Как на безопасность сайтов повлияет отзыв SSL-сертификатов у банков

У попавших под санкции банков и Центробанка отозвали SSL-сертификаты, обеспечивающие безопасность сайта и сохранность персональных данных. Они уже получили новые сертификаты и угрозы данным клиентов нет

После внесения в санкционный список ЦБ, ВТБ, Совкомбанка и Промсвязьбанка сайты этих организаций на некоторое время могли снизить уровень защиты специальным сертификатом, хотя банки утверждали, что санкции не повлияют на уровень безопасности.

Первым на это во вторник, 1 марта, обратил внимание "Деловой Петербург". По его информации, хостинг-провайдер DigiCert (США) отозвал у Центробанка сертификат TLS — одной из версий протокола SSL, который обеспечивает подлинность сайта и защиту персональных данных на нем. В тот же день сайт ВТБ не позволил провести транзакцию из-за просроченного SSL-сертификата, убедился корреспондент РБК. На сайте банка отображалась ошибка "cert_revoked" — что означает, что сертификат или отсутствует (или неправильно установлен, или просрочен, или отозван), пояснил РБК один из участников ИТ-рынка. Согласно информации из Telegram-каналов, до недавнего времени у ВТБ был SSL-сертификат от Thawte Consulting (ЮАР).

Что такое SSL-сертификат

SSL-сертификат отображается в левом углу адресной строки браузера в виде закрытого замка. Так пользователь может определить, является ли сайт надежным или фишинговым. Во втором случае персональные и платежные данные, оставленные на таком сайты, попадут злоумышленникам, как и сам платеж. SSL-сертификаты выпускают удостоверяющие центры — специальные организации, они также поддерживают их работу. Как пояснил руководитель направления ГОСТ VPN компании "Ростелеком-Солар" Александр Веселов, существуют три основные цели использования таких сертификатов: шифрование данных между пользователем и сайтом; сертификат выступает в качестве своеобразного "удостоверения личности" для организации и защищает пользователя от фишинговых сайтов; улучшает ранжирование в поиске — сайты, у которых сертификат отсутствует, опускаются ниже в выдаче.

Какие риски существуют

В среду, 2 марта, сайт Центробанка получил новый сертификат, подтвержденный бельгийской компанией GlobalSign. Он действителен до 2 апреля 2023 года. ВТБ еще 1 марта получил новый сертификат и он одобрен удостоверяющим центром.

Представитель технической поддержки DigiCert на вопрос, действительно ли они отозвали сертификат у ЦБ и намерены ли поступать так же с другими российскими организациями, сообщил, что компания "действует в соответствии с законодательством своей страны и внимательно отслеживает международную обстановку, а именно — все санкции, которые вводятся против России со стороны США и других стран". Аналогичный ответ предоставил представитель Thawte.

24 февраля США, ЕС и ряд других стран объявили о санкциях в отношении ЦБ, ряда банков и физлиц из России в ответ на проведение спецоперации на Украине. ВТБ, банк "Открытие", Совкомбанк, Промсвязьбанк и Новикомбанк попали под самые жесткие санкции из-за аффилированности с госструктурами России: их активы и счета в долларах США заблокированы, карты перестанут работать за границей, они не смогут поддерживать сервисы Apple Pay, Google Pay и Samsung Pay.

Среди перечисленных банков 1 марта новый сертификат появился также у Совкомбанка и Промсвязьбанка, следует из технической информации на их сайтах.

РБК направил запрос в банк "Открытие", Совкомбанк, Новикомбанк и Промсвязьбанк.

Согласно официальной статистике Технического центра Интернет (ТЦИ), на 2 марта этого года в домене.RU около 80% сайтов имеют сертификат от центра сертификации LetsEncrypt (США), в домене.РФ — 82%, а в домене.SU — 72%. Это бесплатный сертификат, его шифрование обновляется автоматически каждые три месяца.

По данным эксперта в области информационной безопасности Алексея Лукацкого, сейчас в сообществе LetsEncrypt, которое занимается технической поддержкой пользователей, идет обсуждение статуса сертификата сайтов в зоне gov.ru — российских государственных сайтов, который администрирует Спецсвязь Федеральной службы охраны.

РБК направил запрос в LetsEncrypt.

Какие последствия будут у отзывов

По словам Алексея Лукацкого, есть несколько вариантов для российской компаний или ведомств, у которых был отозван SSL-сертификат:

пойти к другому удостоверяющему центру;
сделать свой "самописный" сертификат, используя программное обеспечение удостоверяющего центра;
попробовать получить сертификат у российских удостоверяющих центров.

Он привел в пример удостоверяющие центры при Центробанке и Казначействе. В то же время Лукацкий предположил, что коммерческие компании могут воспользоваться услугами ФНС, так как взаимодействие с налоговой подразумевает получение у последней сертификата, однако "до этого такая практика не применялась". Также эксперт напомнил, что Минцифры работает над созданием российского головного удостоверяющего центра, но его пока не успели запустить, для этого необходимо доработать законодательство. "Есть еще вариант запустить в России свой национальный удостоверяющий центр, который будет выдавать SSL-сертификаты российским компаниям и ведомствам. Однако не уверен, что все коммерческие компании на это согласятся, так как это предоставит возможность полностью контролировать трафик, перехватывать персональные данные и т.д.", — рассуждает Лукацкий.

Александр Веселов из "Ростелеком-Солар" напомнил, что это уже не первый случай отзыва SSL-сертификатов у российских сайтов. Например, в 2018 году американская компания GeoTrust отозвала сертификат у сайта Торгово-промышленной палаты России. Он также отметил, что ряд сайтов российских госорганов работает вообще без них, "это объясняется тем, что такие сайты выполняют преимущественно информационную функцию: там нет форм авторизации и личного кабинета".

Веселов предполагает, что единственный выход из ситуации с отзывами сертификатов — это импортозамещение, то есть создание собственной инфраструктуры на оборудовании, поддерживающем российские криптоалгоритмы по ГОСТу. Однако он признает многогранность этой проблемы. "Со стороны владельцев веб-сайтов реализация российской криптографии выглядит не самой простой задачей. Web-серверы не поддерживают ГОСТ "из коробки", требуются приобретение, настройка и эксплуатация дополнительного оборудования", — рассуждает он.

При этом браузер может не одобрить SSL-сертификат, тогда у пользователей будет на сайте отображаться предупреждение, что сайт не безопасен, указывает Лукацкий. "Тогда отличить фишинговый сайт от сайта с непринятым сертификатом будет сложнее", — предупредил эксперт.
Эксперт по безопасности "Лаборатории Касперского" Денис Паринов говорит, что при посещении сайта с отозванным сертификатом все браузеры реагируют по-разному. "Как правило, показывают предупреждение о недоверенности сертификата, но при этом позволяют открыть сайт. При посещении сайта, использующего отозванный сертификат, могут возникнуть неудобства, ошибки при работе, например, в личном кабинете. Чтобы это исправить, администраторы сайтов могут выписать новый сертификат в авторизованном центре сертификации", — комментирует он. По его мнению, сейчас нет признаков массовых отзывов, пока "речь идет о единичных случаях отзывов сертификатов, выписанных Thawte".

По мнению ведущего специалиста отдела аудита Infosecurity в Softline Анатолия Сазонова, отзыв сертификатов может стать массовой историей в условиях, когда большая часть удостоверяющих центров находится за рубежом, а "отечественный глобальный удостоверяющий центр находится в процессе создания". "Но даже при условии запуска российского центра его сертификат тоже может быть не принят, как это было с китайским центром China Internet Network Information Center", — выражает опасения он.

Впрочем, менеджер по продуктам хостинг-провайдера REG.RU Антон Бобков заверил, что они находятся на связи со всеми ключевыми удостоверяющими центрами и на данный момент не видят предпосылок к прекращению сотрудничества. В то же время он оговорился, что прогнозировать отказ всех иностранных удостоверяющих центров сложно.