УЦ с имплементацией поддержки его корневого сертификата в основные браузеры и ОС составит 200-300 млн руб. и на это потребуется четыре-пять лет. Собеседник "Ъ", близкий к АП, сообщил, что предустановка российского сертификата будет решаться на переговорах с компаниями--разработчиками ОС и браузеров и, если они не пойдут навстречу, "мерами законодательного регулирования".
Наиболее популярными мировыми УЦ являются Comodo, Symantec, GoDaddy, Geotrust, GlobalSign и др. Коренные SSL-сертификаты этих УЦ предустановлены в качестве "доверенных" во всех популярных операционных системах и браузерах. В России продажей сертификатов этих УЦ занимается множество частных компаний, например Ru-Center, Reg.Ru, Agava и др. Стоимость SSL-сертификата в зависимости от его типа и выдавшего УЦ на сайте Ru-Center варьируется от 4,6 тыс. до 95,5 тыс. руб. в год. Число используемых SSL-сертификатов только в доменной зоне .ru по итогам 2015 года составило 124,5 тыс., сообщал Reg.Ru. Таким образом, в среднем объем продажи SSL-сертификатов в России ежегодно составляет около 6,2 млрд руб.
В Microsoft не ответили на запрос "Ъ" о возможности добавления российского УЦ в доверенные центры сертификации Windows, в Google сообщили, что вопрос предустановки сертификата в Chrome является "коммерческой информацией". В "Ростелекоме", совладельце браузера "Спутник", отказались от комментариев. Представитель "Яндекса" Ася Мелкумова сообщила "Ъ", что в компанию не обращались с предложением добавить в "Яндекс.Браузер" корневые доверенные сертификаты SSL и что они "не планируют менять штатное поведение браузера и операционной системы в этом плане".