Такую поддержку должны включить те, кто хочет работать в России. Поправки связаны с тем, что из-за санкционных ограничений зарубежные разработчики стали отзывать у компаний РФ сертификаты шифрования у их сайтов-> window.yaContextCb.push(()=> { Ya.adfoxCode.createAdaptive({ ownerId: 265431, containerId: 'bn6_605974525', params: { pp: 'g', ps: 'craw', p2: 'fvdg', pk: 'война авария происшествие', pke: '1' }, onRender: function () { $('#bn6_605974525').addClass('banner-middle'); $(window).trigger('scroll'); } }, ["tablet"], { tabletWidth: 999, phoneWidth: 767, isAutoReloads: false }) }) Разработчиков браузеров и операционных систем обяжут поддерживать российские сертификаты шифрования. Согласно поправкам в закон, Национальный удостоверяющий центр Минцифры будет выдавать российским сайтам сертификаты безопасности HTTPS. Все владельцы браузеров и ОС, которые хотят работать в России, будут обязаны включать в продукты поддержку таких сертификатов.

Алексей Лукацкий бизнес-консультант по информационной безопасности компании Positive Technologies "Сертификат - это паспорт пользователя, который удостоверяет, что это именно он. В сертификате прописана информация о пользователе и о компьютере, с которого он подключается к тому или иному ресурсу в интернете. Если у сайта такого сертификата нет, то обмен с ним будет определяться в открытом виде, и любой более-менее квалифицированный злоумышленник может перехватить эту информацию, а ряд браузеров запрещают подключаться к сайтам, которые не поддерживают сертификаты. Что касается [российских] сертификатов, они ничем не отличаются от любого сертификата, выданного зарубежным удостоверяющим центром за двумя исключениями. Первое - в сертификатах может быть прописана российская криптография, а зарубежные ресурсы ее не поддерживают, потому что есть сложности с выводом российской криптографии за пределы РФ. Это сложная процедура, регулируемая ФСБ России. Второй момент - чтобы сайты понимали и признавали сертификаты, должен быть прописан как доверенный центр в браузерах компании Google, Apple, Microsoft и так далее, чего сейчас мы не наблюдаем, сложно сказать, когда это событие произойдет".

Глава информационно-аналитической службы ОД "Информация для всех" Евгений Альтовский в интервью газете "Коммерсантъ" отметил, что российская криптография, скорее всего, будет "в приказном порядке" использоваться на сайтах госорганов и госпредприятий. Остальные организации ее проигнорируют.

Зарубежные разработчики браузеров и операционных систем и вовсе не обратят на поправки внимания, как это было с законом о заземлении компаний, говорит председатель совета Фонда развития цифровой экономики Герман Клименко:

- Кто разрабатывает отечественные браузеры, это "Яндекс", Mail, они и так все исполняют. Соответственно, постановления касаются в основном зарубежных историй, а у нас с ними коммуникация разрушена, и цель понятная - чтобы мы с вами были в мировой среде, но мировая среда не очень хочет пользоваться нашими сертификатами.

- То есть мы будем по какому-нибудь другому поводу в местных судах судиться с Google и в своей юрисдикции говорить, что Google неправ?

- Да-да, сейчас мы судимся с Google из-за того, что он не переносит персональные данные. Теперь он еще не будет признавать российский сертификат. Если закон не будет исполняться, надо либо заблокировать Google, заблокировать YouTube, заблокировать еще кого-то, отобрать у граждан эти браузеры, но не вступать в эти законодательные скачки, примерно как последнее китайское предупреждение.

В Минцифры отметили, что за несоблюдение закона иностранными компаниями даже не предусмотрено наказание: "Мы надеемся на добросовестность разработчиков, поскольку это обеспечит беспрепятственный и защищенный доступ к российским сайтам".

Добавить BFM.ru в ваши источники новостей?

Законопроектом предлагается создать информационную систему Национального удостоверяющего центра с целью обеспечения сайтов в российском сегменте интернета сертификатами безопасности для их доверенного использования-> window.yaContextCb.push(()=> { Ya.adfoxCode.createAdaptive({ ownerId: 265431, containerId: 'bn6_392045422', params: { pp: 'g', ps: 'craw', p2: 'fvdg', pk: 'война авария происшествие', pke: '1' }, onRender: function () { $('#bn6_392045422').addClass('banner-middle'); $(window).trigger('scroll'); } }, ["tablet"], { tabletWidth: 999, phoneWidth: 767, isAutoReloads: false }) }) Правительство внесло в Госдуму законопроект о сертификатах безопасности для российских сайтов. В пояснительной записке говорится, что изменения необходимы в связи с массовым отзывом у российских сайтов зарубежных сертификатов из-за санкций.

Проблема в том, что разработчики браузеров и операционных систем признают только зарубежные удостоверяющие центры. И не признают российские. Минцифры запустило Национальный удостоверяющий центр, который тоже выпускает сертификаты. Но они считаются ненадежными. Хотя, конечно, это не так. Продолжает председатель совета Фонда развития цифровой экономики Герман Клименко:

Герман Клименко председатель совета Фонда развития цифровой экономики "Сертификат нужен для того, чтобы удостовериться, что сайт действительно не фальшивый, не подменный и с его помощью происходит шифрование. Когда мы заходим на ресурс, между сайтом и нами выстраивается зашифрованный канал связи. Центр, удостоверяющий, что этот сайт действительно нормальный, - это достаточно важная вещь. В чем нюанс? Нюанс в том, что нет отечественных центров сертификации. Точнее, они есть, но они не признаются зарубежными браузерами и зарубежными компаниями. Соответственно, Государственная дума, правительство пытаются обязать разработчиков браузера автоматически встраивать отечественные сертификаты в браузеры. Зарубежные там уже есть".

Сертификаты безопасности требуются, например, для работы с сайтом госуслуг, любым интернет-банком или с мобильным банковским приложением. Интернет-магазинам тоже нужны сертификаты, чтобы покупатель был уверен, что он не попал на сайт мошенников. Примеры можно продолжать.

Пока проблема отзыва сертификатов у российских сайтов не кажется слишком серьезной. Действительно, тот же ЦБ и российские банки, попавшие под санкции, таких сертификатов лишились, но оперативно оформили новые в бельгийской компании GlobalSign - это один из крупнейших удостоверяющих центров в мире. Который, как оказалось, не боится работать с теми, кто попал под санкции. Пока не боится. Но сертификаты выдаются на определенное время, чаще всего на год. Потом их приходится обновлять. А что будет через год, предсказывать никто не берется.

Если те же бельгийцы и другие зарубежные удостоверяющие центры перестанут выпускать сертификаты для российских сайтов, придется устанавливать на них сертификаты российские, а они нигде в мире, кроме России, не признаются. О том, что можно сделать в таком случае, рассказывает бизнес-консультант по информационной безопасности компании Positive Technologies Алексей Лукацкий:

Алексей Лукацкий бизнес-консультант по информационной безопасности компании Positive Technologies "Можно использовать два российских браузера. Это "Яндекс.Браузер" или Atom от VK. В этом случае сертификаты от НУЦа встроены изначально. И сам адрес НУЦа, и информация о нем прописаны в браузере, поэтому с этих браузеров нет никакой проблемы зайти на любой ресурс, который поддерживает российские сертификаты. Либо мы должны внести информацию о НУЦе руками в свой браузер или в операционную систему. К сожалению, сделать это не всегда возможно, например, на ряде мобильных операционных систем это сделать нельзя. Поэтому с мобильных устройств некоторых производителей зайти на сайты, которые работают на сертификате НУЦа, является большой проблемой, если не сказать, что это вообще невозможно".

Согласно внесенным в Госдуму поправкам, разработчики браузеров и операционных систем, которые используются в России, должны включать в свои продукты поддержку отечественных сертификатов безопасности. Но никакого наказания за неисполнение этого требования пока не предусмотрено.

Добавить BFM.ru в ваши источники новостей?