Весной 2022 года ряд зарубежных удостоверяющих центров приостановили выпуск новых SSL-сертификатов для РФ. Отечественные SSL-сертификаты имеют некоторые ограничения. Но, возможно, их установка скоро станет рекомендованной для российских государственных организаций и компаний. В этой статье мы расскажем о текущей ситуации на рынке и дадим рекомендации, какие сертификаты установить на сайт в 2024 году, чтобы обеспечить безопасность его посетителей.
Какие сертификационные центры ушли из России
В 2022 году международные сертификационные центры Trustwave, Sectigo (Comodo), DigiCert, Thawte, Symantec и GeoTrust приостановили выпуск SSL-сертификатов в российских доменных зонах: .ru, .su, .рф.
При этом DigiCert продолжает выпускать DV-сертификаты для доменов в международных зонах (.com, .net, .org, .info и др.) вне зависимости от того, из какой страны владелец домена. Остальные центры из этого списка не выпускают никаких сертификатов для резидентов России.
Какие сертификационные центры остались в России
Единственный удостоверяющий центр, который продолжает выпускать платные SSL-сертификаты для российского рынка, — GlobalSign. Владельцы доменов, зарегистрированных в RU-CENTER, могут получить этот сертификат, зарекомендовавший себя как надежный. Подробнее о видах сертификатов GlobalSign и условиях оформления можно узнать здесь.
Кроме этого, российским пользователям по-прежнему доступна возможность получить бесплатный сертификат Let’s Encrypt — международного центра сертификации, работающего на некоммерческой основе. Такие сертификаты действуют только 90 дней. Их главный минус — компания Let’s Encrypt не несет обязательств перед пользователями. Если сертификат взломают, владелец сайта не получит никаких компенсаций.
У бесплатных сертификатов есть и другие особенности, о которых мы подробно рассказывали в статье «Когда бесплатное дороже платного. Почему лучше заплатить за SSL-сертификат».
Какие есть российские альтернативы зарубежным SSL-сертификатам
Пока в России есть только два аналога зарубежным сертификатам: сертификаты Минцифры и «Технического центра Интернет» (ТЦИ). Несмотря на динамичное развитие, у этих сертификатов пока сохраняются некоторые ограничения.
Сертификаты Минцифры
Скоро для покупок в интернете или посещения государственных сайтов потребуется сертификат Минцифры. На сайте «Госуслуг» говорится, что он заменит иностранный SSL-сертификат в случае его отзыва или окончания срока действия.
Установка сертификатов Минцифры пока обязательна только для государственных структур. Но некоторые крупные компании, такие как «Сбер», тоже решили заблаговременно перейти на этот вид сертификатов. Это нужно им, чтобы не зависеть от зарубежных удостоверяющих центров и обеспечивать безопасность данных клиентов с помощью российских технологий. Организации могут получить сертификат Минцифры через «Госуслуги».
Сертификаты Минцифры по умолчанию установлены только в российские браузеры — «Яндекс Браузер» и Atom. Договориться об их установке в международные браузеры, такие как Google Chrome, Safari, Firefox или Opera, в ближайшее время вряд ли получится из-за санкций. Не будет российских сертификатов и на устройствах с популярными операционными системами: Windows, Android, iOS и macOS.
Таким образом, если на сайте будет установлен сертификат Минцифры, и пользователь зайдет на сайт через браузер, в котором разработчиком уже установлен корневой сертификат российского удостоверяющего центра, никакие дополнительные действия не потребуются.
Но возможен и другой вариант: пользователь будет применять зарубежное ПО, например устройство на базе Android и Google Chrome. Тогда он увидит предупреждение о том, что данные передаются по незащищенному протоколу HTTP и переходить на сайт небезопасно. Убрать такое предупреждение пользователь может, если добавит сертификат от Минцифры на свое устройство.
Сертификаты ТЦИ
Импортозамещение в области информационной безопасности в 2024 году, скорее всего, будет стремительно развиваться. На платформе ТЦИ государство планирует создать удостоверяющий центр, который будет выпускать SSL-сертификаты.
Как и в других удостоверяющих центрах, в ТЦИ можно будет оформить сертификаты на 90 и 365 дней; для одного домена или для домена и всех его поддоменов (wildcard-сертификаты); на базе распространенного криптоалгоритма ECDSA. Но кроме этого, будут выпускаться и сертификаты на базе российского криптоалгоритма семейства ГОСТ 34.10.
Со временем установка сертификатов от ТЦИ, скорее всего, будет рекомендованной или обязательной для государственных веб-ресурсов, а возможно, и для бизнеса.
Сейчас ТЦИ работает над тем, чтобы выпущенные им сертификаты были установлены в «Яндекс Браузер» и Atom.
Какие сертификаты установить на сайт в такой ситуации
Можно установить на сайт одновременно два сертификата.
- Международный от GlobalSign, который будет работать в международных браузерах и сможет полноценно обеспечить безопасность сайта.
- Один из российских.
Однако здесь есть нюанс: без дополнительной настройки выбора сертификата в зависимости от браузера клиента возможна ситуация, при которой будет включатся рандомно то один, то другой сертификат, часто выдавая клиентам оповещения о небезопасности ресурса. Сертификаты должны уметь определять параметры клиентского подключения и включаться только в тех вариантах, когда подходят.