Американская компания GeoTrust заблокировала SSL-сертификат Общественной палаты РФ с формулировкой: «К сожалению, наложенные Соединенными Штатами санкции требуют, чтобы мы отозвали ваш сертификат для *.oprf.ru из-за того, что ваша организация аффилирована с Донецкой Народной Республикой, находящейся под санкциями Управления по контролю над иностранными активами (OFAC)». Каким образом ОП РФ аффилирована с ДНР, в сообщении компании не уточнялось.
«То, что американскую санкционную агонию ничем не унять, было понятно давно, — прокомментировал блокировку Секретарь ОП РФ Валерий Фадеев. — Но то, что это выльется в ограничения для работы интернет-ресурсов Общественной палаты РФ, предсказать было трудно. Это полный абсурд. Фактически санкционная война теперь объявлена гражданскому обществу России. А как еще можно интерпретировать происходящее?»
Компания GeoTrust — это второй по величине в мире поставщик SSL-сертификатов, услугами которого Общественная палата РФ пользовалась для безопасной передачи данных. Это обычная практика в России, ввиду того что российские удостоверяющие центры, которые выдают собственные SSL-сертификаты, не предустановлены в операционных системах и стандартных настройках браузеров, а потому пользователи, зашедшие на сайт с таким сертификатом, получают уведомление о небезопасном соединении. То есть система российских сертификатов на сегодняшний день практически не работает.
Известный эксперт по ИТ-безопасности Игорь Ашмановпредупреждает об опасности нынешнего положения вещей и призывает незамедлительно решать проблему отсутствия у России собственного сертификата.
«Когда у нас рассуждают о том, насколько независимым может быть наш интернет и вообще наша цифровая сфера, обычно говорят о системе управления доменными именами, о корневых серверах, о том, что называется Domain Name Servers (DNS). При этом обычно совершенно выпускают из виду проблему сертификатов, а она гораздо более серьезная, чем DNS. Независимость с точки зрения маршрутизации в интернете мы как-то можем себе обеспечить, и у нас даже есть свои аналоги корневых серверов. А своего сертификата и удостоверяющего центра у нас нет. Эта проблема известна последние 25 лет, и ей никто не занимался по причинам, которые мне неясны», — сетует эксперт.
Игорь Ашманов предупреждает о том, что потенциально угроза гораздо масштабнее, чем может представляться на первый взгляд.
«Отключить страну, отозвав сертификат, то есть обрушив огромное количество сайтов банков, госструктур, предприятий, можно просто щелчком пальцев. В этом смысле мы абсолютно не защищены», — говорит Ашманов.
Эксперт призывает обратить внимание на Китай, который уже обеспечил себе цифровую безопасность, позаботившись о том, чтобы его сертификаты были предустановлены в операционных системах.
«Китай, например, сделал себе собственный сертификат, сумел добиться того, чтобы его признавали основные разработчики платформ — браузеров, операционок и т.д., чтобы включали в свои реестры китайский удостоверяющий центр. А мы — нет, и это огромная дыра в цифровом суверенитете», — заключил Игорь Ашманов.