В последние дни стало известно о нескольких немаловажных инициативах государства в отношении интернета.
Во-первых, Министерство связи разработало законопроект о государственном контроле за прохождением интернет-трафика по территории России. Во-вторых, Роскомнадзор рассмотрел подготовленный Ассоциацией по защите авторских прав в интернете законопроект «О воспрепятствовании ограничению доступа к информации, распространение которой в России запрещено», то есть, проще говоря, о рекламе и пропаганде способов обхода блокировок сайтов. И в-третьих, стало известно, что в России может быть создан государственный удостоверяющий центр — организация, выдающая SSL-сертификаты, необходимые для организации защищенных соединений между пользователем и интернет-ресурсом.
О контроле над трафиком говорили давно. Речь идет не только о благородной задаче обеспечить беспроблемное функционирование русского интернета в отсутствие доступа к зарубежной инфраструктуре, но и о контроле особенных, более равных провайдеров над трансграничными каналами связи. Вопрос, как вы понимаете, денежный.
Что касается запрета пропаганды блокировок то, к счастью, в Роскомнадзоре понимают нереализуемость подобных предложений. Рабочая группа ведомства дала отрицательный отзыв на законопроект.
А вот история с «государственным удостоверяющим центром» куда более интересная.
Техническая сторона дела довольно проста: для того чтобы обеспечивать шифрованное соединение — информацию из которого нельзя перехватить — пользователя со своим сайтом (интернет-магазином, банком, социальной сетью), вы должны иметь так называемый SSL-сертификат. Это цифровая подпись, которую вам дает некая организация по выдаче сертификатов. Эта организация — своего рода виртуальный нотариус, ей во всем доверяют. У этого нотариуса есть своя цифровая подпись, которой он и подписывает выданный вам сертификат. Цифровая подпись виртуального нотариуса — то есть сертификат самой организации, выдающей сертификаты, — называется корневым сертификатом. А список корневых сертификатов подобных организаций встроен в каждую современную операционную систему и каждый браузер.
Когда пользователь заходит на сайт по протоколу HTTPS, чтобы установить защищенное соединение, браузер запрашивает у сайта сертификат и смотрит, кто его выдал. Если его выдал кто-то, чей корневой сертификат есть в системе, значит, сайту можно доверять. И даже в зависимости от уровня и стоимости сертификата можно выделить его адрес зеленым цветом в адресной строке браузера. Если же сертификат «левый», браузер немедленно выдаст пользователю предупреждение: этому сайту нельзя доверять, он опасен.
Кроме того, SSL-сертификат используется для шифрования данных, пересылаемых по защищенному соединению. То есть без него ваши номера счетов и коды кредитных карт открытым текстом полетят по радиоволнам Wi-Fi на радость тем, кто может их перехватить и использовать. Но самое страшное: организация, выдающая и контролирующая SSL-сертификаты, может, пусть и теоретически, участвовать в обмене сообщениями между пользователем и защищенным сайтом. А значит, получить доступ к защищенному соединению и зашифрованным данным. И даже (о ужас!) расшифровать их.
Самые понятливые, наверное, догадались, что все предустановленные в современных операционных системах и браузерах корневые сертификаты выданы иностранными организациями. И портал «Госуслуги» (сертификат, выданный английской компанией COMODO), и сайт Федеральной налоговой службы (сертификат американской компании Thawte), и любой другой государственный сайт, создающий защищенные соединения, используют иностранные сертификаты. Это совершенно справедливо вызывает волнение в головах русских чиновников. Время, сами понимаете, непростое. А ну как супостат возьмет да и аннулирует все выданные русским сертификаты? И всё поломается.
Вот вы спросите: а нельзя ли вообще без сертификата? Ну зачем он сайту, который не собирается устанавливать никаких защищенных соединений с пользователем? Скажем, сайту новостей или погоды. Справедливый вопрос. Действительно, сайт президента России, например, никакого SSL-сертификата не имеет. Однако компания Google еще в прошлом году объявила, что будет понижать в поисковой выдаче ссылки на сайты, не использующие протокол HTTPS. А те, кто пользуется таким протоколом, наоборот, поднимать, даже если они нерелевантны поисковому запросу. То есть лидеры глобальной индустрии однажды всё равно вынудят всех использовать защищенные соединения, даже если никакой секретной информации передавать не предполагается. Такова тяжелая поступь прогресса.
Надо сказать, что не мы первые.
Казахстан тоже идет по этому пути. Государственный провайдер «Казахтелеком» еще в декабре собирался предложить своим пользователям установить «национальный сертификат безопасности», согласно пошаговой инструкции. Однако потом новость об этом с сайта провайдера пропала — видимо, казахи осознали, что это сомнительный метод. В России собираются поступить элегантнее, а именно — убедить крупнейших производителей операционных систем и браузеров добавить русский корневой сертификат в свою продукцию. Нет сомнений, что методов подобного убеждения у России достаточно и производители сертификаты добавят.
Но вот что во всём этом важно.
В сообщениях, опирающихся на анонимные источники, говорится о создании государственного удостоверяющего центра. И слово «государственный» тут определяющее.
Дело в том, что все выдающие сертификаты организации — коммерческие. Сайт президента США подписан сертификатом компании Verizon, а сайт ЦРУ — сертификатом компании Symantec. Такова природа интернета — даже если государство контролирует каналы связи и в какой-то мере контент, то в работу программной инфраструктуры Сети оно раньше старалось не лезть. А тут ведь стоит только начать, и за государственным удостоверяющим центром появится государственный центр регистрации доменных имен, а там и (не дай бог!) какая-нибудь государственная служба маршрутизации.
Разумеется, если российский национальный корневой сертификат будет контролироваться выбранной на конкурсе коммерческой компанией, эта компания будет связана с государством чуть менее, чем полностью. Но даже такая связанная с государством коммерческая компания — это будет не так по-северокорейски, как государственный удостоверяющий центр.
Очень хочется верить, что разрабатывающие безусловно полезную инициативу по созданию российского национального корневого SSL-сертификата всё же воздержатся от соблазна начать устанавливать государственную монополию на интернет.
Максим Кононенко. Известия