В интернет по ГОСТу: как пользователю подключаться к сайту по ГОСТовым протоколам шифрования

Протокол TLS (пришедший на смену протоколу SSL) — один из кубиков системы защиты данных в глобальном интернете.  Шифрование информации, которая передается между веб-ресурсами и устройствами пользователей, а также подтверждение подлинности веб-ресурса основаны на работе этих протоколов. Использование https-соединения (которое защищает информацию по протоколу TLS/SSL) вместо http (в котором никакой защиты нет) в принципе стало мировым трендом. Браузеры помечают сайты, не поддерживающие https, как небезопасные, а поисковики ранжируют их ниже в своей выдаче.

По этим принципам «жили» все онлайн-ресурсы, однако в 2022 году зарубежные центры сертификации стали отзывать TLS-сертификаты сайтов российских компаний. И вопрос безопасного доступа в Рунете оказался под большим вопросом. Почему так произошло и что делать пользователям дальше – расскажем в этой статье.

Инфраструктура и риски

Массовый сегмент интернета один для всех (не даром это «всемирная паутина»). TLS-сертификаты долгие годы были универсальным инструментом, который позволял проверить, что браузер связывается с запрашиваемым сайтом, а не с подменным. Полномочия по выдаче сертификатов возложены на специальные центры сертификации. Последних в мире не так много и до недавнего времени в России не было ни одного. У каждого центра есть собственный корневой сертификат, с помощью которого можно проверить сертификат, выданный сайту. Для этого корневые сертификаты центров должны быть встроены в ПО на устройстве (например, в браузер).  Весь процесс выглядит так:

Система работала до 2022 года, пока зарубежные центры не начали отзывать сертификаты российских сайтов. В этот момент выяснилось, что компенсирующих мер, по сути, нет. Во-первых, в России не было собственных центров сертификации для выпуска сертификатов для сайтов. Во-вторых, большинство операционных систем и браузеров зарубежные, и в них уже «зашиты» корневые сертификаты зарубежных центров, и добавить к ним российские в современных условиях весьма затруднительно.

Тогда Минцифры России оперативно создало Национальный Удостоверяющий Центр (НУЦ), который обеспечил выпуск TLS-сертификатов для сайтов с применением зарубежных (а в ближайшей перспективе и российских) криптографических алгоритмов. В то же время легитимный статус НУЦ не признается мировым сообществом – его сертификат не считает доверенным. Из-за «недоверия» этот сертификат не встроен в зарубежные операционные системы и браузеры, поэтому пользователям нужно установить его дополнительно. В противном случае вы увидите это:

В российских браузерах (например, Яндекс.Браузере, Атом или Луна) отечественный сертификат добавлен «по умолчанию».

Создание российского центра сертификации действительно помогло остановить массовый отзыв зарубежных сертификатов безопасности. Но, с другой стороны, российские сертификаты особой популярностью пока не пользуются – слишком мало сайтов получили сертификат НУЦ.

Итак, курс на независимую инфраструктуру как с зарубежными алгоритмами, так и с отечественными уже взят. Однако использование российских ГОСТ сложнее в реализации для обычного пользователя. Как «обучить» свое устройство ГОСТу – расскажем ниже.

Что делать?

Чтобы ваш компьютер (или телефон) смог «договориться» с сайтом, получившим гостовый TLS-сертификат, в него требуется установить специальное программное обеспечение, у которого есть два варианта реализации.

Первый – это криптопровайдер, например КриптоПро CSP. Он реализует ГОСТ-криптографию и позволяет другим приложениям (в том числе и браузеру) использовать её в своей работе.  Сертификат российского центра сертификации уже зашит в этот программный комплекс.

Второй вариант – специальный клиент, который, пропуская «через себя» трафик, обеспечивает построение защищенного соединения по ГОСТ-алгоритмам. Клиент может также иметь и другие функции – работу с электронной подписью и проверку защищенности рабочего места пользователя (например, это ViPNet PKI Client, ZTNA Client).

Какой вариант выбрать, зависит от вашего браузера, операционной системы и готовности платить за софт (или использовать бесплатный вариант).

Яндекс.Браузер и ChromiumGost

 Если вы пользуетесь этими браузерами, то вам подойдет вариант с криптопровайдером. После его загрузки на компьютер, нужно будет сделать пару простых манипуляций непосредственно в браузере.

В преддверии голосования (которое, как мы помним, можно было осуществлять дистанционно) на портале Госулуг https://www.gosuslugi.ru/browser появились следующие комплекты для реализации шифрования:

  • Для Windows: «КриптоПро CSP» + Яндекс.Браузер единым комплектом;
  • Для Linux: «КриптоПро CSP» + Яндекс.Браузер как отдельные сущности.

Для пользователей Windows и Яндекс.Браузера процесс установки довольно простой, справится обычный пользователь – необходимо просто поставить галочку в разрешении использования шифрования по ГОСТ. Для Linux процесс выглядит чуть сложнее, но и пользователи обычно более квалифицированные.

Также упоминается Chromium-Gost, который может использоваться, например на устройствах c macOS. Windows и Linux также поддерживаются. Требуется установка и Chromium-Gost, и КриптоПро CSP.

Пользователи этих браузеров могут выбрать и второй вариант, то есть клиента. Манипуляций с настройками браузера не потребуется, но настройка самого клиента потребует больше сил. Каких именно – расскажем далее.

Любимый браузер

Многие из нас все-таки пользуются популярными зарубежными браузерами Chrome, Safari, Opera и т.д. В них опций для настройки криптопровайдера нет.  Но пользователи к ним привыкли и устанавливать дополнительный браузер ради поддержки ГОСТа не готовы.  Решение в такой ситуации – установка клиента с поддержкой ГОСТ-алгоритмов. По сути это локальный прокси, который работает для определенных сайтов.

По такой логике работает ViPNet PKI Client с модулем TLS Unit и Континент ZTNA Клиент. Из нюансов: модуль TLS Unit для ViPNet PKI Client платный.

Клиенты поддерживают большинство популярных ОС – Windows, Linux, Android, MacOS, iOS. Как мы говорили выше, установка и настройка клиента сложнее, чем аналогичные действия с криптопровайдером. Может потребоваться ручная загрузка сертификатов и указание доменов сайтов, на которые нужно подключаться по ГОСТу. Но бонусом получаем возможность работы с любимым браузером.

Рисунок 3 Пример настройки ZTNA Клиент Кода Безопасности

Мобильные ОС

С мобильными устройствами тоже есть свои сложности. У большинства мобильных браузеров (даже Яндекс.Браузера) нет возможности использовать криптопровайдер (исключение – Chromium-Gost, но только для Android). Здесь на помощь придет клиент – все по аналогии с десктопным браузером.

Также в отдельные мобильные приложения могут быть встроены российские алгоритмы. Например, можно сделать специальный браузер с поддержкой ГОСТ-алгоритмов (бесплатная бизнес-идея).

Особняком стоит ОС Аврора, которая доступна для бизнеса и госструктур как проектное решение, ГОСТ-криптография там изначально «на борту».

Итого

Подключение к сайтам, которые используют для https только российскую инфраструктуру, требует от пользователя дополнительных действий.  При использовании сайтом сертификата НУЦ с зарубежными алгоритмами, действия минимальны – нужно установить корневые сертификаты на своё устройство.

Если речь идет о российских криптоалгоритмах, то потребуется установка дополнительно ПО, реализующего ГОСТ.

Ниже мы подготовили таблицу с возможными вариантами: