Разделы

Безопасность Стратегия безопасности Госрегулирование Бизнес Законодательство Интернет Веб-сервисы Техника

Госсертификаты шифрования для сайтов обретают в России силу закона

Правительство России может заставить разработчиков браузеров и отечественного ПО поддерживать госсертификаты шифрования. Выдает эти сертификаты Национальный удостоверяющий центр (НУЦ) Минцифры, законопроект, который внесло правительство в Госдуму и предусматривает, что НУЦ будет выпускать сертификаты в том числе на основе российских криптографических алгоритмов по ГОСТу.

Правительство хочет открывать сайты по ГОСТу

Правительство России внесло в Госдуму проект поправок к ФЗ «Об информации, информационных технологиях и о защите информации». Один из пунктов документа описывает деятельность информационной системы национального удостоверяющего центра (НУЦ) Минцифры, которая должна обеспечить сайты в рунете специальными сертификатами безопасности для их доверенного использования пользователями.

«Это необходимо в связи с досрочным отзывом сертификатов безопасности у сайтов российского сегмента интернета, которые выдавались иностранными организациями», — следует из пояснительной записки.

Новые сертификаты безопасности будут выдаваться с применением отечественных криптографических алгоритмов по ГОСТу, как следует из документа. Реализация решений, предусмотренных законопроектом, позволит обеспечить признание и поддержку использованных сертификатов безопасности, выданных посредством информационной системы НУЦ, в операционных системах, информационных системах, сайтах и браузерах.

Как отмечают в «Коммерсанте», Правительство России предлагает обязать всех, кто разрабатывает или дорабатывает браузеры и ОС в РФ, включать в продукты поддержку таких сертификатов.

Сертификаты уже выдают, но не в обязательном порядке

В марте 2022 г., после того как зарубежные центры стали отзывать сертификаты безопасности у подсанкционных российских организаций, Минцифры порекомендовало россиянам перейти на использование браузеров отечественной разработки. В то же время, НУЦ начал выдавать собственные сертификаты для зашифрованного соединения с сайтами (HTTPS). Тогда в сертификатах безопасности еще не использовалась российская криптография по ГОСТу, пишет «Коммерсант», теперь она становится обязательной.

Как отмечают эксперты, ОС и браузеры от Microsoft, Google и Apple поставляются без корневого сертификата НУЦ, и при попытке открыть в них сайты, перешедшие на национальный сертификат (например, Сбербанка), защищенное соединение не устанавливается. Сайты открываются по HTTPS только из российских браузеров — «Яндекс Браузер» и VK Atom.

В «Яндексе» добавили, что несмотря на наличие корневого сертификата НУЦ, попасть на сайты с шифрованием по ГОСТу можно только при установке стороннего компонента «КриптоПро». Встроенную поддержку добавлять в «Яндекс Браузер» разработчики не планируют. О том же заявили в VK, сообщает издание.

Что говорят эксперты

Как прокомментировал CNews Григорий Сизоненко, генеральный директор компании ИВК, эти поправки – еще один шаг на пути к обеспечению технологической независимости России в сфере ИТ.

«Использование сертификата, обеспечивающего шифрование по ГОСТу, позволяет защитить как владельца сайта, так и его клиентов, — сказал гендиректор компании ИВК. — Поддержка корневых сертификатов шифрования помогает обеспечить конфиденциальность и контроль целостности передаваемых по каналам данных методом их шифрования и имитозащиты в соответствии с ГОСТ. Это необходимо организациям для ведения юридически значимого документооборота, для работы с госинформситемами (gosuslugi.ru, mos.ru и др.), для участия в электронных торгах и т.п.»

В первую очередь, по мнению эксперта, нововведения коснутся госсайтов.

«Разработчики российских ОС уже предприняли шаги к включению в свои продукты гостированного шифрования, — отметил Сизоненко. — Так, операционные системы семейства «Альт» уже поддерживают корневые сертификаты безопасности Минцифры России. Разработчики ОС «Альт» реализовали хэш-функцию Streebog. Она стандартизирована в РФ по ГОСТ 34.11-2012. Streebog включена не только в ОС «Альт», но и криптографическую подсистему ядра Linux».

Руководитель информационно-аналитической службы ОД «Информация для всех» Евгений Альтовский, также полагает, что российская криптография «в приказном порядке будет использоваться на сайтах госорганов и госпредприятий», остальные же организации проигнорируют ее.

Как уточнили в Минцифры, наказания за неисполнение требования не предусматривается.

Юлия Божко