由于西方国家制裁,导致主流CA机构不再为俄罗斯提供服务,大量俄罗斯网站陷入证书无法更新的困境;
俄罗斯数字发展部创建国家CA机构,为网站提供免费替代方案,使用国内证书+国产浏览器解决无法访问的问题;
俄罗斯媒体发布了一份包含198个域名的清单,据称这些域名已经收到使用国内TLS证书的通知,但目前还没有强制推行。
俄罗斯已经建立本国的受信任TLS证书颁发(CA)机构,希望解决西方各国制裁下,国内网站因证书无法续订而引发的访问难题。
西方各国及企业实施的这一轮制裁,导致俄罗斯网站无法更新现有TLS证书,而目前主流浏览器都会阻止用户访问证书过期的网站。
TLS证书可以帮助浏览器确定目标域为经过验证的实体,并确保用户与服务器之间的信息交换受到加密保护。
TLS证书工作原理
根据制裁内容,西方各国的证书颁发机构不再为俄罗斯提供付费服务,大量俄罗斯网站陷入证书无法更新的困境。
一旦证书过期,谷歌Chrome、苹果Safari、微软Edge以及Mozilla Firefox等主流浏览器都将全屏显示“当前页面不安全”的警告,使得一部分用户不再继续访问。
国内替代
为此,俄罗斯政府决定在国内设立证书颁发机构,专门负责TLS证书的独立颁发与更新。
俄罗斯公共服务门户网站Gosuslugi显示,“被撤销或已过期的外国安全证书将被替换。数字发展部将为网站提供免费的国内替代方案。在提交申请后,各法人实体(即网站所有者)将在5个工作日内获得服务。”
俄政府宣布提供国内证书
新的证书颁发机构(CA)还需要面对一个难题,即如何取得浏览器的信任。这需要通过各家浏览器厂商的审查,整个周期恐怕会拖得很长。
目前,唯一接纳俄罗斯新CA的浏览器,只有俄罗斯的Yandex浏览器与Atom产品。俄政府呼吁民众尽可能用这些产品,来替代Chrome、Firefox及Edge等主流浏览器。
已经开始使用俄罗斯国内证书的网站,包括俄罗斯联邦储蓄银行(Sberbank)、俄罗斯外贸银行(VTB)及俄罗斯中央银行等。
符合条件的网站所有者会收到如上通知
俄罗斯媒体发布了一份包含198个域名的清单,据称这些域名已经收到使用国内TLS证书的通知,但目前还没有强制推行。
手动信任的安全风险
使用Chrome、Firefox等浏览器的用户,可以手动添加新的国内根证书,继续正常浏览拥有本国颁发证书的俄罗斯网站。
有人担心俄罗斯可能会滥用其根证书,借此实施HTTPS流量拦截与中间人攻击。针对这一情况,一旦发现此类滥用行为,新的根证书将被列入证书废止列表(CRL)。
俄罗斯受信根CA证书
列入证书废止列表后,这些证书将在实质上失效,导致各网站继续被Chrome、Edge及Firefox等主流浏览器阻止访问。
最近,俄罗斯先后采取一系列措施,意在减轻西方制裁对本国经济造成的影响。很多人认为,俄罗斯之前与全球互联网断开的实验终于有了用武之地,目前正是与互联网切断联系、转向“国内大局域网”的好时机。
针对这些传闻,俄罗斯数字技术部向国内媒体发布了一份声明,明确否认了“脱离全球互联网体系”的说法。
参考来源:https://www.bleepingcomputer.com/news/security/russia-creates-its-own-tls-certificate-authority-to-bypass-sanctions/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。