Сбер начал переводить свои сайты, рабочие ресурсы и системы на сертификаты, выпущенные Удостоверяющим центром Минцифры. Данное решение обеспечит независимость банка от зарубежных удостоверяющих центров, говорят в компании. Сервис по выдаче сертификатов безопасности работает с марта 2022 года на портале Госуслуг.

Сертификаты выдаются бесплатно. Как отметил министр цифрового развития, связи и массовых коммуникаций РФ Максут Шадаев, выпуск российских сертификатов безопасности включен Правительством России в план первоочередных действий по обеспечению развития российской экономики в условиях внешнего санкционного давления. Первые шаги в этом направлении были сделаны ещё пять лет назад.

Напомним, что в марте 2022 года Минцифры организовало работу собственного центра сертификации, чтобы решить накопившиеся проблемы с доступом к разным сайтам, которые могут возникать в случае истечения срока годности сертификатов безопасности и невозможности их своевременно обновить из-за западных санкций. Впрочем, TLS-сертификаты повсеместно используются для организации защищённого канала связи, и не только веб-сайтов.

Изображение: pixabay.com / geralt

Как правило, центры сертификации располагаются в странах, поддержавших антироссийские санкции, и не могут принимать платежи за свои услуги. Из-за этого различные веб-ресурсы не могут продлить TLS-сертификаты. После истечения срока их действия браузеры будут блокировать доступ к таким сайтам. Частично смягчить эту ситуацию смогут сертификаты, выдаваемые местным центром.

Эта мера вряд ли сможет полностью решить проблему, поскольку сертификат Минцифры на данный момент не признан ни одним глобальным удостоверяющим центром. Это означает, что в популярных браузерах, таких как Chrome или Firefox, он будет блокироваться. Пользователям этих браузеров потребуется вручную добавлять отечественный сертификат, чтобы подписанные им сайты открывались без проблем. В отечественных обозревателях, таких как «Яндекс.Браузер» и «Атом», сертификат Минцифры работать будет без ограничений.

После 3 лет работы состоялся релиз OpenSSL 3.0. В ходе разработки было выпущено 17 альфа-версий, две бета-версии и получено свыше 7500 коммитов от более чем 350 участников, а также был внедрён целый ряд исправлений и обновлений. Как отмечается, объём документации вырос на 94 % по сравнению с версией 1.1.1, а объём кода — на 54 %. С выходом нового релиза схема версионирования, как и было объявлено ещё в 2018 году, поменялась.

wikipedia.org

В числе изменений отметим переход на лицензию Apache 2.0. В техническом же плане изменения коснулись многих аспектов. OpenSSL 3.0 перешел на новую архитектуру, что обеспечит большую гибкость при работе с libcrypto. Появилась «ядерная» поддержка TLS и полностью «подключаемых» групп TLSv1.3, а также новых (де-)кодеров, которые помогут упростить работу с нестандартными алгоритмами. Наконец, появился протокол управления сертификатами (Certificate Management Protocol, CMP).

В числе иных изменений отметим новые API. При этом устаревшие версии API в будущих версиях удалят, поэтому уже сейчас рекомендуется обновить приложения. Также отметим, что ключевой особенностью OpenSSL 3.0 является новый модуль FIPS, что позволит получить сертификацию FIPS 140-2, которая важна в ряде областей. Однако она ещё не готова, как и документация, так что пока использование FIPS-модуля не рекомендуется.