Минцифры рассчитывает построить суверенную систему SSL-сертификатов для госсайтов

2024: Минцифры рассчитывает построить суверенную систему SSL-сертификатов для госсайтов

В Telegram-канале «Об ЭП и УЦ» в конце ноября были опубликованы сведения^[1] о том, что Минцифры ведет разработку законопроекта для легализации в российском правовом поле SSL-сертификатов, выданных «Национальным удостоверяющим центром» (НУЦ). Законопроект пока проходит согласование с заинтересованными ведомствами, он еще не внесен на рассмотрение в Думу.

Проект предусматривает внесение изменений в федеральный закон №63-ФЗ «Об электронной подписи», где предполагается добавить такие определения как сертификаты безопасности НУЦ, которые по своей сути и являются SSL-сертификатами для аутентификации сайтов. При этом вместо принятой в криптографии терминологии «открытый» и «закрытый ключ» предлагается использовать такие термины как «ключ идентификации» (закрытый) и «ключ аутентификации» (открытый). Сертификат безопасности НУЦ подтверждает валидность ключа аутентификации сайта, любого программного кода или корпоративной информационной системы.

Законопроект также устанавливает, что сайты госорганов, органов местного самоуправления, государственных и муниципальных унитарных предприятий должны иметь сертификаты безопасности НУЦ. Причем их они могут получить бесплатно, в то время как всем остальным (разработчикам ПО и владельцам корпоративных информационных систем) придется за них платить.

Плату и правила выдачи сертификатов безопасности НУЦ будет регулировать правительство РФ, а распространять сертификаты – регистраторы доменных имен и провайдеры хостинга, включенные в реестр. Впрочем, правительство наделяется правом расширить список случаев обязательного использования сертификатов безопасности НУЦ, а также категорий сайтов, которые могут получить их бесплатно.

Предполагается, что, в соответствии с текущей версией законопроекта, основные изменения вступят в силу с 1 сентября 2025 года, а оставшиеся нормы - с 1 июня 2026 года.

Принимая во внимание существующие законодательные ограничения на неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия, обязанность использования шифрования при передаче платежной информации и информации, содержащей персональные данные, ограничения при трансграничной передаче данных, которые в совокупности обеспечивают информационную безопасность обычных пользователей, а также тот факт, что с марта 2022 года под влиянием западных санкций иностранные системы досрочно отозвали сертификаты безопасности у сайтов российского сегмента (перестали выдавать сертификаты безопасности), работа таких ресурсов фактически была небезопасной, – заявила TAdviser Марина Цуранкова, советник департамента оценки перспектив и предотвращения корпоративных рисков юридической компании «Золотое правило». — А при отсутствии шифрования сайты без наличия доступных легитимных механизмов защиты для добросовестного участника нарушали права пользователей.

Она считает, что рассматриваемый законопроект устраняет неопределённости и обеспечивает соответствие законодательству в части электронной подписи в российском сегменте интернета, в том числе - возможность исполнения его участниками положений федерального закона №149-ФЗ «Об информации, информационных технологиях и о защите информации» в полном объеме. Действительно, уже были зафиксированы случаи отзыва SSL-сертификатов российских сайтов, выданных иностранными регистраторами. Тем не менее, достаточно много ресурсов, в том числе и государственных, продолжают пользоваться услугами иностранных регистраторов.

Законодательные требования унифицируют процедуры использования SSL-сертификатов, – отметил для TAdviser Андрей Мишуков, генеральный директор ITProtect. – Причем, критичные сервисы будут в обязательном порядке работать с использованием сертификатов на ГОСТ-алгоритмах и выданных Минцифры России. Это в значительной степени позволит повысить устойчивость российского сегмента сети Интернет, который будет использовать отечественные сертификаты. Регулирование связано с совершенствованием цифрового суверенитета страны и устойчивостью российского интернет-сегмента, поэтому такое регулирование необходимо.

Однако вступление в силу подобных изменений потребует модернизации уже существующих механизмов подтверждения аутентичности сайтов, программ и корпоративных информационных систем, которые сейчас завязаны в основном на международные (то есть иностранные) удостоверяющие центры. Они до недавнего времени игнорировали выстроенную в России PKI-инфраструктуру. Теперь же их придется перестраивать.

Предполагаю, что основные поправки не будут касаться большинства облачных провайдеров, – считает Станислав Савкин, инженер по информационной безопасности оператора Linx Cloud. – Они больше будут распространяться на госорганы, разработчиков ПО и СКЗИ, провайдеров хостинга, удостоверяющие центры, а также провайдеров, которые оказывают услуги по хранению и обработке электронных подписей. Не все облачные провайдеры даже сейчас тесно взаимодействуют с инфраструктурой, выстроенной в рамках закона №63-ФЗ, по той причине, что этот федеральный закон не затрагивает их специфику.

В целом изменения могут затронуть не только интернет-бизнес, но и разработчиков программного обеспечения и даже корпоративные информационные системы. Попытки регулировать безопасность корпоративных систем предпринимались давно, а теперь вырисовываются требования как минимум по защите сайтов в рамках российской PKI-инфраструктуры.

Подобная инициатива нужна, т.к. позволит обеспечить широкое использование сертификатов НУЦ, – пояснила для TAdviser ситуацию Ольга Трофимова, руководитель направления консалтинга в «К2 Кибербезопасность». – Законодательное регулирование в данном случае определит все необходимые для этого процедуры и зоны ответственности. При этом вступающая в силу редакция закона «Об электронной подписи» подразумевает достаточно большие изменения в существующем порядке. Кажется, большинству участников рынка потребуется больше времени на реализацию всех новых требований, чем это установлено в настоящий момент: 01.09.2025 г. — для основных изменений, 01.06.2026 — для оставшихся норм.

2022: Выпуск бесплатных TLS сертификатов безопасности для российских сайтов

В России разработана информационная инфраструктура для поддержания безотказной работы российских информационных ресурсов. Об этом сообщила компания ФГАУ НИИ «Восход» 28 марта 2022 года. Созданная для этих целей информационная система Национального удостоверяющего центра обеспечивает выпуск TLS-сертификатов с применением как российских, так и иных криптографических алгоритмов.

По поручению Минцифры России на базе Национального удостоверяющего центра НИИ «Восход» обеспечивает возможность для российских владельцев сайтов получать сертификаты безопасности без обращения в иностранные удостоверяющие центры, что актуально в условиях санкционной политики. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно в онлайн-режиме через портал Госуслуг в течение 5 рабочих дней, прокомментировал директор ФГАУ НИИ «Восход» Максим Рымар

Получение сертификатов НУЦ позволило защитить российских пользователей от угроз в интернет-пространстве, обеспечить суверенитет и целостность передаваемых данных между государственными органами, организациями и гражданами. Разработку системы Национального удостоверяющего центра ведет подведомственный Минцифры России НИИ «Восход».

Примечания