Rusija bo izdajala svoje certifikate TLS

Matej Huš

11. mar 2022 ob 11:55:45

Ker zaradi zahodnih sankcij ruske spletne strani ne morejo dobiti novih certifikatov oziroma obnavljati starih po izteku - nekateri izdajatelji so jim celo preklicali še veljavne certifikate -, je Rusija ustanovila centralnega overitelja (CA), ki bo stranem izdajal lastne certifikate. Ministrstvo za digitalni razvoj ponuja brezplačno domačo alternativo za potekle certifikate, ki jo lahko lastniki ruskih domen po zaprosilu dobijo v petih dneh, so zapisali na uradnem portalu.

To je sicer res, vendar pa to še vedno ni rešitev, dokler ti certifikati niso v verigi zaupanja, zato bodo brskalniki še vedno prikazovali opozorila. Rusija zato svoje državljane poziva, naj v brskalnike ročno dodajo novega overitelja, ali pa naj presedlajo na lokalna brskalnika Yandex ali Atom, ki jih podpirata že tovarniško. Ni pričakovati, da bi Chrome, Firefox in Edge te certifikate kaj kmalu dodali med zaupanja vredne. Nekatere spletne strani so nove certifikate že začele uporabljati, denimo Sberbank, VTB in ruska centralna banka.

Ruska rešitev je problematična, saj vključuje ročno dodajanje korenskih certifikatov med zaupanja vredne, kar je slaba praksa. Celoten sistem temelji na verigi zaupanja, ki ga takšne rešitve spodkopavajo, teoretično pa bi lahko s tem izvajali tudi napade MITM. Izjemno problematično bi bilo, če bi na primer v Rusiji bila obvezna namestitev teh korenskih certifikatov.