Rosja utworzyła zaufany krajowy urząd certyfikacji TLS (CA), aby pomóc rosyjskim witrynom odnawiać certyfikaty TLS i nadal świadczyć usługi odwiedzającym.
Przed inwazją na Ukrainę rosyjskie strony internetowe płaciły międzynarodowym urzędom certyfikacji za odnowienie ich certyfikatów TLS. Ponieważ jednak inwazja spowodowała również surowe sankcje, upoważnieni sygnatariusze z tych krajów zachodnich nie mogą już przyjmować płatności, a tym samym nie mogą odnawiać certyfikatów.
Jeśli certyfikat witryny wygasł, przeglądarka wyświetli komunikat, że strona, którą użytkownik chce odwiedzić, nie jest bezpieczna i aby uniknąć tego problemu, władze rosyjskie stworzyły krajowy urząd certyfikacji.
Dwie przeglądarki rozpoznają nowy CA
„Zastąpi zagraniczny certyfikat bezpieczeństwa, jeśli zostanie unieważniony lub wygaśnie” – czytamy w przybliżonym tłumaczeniu ogłoszenia zamieszczonego na rosyjskim portalu usług publicznych Gosuslugi. „Ministerstwo Cyfryzacji zapewni darmowy analog domowy. Usługa jest świadczona osobom prawnym - właścicielom witryn na żądanie w ciągu 5 dni roboczych.
To wszystko nie jest takie proste, jak się wydaje. Przeglądarki internetowe muszą ufać urzędowi certyfikacji, a aby to osiągnąć, „wiele firm” musi mu ufać, jak to ujął BleepingComputer. Wydaje się, że nie może to nastąpić z dnia na dzień.
W obecnej postaci tylko dwie przeglądarki uznają nowy urząd certyfikacji za zaufane: Yandex i Atom. Pierwsza ma siedzibę w Rosji, a druga jest open source. Do tej pory Sbierbank, VTB i Centralny Bank Rosji otrzymały te nowe certyfikaty, czytamy w publikacji.
W przyszłości około 200 domen zostało powiadomionych o nowym certyfikacie TLS, ale ponieważ nie stały się one obowiązkowe, nie jest jasne, ile czasu zajmie firmom ich przyjęcie, ani ile na początek. .
Sankcje wynikające z rosyjskiej inwazji na Ukrainę mocno obciążają gospodarkę najeźdźcy. Wiele usług, takich jak PayPal, Visa, Mastercard, a nawet SWIFT, nie jest dostępnych w kraju, podczas gdy większość zachodnich sprzedawców detalicznych, takich jak Microsoft, Apple, Google, McDonalds, Coca-Cola i wielu innych, wycofało się.
Zdaniem ekspertów z firmy Venafi zajmującej się cyberbezpieczeństwem, utworzenie nowego rosyjskiego urzędu certyfikacji mogłoby również stworzyć możliwość wystąpienia katastrofalnego pojedynczego punktu awarii dla rosyjskich podmiotów, ponieważ postrzegają urząd certyfikacji jako „wyraźne naruszenie prywatności i bezpieczeństwa”. ponieważ daje rosyjskiemu rządowi uprawnienia do szpiegowania swoich obywateli i fałszowania wszelkich zachodnich usług internetowych.
„Wszystko to nie powinno dziwić” — mówi Kevin Bocek, główny strateg ds. bezpieczeństwa w firmie Venafi.
„To nowa eskalacja konfliktu z otwartym Internetem i rozszerzenie kontroli nad obywatelami. Rosja wyklucza się też z globalnej gospodarki i osłabia nadzieje na wzrost gospodarczy obecnych i przyszłych pokoleń obywateli Rosji.
„Można bezpiecznie założyć, że ten nowy CA będzie głównym celem Anonymous i innych grup przeprowadzających obecnie cyberataki na rosyjskie podmioty” — dodaje Pratik Selva, inżynier bezpieczeństwa w Venafi. „W przeciwieństwie do reszty świata, witryny i infrastruktura rosyjskiego rządu i sektora prywatnego nie mają urzędu certyfikacji, więc jeśli któryś ulegnie awarii lub zostanie naruszony, wszystkie połączone z nim witryny zostaną odłączone od Internetu do czasu utworzenia nowego urzędu certyfikacji i może zostać wydany nowy certyfikat.
Przez: BleepingComputer