Минцифрова гора, суверенная мышь и 0,0037%-ное импортозамещение

kd2rimxqqdtfvuvmzmrujtksdeq.jpeg


Процесс обилечивания российских сайтов суверенными TLS-сертификатами идет в лучших традициях плановой экономики: бодрые рапорты с дутыми цифрами.
В предыдущей статье мы разбирались, как в ответ на отзыв УЦ Thawte и Let’s Encrypt TLS-сертификатов у сайтов нескольких российских госорганов и организаций, неустановленными лицами с использованием служебного положения и в отсутствии правовых оснований то ли во второй, то ли в третий раз (они сами запутались во вранье) был якобы создан «национальный удостоверяющий центр» (НУЦ), который не следует путать с реально и легально существующим АО «Национальный удостоверяющий центр».

С тех пор ничего не изменилось: Минцифры все так же не располагает необходимыми для учреждения подобного УЦ полномочиями, аккредитация УЦ подведомственного министерству НИИ «Восход» — все так же прекращена, кто выпустил от лица Минцифры т.н. «корневой сертификат удостоверяющего центра» Russian Trusted Root CA и на каком правовом основании — все так же неизвестно и никто от имени государства не потрудился этого объяснить.

Поэтому, спустя полтора года после появления на портале «Госуслуги» рекламы «национального удостоверяющего центра», мы можем обсуждать лишь суперлатив лжи статистические данные. В опубликованном на портале списке доменов, в отношении которых выпущены сертификаты безопасности, 4883 записи, что возвращает нас к популяризированному Марком Твеном афоризму про ложь, наглую ложь и статистику.

Занимательная статистика


К середине мая 2022 года (за 2,5 месяца с начала работы НУЦ) суверенными TLS-сертификатами было якобы обилечено порядка 4700 доменов, а спустя 4 месяца, к середине сентября — еще около 200. По некоторым данным, к концу мая сертификаты стали выписываться с занесением в логи Certificate Transparency и это, разумеется, чистое совпадение, что официальная статистика вдруг резко сдулась.

Тем не менее, в ходе исследований, проводимых в рамках проекта «Монитор госсайтов», мы все чаще натыкаемся на «суверенные» TLS-сертификаты, так что может сложиться (спойлер: обманчивое) впечатление об успехах импортозамещения в сертификатостроительстве. Так, если в прошлом году сертификаты НУЦ использовались на 4 сайтах высших коллегиальных органов исполнительной и законодательной власти субъектов федерации, то в этом их стало уже 8 (очередной доклад «Информационная безопасность сайтов государственных органов субъектов федерации» выйдет на следующей неделе). На федеральном уровне сертификатам НУЦ в этом году отдали предпочтение 9 госсайтов, тогда как год назад таковых вовсе не было.

Однако, список доменов, в отношении которых выпущены сертификаты безопасности, в 4883 строки стоит на месте уже больше года, а растут лишь CT-логи. Согласно им, в 2022 году было выдано 3096 суверенных сертификатов (следует ли эту цифру добавить к 4883 или вычесть из нее — непонятно), а в этом году — 3610 (на 4 октября).

К сожалению, автоматизировать загрузку данных из CT-логов, их разбор и декодирование оказалось непосильной для меня задачей, поэтому дальнейшему анализу подверглись лишь данные с портала госуслуг — из списка 4883 доменов, в отношении которых выпущены сертификаты безопасности.

Из этого списка доменных имен 2–6 уровней мы можем отобрать уникальные доменные имена 2–3 уровня, т.е. привести бесчисленные apimajorcheck.sberstore.sberbank.ru, lyncdiscover.sberbank.ru, ift.web.encashment.sberbank.ru и *.encashment.sberbank.ru к просто sberbank.ru Благодаря этой нехитрой операции выяснится, что лишь 1235 (25%) доменных имен 2–3 уровня в списке уникальны.

На первом месте в топ-10 уникальных доменов 2–3 уровня (290) у нас, как вы уже могли догадаться, оказывается sberbank.ru, на втором (210) — vtb.ru, на третьем… снова sberbank.ru sber.ru (118), на пятом — он же sbrf.ru (99), и на седьмом, и на десятом… Проще сказать, что 95 доменных имен из списка содержат подстроку «sber», а еще 10 — «сбер», и это не считая всяких sbcc.ru, sbfc.ru, sbspasibo.ru и прочих сберабырвалг.рф

Итого, более 870 (18%) доменов в списке — домены, поддомены, доменчики и доменятки одного и того же «Сбербанка». У ВТБ результат поскромнее — порядка 300 (6%) доменов, но идею, полагаю, вы уловили: 4883 домена в списке — это не 4883 уникальных домена второго-третьего уровня и тем более не 4883 уникальных получателя сертификата (тенденция, обнаружившая себя буквально с первых дней активности НУЦ).

Более того, возьмем для примера сертификат с серийным номером 0187287694A1189A9B89D9AE8B84, который мы можем найти, например, на хосте privet-draft.sberbank.ru, заглянем к нему в поле subjectAltName (SAN) и обнаружим там список из 51 (прописью: пятидесяти одного) уникального хоста, многие (не все, но многие) из которых встречаются в списке доменов, в отношении которых выпущены сертификаты безопасности. То есть, 4883 — это и не количество выданных сертификатов, а количество хостов, покрываемых выданными сертификатами; количество же самих выданных сертификатов остается неизвестно.

Проверить, действительно ли сертификат был выдан, нет никакой возможности, даже с помощью данных из CT-лога, поскольку как бы безоговорочно мы ни верили его администратору, данные в этот лог поступают из неизвестного источника, степень доверия к которому не определена. Впрочем, из этого правила есть одно исключение: если только не утверждается, что сертификат был выдан для несуществующего доменного имени, и подобное утверждение в списке встречается минимум однажды в отношении домена www.tavrich.ru.ru

Дело в том, что домен ru.ru (на момент публикации списка) не был делегирован и у меня большие сомнения, что поддомен tavrich.ru.ru существовал, особенно с учетом наличия в списке доменов, в отношении которых выпущены сертификаты безопасности, реально существующего домена tavrich.ru.

Этот факт приводит нас к двум гипотезам:

  • на самом деле, на портале госуслуг опубликован список доменов, для которых запросили, а не выдали сертификаты (очевидно, что такой список будет внушительнее);
  • сертификаты выдавались без проверки существования и функционирования домена — лишь бы попросили; следовательно, проверка полномочий запросившего сертификат лица тоже не проводилась.


В пользу второй гипотезы говорит факт выдачи сертификата НУЦ, призванного «обеспечивать устойчивость функционирования и безопасного взаимодействия устройств в российском сегменте Интернета» опять же «Сбербанку» для доменных имен intercomp.kz и mzdorovie.com На этом фоне выдача сертификата все тому же «Сбербанку» для доменного имени сберправо.рус которое, строго говоря, не то что не в российском сегменте, а вообще не в Интернете в общепринятом значении этого слова, не стоит упоминания.

Проведем еще порцию издевательств операций над имеющимся списком доменов, откусив от них *. в начале и отобрав лишь уникальные строки, которых оказалось 3999, посмотрим, сколько хостов сегодня при обращении к ним по HTTPS отвечают сертификатом от НУЦ, а не просто получили его в качестве сувенира и повесили в рамке в красном углу.

Результат был предсказуем, но одно дело догадки, другое — факты: ответ был получен лишь от 2897 хостов, которые передали в составе ServerHello 1515 уникальных TLS-сертификатов, из которых 452 хоста предложили клиенту защитить соединение суверенным сертификатом, из которых лишь 206 оказались уникальными.

Итак, снова статистика, но в этот раз — проверяемая: лишь 82% из 4883 записей соответствуют уникальным доменам, лишь 72% из них ответили на попытку соединения по HTTPS, ответ лишь 52% из них содержал уникальный TLS-сертификат, а 30% — суверенный сертификат, и лишь 46% из них — уникальный суверенный сертификат. То есть из 4883 доменов сегодня лишь 4% отвечают уникальным суверенным сертификатом; примерно столько же исследованных хостов приветствовали посетителей другими самопальными сертификатами, например SberCA Test Ext, или сертификатом Kubernetes Ingress Controller Fake Certificate, который вообще не должен торчать в Интернет, но торчит, например, на сайте «Spectrum бюро — Безопасное (му-ха-ха! — прим. автора) хранение кредитных историй».

Дополнительные факторы, которые могли повлиять на объективность полученных данных
  1. Необнаружение существующего хоста. Например, для сертификата, запрошенного для хоста *.ifap.ru мы исследовали хост ifap.ru, тогда как сертификат мог использоваться на хосте sovereign.ifap.ru, который мы никак не могли обнаружить (во всяком случае без существенного усложнения поисков).
  2. Временная недоступность хоста. Например, отсутствие ответа от хоста в течение 10 секунд рассматривалось как отсутствие хоста, хотя время отклика могло быть больше, либо хост был недоступен лишь временно.
  3. «Узкий срез» исследования. Например, если запрошенный год назад суверенный сертификат не используется сегодня на test.ifap.ru это не означает, что другой суверенный сертификат не используется сегодня на www.ifap.ru, хотя год назад он не запрашивался для этого домена.

Резюме


Исходя из данных Технического центра Интернета, якобы выданные в 2022 году суверенные сертификаты реально используются сегодня в 4% случаев, то есть на 0,0037% от всех делегированных на данный момент доменов в зонах .RU и.РФ — чуть менее, чем нигде.

Для стороннего наблюдателя не существует возможности проверить, действительно ли за первые полгода работы НУЦ были выданы (или хотя бы запрошены) суверенные сертификаты для 4883 доменов. Однако мы знаем, по крайней мере, один несуществующий домен, сертификат для которого якобы был выдан. Этот факт приводит нас к вопросу: проверяется ли существование доменов, для которых запрашивается суверенный сертификат, и удостоверяется ли НУЦ в наличии права администрирования соответствующего доменного имени у запрашивающего сертификат лица?

Мы также можем определенно сказать, что около четверти якобы выданных сертификатов приходятся на домены и поддомены, администрируемые двумя банковскими группами — «Сбербанком» и ВТБ.

И наконец, сторонний наблюдатель вслед за нами может проверить, сколько доменов из прошлогоднего списка здороваются сегодня сертификатом от НУЦ при обращении к ним по HTTPS. Таковых оказывается лишь 9%, при этом уникальных сертификатов и вовсе — 4%.

Здесь необходимо напомнить, что в наше исследование не попали 6706 записей о выдаче сертификатов из публичного CT-лога, что, несомненно изменило бы итоговую картину, но вряд ли изменило бы количество нулей после запятой в цифре, обозначающей процент доменов с сертификатом от НУЦ по отношению ко всем делегированным доменам в российских ccTLD, который, напомню, составляет 0,0037%.

Как и было сказано: Минцифрова гора уродила национальную удостоверяющую суверенную мышь.

© Habrahabr.ru