Будут ли проблемы с HTTPS в России после введения санкций?

Все, кто создает вебсайты или зарабатывает с их помощью, знают, что https, SSL и TLS как-то связаны с безопасностью передачи информации. И уж точно слышали, что с этим всем есть какая то проблема, связанная с санкциями. А если до вас дошли слухи о «смерти https в РФ и Беларуси», то настроение вам это знание точно не улучшило.

Дальше простыми словами я объясню, что означают эти зловещие аббревиатуры, действительно ли все так плохо и как все будет на самом деле.

Что такое HTTPS

Защищенное соединение (HTTPS) используется вместо незащищенного на большинстве современных сайтов, в браузерах его можно узнать по иконке закрытого замка в адресной строке. Поисковики в своей выдаче опускают ниже сайты, подключение к которым не защищено.

Где можно было получить HTTPS

Для поддержки защищенных соединений операционные системы и браузеры используют заранее установленные корневые сертификаты удостоверяющих центров, преимущественно зарубежные: южноафриканского Thawte (принадлежит американской Symantec), бельгийского GlobalSign, американского Let`s Encrypt и других.

В чем заключается проблема с HTTPS после ввода санкций

Большинство международных компаний перестали выдавать сертификаты российским пользователям и отозвали действующие. Но даже те сертификаты, которые работают, используют шифрование, недоступное российским органам безопасности и в современных условиях не могут считаться надежными. Отзыв же сертификата приводит к тому, что любой узел в соединении, от роутера до провайдера, может увидеть проходящий через него трафик.

Без сертификата сайт будет работать и если это сайт-визитка, то большой беды не будет. Но современные сайты почти всегда обмениваются техническими и персональными данными, телеметрией — все это должно быть конфиденциально.

Как будет решаться проблема с HTTPS в России

Минцифры хочет обязать всех разработчиков браузеров, которые работают в РФ, поддерживать национальные сертификаты. «Яндекс» и VK уже объявили о намерении добавить их в свои продукты.

Выпускать сертификаты будет Национальный удостоверяющий центр (НУЦ), получать их можно бесплатно через «Госуслуги». Министерство отмечает, что все браузеры и операционные системы «должны будут поддержать работу» госсертификатов.

Одно из преимуществ создания отечественных браузеров — возможность добавить туда корневой сертификат удостоверяющего центра на свое усмотрение и начать выпускать пользовательские сертификаты, работа которых не будет зависеть от иностранных компаний. Но защита будет работать только при использовании этого браузера. Если попробовать зайти на сайт с сертификатом такого центра из другого браузера, он выдаст сообщение о небезопасном соединении.