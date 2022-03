Ruské ministerstvo informatiky spustilo vlastní certifikační autoritu, která bude vydávat internetové certifikáty tamním službám. Má to být ochrana před případnými dopady sankcí a hrozbě, že zahraniční vydavatelé certifikátů ty ruské revokuji – zruší.

Má to ale jeden háček – teda hned několik háčků, na které upozorňuje Bleeping Computer. Kořenové certifikáty důvěryhodných autorit, oproti kterým se porovnávají koncové certifikáty webů, jsou zpravidla předinstalované a součástí operačních systémů nebo webových prohlížečů.



Webové stránky ruské certifikační autority v překladači

A jak všichni dobře víme, žádný z velkých prohlížečů a operačních systémů pro běžné smrtelníky není ruské výroby. Stručně řečeno, ruská certifikační autorita se do nich jen tak nedostane. Uživatel by musel takový kořenový certifikát vložit do programu ručně.

Chrome a další by to mohli blokovat

Jenže problém se nám začíná nabalovat jako sněhová koule, webové prohlížeče by se totiž mohly obávat, že Rusko jako nedůvěryhodný hráč zneužije takový kořenový certifikát pod jeho plnou kontrolou jako prostředek k odposlechům zdánlivě šifrované komunikace s weby, které budou používat taktéž certifikáty vydané touto autoritou – tedy k odposlechu Rusů na ruských webech (ty stále nejsou plně pod kontrolou státu).

Ukázka domén, které už mají certifikát od nové autority:

online-alpha.vtb.ru

psi.sbbolmobiletest.sberbank.ru

ib2.psbank.ru

corporate.psbank.ru

3ds.payment.ru

business.psbank.ru

mydss.psbank.ru

push-ismg.psbank.ru

lk-ecomm.psbank.ru

openapi.psbank.ru

*.psbank.ru

*.payment.ru

iftmobile.testsbi.sberbank.ru

bf2.testsbi.sberbank.ru

ift2.testsbi.sberbank.ru

iftfintech.testsbi.sberbank.ru

(plný seznam najdete na webu autority)

Tvůrci velkých webových prohlížečů by proto mohli zareagovat třeba tak, že tyto certifikáty označí za nebezpečné a webové stránky, které je používají, odmítnou zobrazit; nebo až na vlastní riziko po zobrazení bezpečnostního varování, jak to známe z případů, kdy třeba vyprší platnost certifikátu.



Identitu samotného webu pro získání nového certifikátu zatím ověřuje certifikát od amerického Sectiga. Časem to může být přímo ruská autorita, na Západě by však byl takový web ve výchozím stavu nedůvěryhodný

A pak bude už vše ruské

Ovšem pozor, ještě nejsme na konci a koule se nám dále nabaluje. Tyto komplikace by totiž mohly vést k tomu, že Rusko přímo i nepřímo přinutí tamní surfaře k tomu, aby používali výhradně ruské webové prohlížeče, kterých je poskrovnu. Třeba Yandex Browser.



Yandex Browser do každé rodiny

Mise dokonána, celá ruská internetoví vesnice používá ruský prohlížeč, ruské certifikáty, ruské DNS servery, ruské webové stránky ideálně hostují jen na ruské hostingové infrastruktuře a paralelní runet je v podstatě hotový.

Může být stále propojený s globálním internetem, už to ale ničemu nevadí, protože jej může Roskomnadzor, FSB a další dokonale monitorovat, odposlouchávat a řídit.