Re: Российские TLS-сертификаты на сайтах

To: EZHE <ezh@ezhe.ru>
Subject: Re: Российские TLS-сертификаты на сайтах
From: "Alexander Venedioukhin (via EZHE)" <ezh@ezhe.ru>
Date: Tue, 26 Apr 2022 14:19:32 +0300
Reply-to: "Alexander Venedioukhin \(via EZHE\)" <ezh@m.1d.pw>

Здравствуйте!

В продолжение темы про TLS-сертификаты, с которыми сейчас есть заметные
проблемы. Должны ли российские сертификаты "для сайтов" использовать
ГОСТ-криптографию? Корневой сертификат для российских организаций,
который срочно выпустило министерство и который "Яндекс" (несколько
странным образом) уже встроил в свой браузер, - использует
криптосистему RSA. Эта криптосистема, вообще говоря, считается
устаревшей, но она широко и прозрачно поддерживается (особенно, если
сравнивать с ГОСТ-системами), что, видимо, послужило одной из причин
такого выбора.

С ГОСТ-криптографией тут пока что есть трудности и на стороне сервера,
и на стороне клиента: в принципе, настроить можно, но потребуются
некоторые дополнительные усилия, по сравнению с "общепринятыми"
вариантами, которые работают "из коробки". И на серверной стороне
сейчас стало гораздо проще, чем на стороне клиента, то есть в браузере.
Естественно, ничто не мешает использовать для собственных сертификатов
другие криптосистемы, которые уже поддерживаются. Увеличит ли именно
ГОСТ-криптография доверие пользователей?

Вообще, большой проблемой является и (возможная) поддержка собственных
российских корней браузерами. Весьма сомнительно, что ведущие браузеры
(Chrome и Firefox, прежде всего) встроят соответствующие корневые ключи
в дистрибутивы. Тем более сомнительно, что это же сделают Microsoft и
Apple. ГОСТ здесь только усложнит ситуацию, потому что придётся
существенно дорабатывать и сами браузеры/ОС. Добавить ключи можно
вручную, но это не самый удобный и не самый безопасный для пользователя
вариант. Одно из решений, которое тут можно было бы предложить, это
отдельный браузер собственной разработки для российских государственных
сервисов (он уже мог бы использовать только ГОСТ-криптографию). Раньше
такое решение выглядело весьма логичным. Однако сейчас, когда речь идёт
уже об отказе в выпуске сертификатов просто по причине того, что
доменное имя находится в зоне .ru, подобное разделение по браузерам
теряет существенную часть технологического смысла.


-- 
С уважением,
Александр Венедюхин
https://dxdt.ru/

Оценить письмо Reputatio: http://ezhe.ru/reputatio/35640eea2f

References:
- Re: Российские TLS-сертификаты на сайтах
  - From: Vsevolod Andreev <ezh@ezhe.ru>
- Re: Российские TLS-сертификаты на сайтах
  - From: "Alexander Venedioukhin (via EZHE)" <ezh@ezhe.ru>

Prev by Date: Re: Мусор в Сети
Next by Date: Re: Мусор в Сети
Previous by thread: Re: Российские TLS-сертификаты на сайтах
Next by thread: Просьба о помощи
Index(es):
- Date
- Thread

Home | Main Index | Thread Index