Год белого полярного жареного петуха
Столкнувшись с отзывом TLS сертификатов у сайтов подсанкционных организаций, российские власти и админы решительно поменяли старые грабли на новые.
Собственно, вариантов реакции на отзыв TLS сертификата не так уж много, особенно в авральном режиме, когда сертификат уже «неожиданно» отозван, а сайт должен работать бесперебойно.
Нулевой вариант
Нулевым этот вариант назван потому, что начать его реализовывать надо было еще в «нулевых», чтобы сегодня можно было рассчитывать на хоть какой-то результат. Вариант этот предусматривает создание национального УЦ и включение его сертификата в хранилища распространенных ОС.
Мне могут возразить, что полдела уже сделано, на что я отвечу: эта половина дела — полная гарантия, что его вторая половина не будет сделана в хоть сколько-то обозримой перспективе. Никто ни сегодня, ни завтра, ни послезавтра не станет даже обсуждать с Минцифры интеграцию его корневого сертификата в свое ПО (если не принимать в расчет Bolgen OS Яндекс.Хромиум и подобные «отечественные разработки»).
Другое дело, если российский корневой УЦ создаст консорциум крупных игроков рынка, из которого не будут слишком торчать уши «Ростелекома» и прочих «коммерческих» компаний с государственным вмешательством участием. Сертификат такого УЦ тоже никто завтра в свою продукцию не интегрирует, и даже послезавтра, но хотя бы появится предмет для переговоров.
Вариант 1
Генерация суверенного самозаверенного сертификата и провозглашение его Корневым Сертификатам Удостоверяющего Центра™ Russian Trusted Root CA. Кто и когда создал этот УЦ? В какой организационно-правовой форме он существует? Чем регламентируется его работа? У кого, наконец, есть доступ к приватному ключу сертификата УЦ? Надеюсь, за эти вопросы еще не предусмотрена статья в УК.
На момент написания этого текста портал Госуслуг рапортовал о 479 доменах, для которых выпущены суверенные сувенирные сертификаты. Что ж, если считать сертификаты, выпущенные для *.vtb.ru и mob.vtb.ru за разные сертификаты, то да, заявок много, а если суммировать все сертификаты, выданные для доменов и поддоменов vtb.ru, vtb.com, vtb24.ru, vtbstrana.ru, vtbbo.ru и szrcvtb.ru, то мы насчитаем 240 (50% от якобы выпущенных) сертификатов.
Та же история с десятками сертификатов для «Сбербанка», Банка России и Минобороны (которое несколько дней назад прокинул Let’s Encrypt). В конце «рейтинга» идут какие-то совсем уж мурзилочные сайты аптек и инфоцыган, администраторы которых то ли развлекаются, запрашивая сувенирный сертификат в отсутствии на сайте HTTPS вообще, то ли бессовестно льстят себе, ожидая в свой адрес санкций. Перспективы этого варианта, как мне представляется, очевидны уже сейчас и измеряются в величинах, кратных полутора землекопам.
Вариант 2
Заказать новый сертификат у нейтрального другого УЦ, который пока не решил, как применять санкции в отношении TLS сертификатов, и стоит ли присоединяться к новому модному течению — показательному хлопанью дверью в адрес России. Британской Sectigo и бельгийской GlobalSign получают приз необоснованно оптимистичных зрительских админских симпатий!
Вариант 3
Покупка (целиком или блокирующего пакета акций) УЦ, корневой сертификат которого уже интегрирован в эти наши Android, iOS, Linux, Windows и далее со всеми (или хотя бы основными) остановками. У Китая это получилось, может получиться и у России; главное — не повторять ошибок WoSign. Trustwave с ее сингапурскими корнями смотрится одним из первых кандидатов на инвестиции.
Вариант 4
Создание национального УЦ и получение для него не корневого, а промежуточного сертификата у корневого УЦ из дружественной не сильно враждебной страны. Не соблаговолит ли дорогой друг Эрдоган в качестве извинений за сбитый российский штурмовик выдать RussiaTrust сертификат за подписью Tubitak? Может и друг Си не откажется поставить кросс-подпись Beijing CA?
Это непростые вопросы, которые придется решать на уровне руководителей стран, но это самое простое для пользователей решение проблемы. Никакого пойди туда, скачай то, распакуй, установи… Кстати, кто придумал распространять сувенирный сертификат в ZIP-архиве? В архиве, Карл?!
Я что-то упустил, вы видите еще какие-то варианты реакции?
