Все об SSL-сертификатах: чем опасен Российский корневой… — Transcript

Сегодня речь пойдет об SSL-сертификатах. Ходит страшилка, что установив на свой компьютер один файл – корневой сертификат, вы открываете доступ третьим лицам к паролям и банковским данным, ну и вообще ко всей информации, которую передаете в интернет. В принципе, это недалеко от истины,

но чтобы чувствовать себя безопасно, лучше не бояться страшилок, а просто один раз понять, как это все работает. Поэтому посмотрите это десятиминутное видео до конца, узнаете все об SSL-сертификатах и как работает SSL в принципе, поскольку хватит уже попадаться на

мошеннические схемы. Один раз поймете принцип, и все схемы станут частностями. А заодно давайте, наконец, разберемся, чем вам грозит установка российского SSL-сертификата и как минимизировать риски. Начнем мы с приложения,

которое нельзя называть. Если вам нужен доступ к YouTube, ChatGPT и прочим благам современной цивилизации – загляните в описание, там есть пара ссылок. Сам пользуюсь, пока не сбоит. А теперь по теме. Итак, вся информация, которая летает в интернете, зашифрована. За редкими исключениями,

но исключения мы не рассматриваем. В том числе шифруется вся информация при заходе на какой-то сайт, причем в обе стороны. Это происходит, когда вы заходите на сайт по протоколу HTTPS, то есть HTTP Secure, защищенный HTTP, но в принципе сайтов,

которые отдают контент в незашифрованном виде, то есть по чистому HTTP, уже практически не осталось. И вот собственно протокол, по которому шифруются данные при соединении браузер-сервер, называется SSL, ну точнее сейчас он называется TLS, но мы его будем называть SSL.

Просто SSL – это вообще один из первых шифрованных протоколов, его придумали еще в 94-м году, а в 99 он уже морально устарел и ему на смену пришел TLS, но вероятно в дань уважению, все что касается шифрования данных между сайтом и браузером до сих пор называется SSL, в том числе и SSL-сертификаты,

хотя работает все уже давно на протоколах TLS. Простите за отступление, но это важно. Если встретите определение TLS сертификат или сертификат SSL/TLS, не пугайтесь, это одно и то же. Ну, точнее все это TLS, но мы, также в дань уважению, будем называть это все SSL. Итак,

когда вы заходите на какой-то сайт, между вашим браузером и сайтом устанавливается соединение, зашифрованное с помощью SSL. И дальше содержимое сайта в вашу сторону и все, что вы отправляете на сайт, например, пароли или данные банковской карты, летает туда-сюда исключительно в зашифрованном виде. Если кто-то перехватит эту информацию, он

ничего прочитать не сможет. Шифрование – это надежно. Какую роль тут играет сертификат? Основную. SSL-сертификат – это печать, которая подтверждает, что этот сайт и есть тот, на который вы хотели зайти, а информация будет надежно зашифрована.

Как происходит соединение? Ваш браузер ищет сайт, например, example.ru. Находит его, но не запрашивает сразу информацию с сайта, а сначала спрашивает, есть ли там SSL-сертификат и какой он. Сервер возвращает ему сертификат. Браузер проверяет сертификат и если понимает,

что это доверенный SSL-сертификат, сообщает серверу, что все нормально, можно устанавливать зашифрованное соединение и передавать данные. То есть SSL-сертификат – это необходимое звено в цепочке шифрования. Там схема сложная,

потому что используется симметричное и асимметричное шифрование, но если очень грубо, то SSL-сертификат – это комбинация открытого ключа в сертификате и закрытого ключа на сервере владельца сайта. Открытый ключ вместе с сертификатом отправляется браузеру, он на

его основании генерирует ключ сессии, и дальше два устройства шифруют всю информацию с помощью этого сессионного ключа. Сама схема – это тема для отдельного видео, но еще раз очень грубо,

вся эта схема держится на закрытом ключе, который всегда остается на сервере. На этом сложное и заумное заканчивается, и в сухом остатке мы имеем что? Правильно. Тот, кто выдал сертификат владельцу сайта, подписывается под тем, что у него нет закрытого ключа, а если и есть,

то он никогда не будет его использовать. Поскольку если злоумышленник завладеет закрытым ключом, он в принципе может расшифровать всю информацию, которую вы отправляете серверу и которую сервер отправляет вам, поскольку у него есть оба ключа, необходимые для расшифровки.

И тут мы подобрались к мифу номер раз. Если злоумышленник завладеет закрытым ключом SSL-сертификата какого-то сайта, всю информацию он может перехватить, украсть, со счетов все снять, кредит на вас оформить и так далее – нет! Скомпрометированный сертификат угрожает вам

только при взаимодействии с сайтом, на котором он установлен. В таком случае кража данных возможна. Но если вы из этого же браузера в этот же самый момент зайдете на сайт с доверенным сертификатом, соседняя вкладка браузера никак не повлияет на безопасность соединения. С новым сайтом

у вас будет установлено новое соединение, на основании новых ключей, и если они доверенные, то никакой перехват информации невозможен. Почти. Есть тут одно "но", и на пути к нему нам нужно чуть больше узнать о том, как работают SSL-сертификаты в принципе.

Я думаю, у кого-то уже возник вопрос, а как собственно браузер понимает, что этот сертификат доверенный, а этот нет. Так-то кажется, что должна существовать какая-то база Excel, куда вносятся все домены в мире со списком сертификатов, и браузер эту таблицу имеет и всякий раз сверяется,

но понятно, что это невозможно, в том числе чисто технически. И вот в связи с тем, что это невозможно, была придумана схема с Центрами Сертификации, Certificate Authorities (CA), которые выдают сертификаты конечным пользователям и своим авторитетом, подписью подтверждают, что

закрытый ключ есть только у владельца сертификата. Это называется цепочка доверия. Цепочка, потому что кроме конечного сертификата у пользователя и главного, корневого сертификата у Центра сертификации, есть еще промежуточные сертификаты, которые введены для удобства и дополнительной защиты. Но в целом такая цепочка – это система ключей, которые невозможно подделать, и которые

восходят к корневому сертификату, то есть главному ключу, которому браузер доверяет безусловно. А доверяет он ему безусловно, потому что ему приказано доверять ему безусловно либо разработчиками браузера, либо операционной системой. Давайте посмотрим на примере Google

Chrome, он у меня как раз чистый, я ничего не ставил и не удалял дополнительно. В настройках, сертификаты. В безопасности. Вот локальные корневые сертификаты. По каждому можно посмотреть срок действия, этот, кстати, просрочен. И открытый ключ. А вот те, что считаются доверенными в рамках

экосистемы Google Chrome, то есть те, которым доверяет браузер. Они устанавливаются вместе с установкой браузера. Списки бывают разными в разных браузерах, но давайте сейчас об этом не будем, это тоже можно отдельное видео делать. В общем, это Центры сертификации, которым доверяют во всем мире. Я, кстати, тут не обнаружил Let's Encrypt – один из самых популярных центров сертификации, потому что он бесплатный, но просто здесь он проходит под именем ISRG. Но это так, к

слову. Также к слову, проверить, какой сертификат установлен у конкретного сайта, можно здесь. О! А почему это Яндекс на Дзен перекидывает?! Нету больше Яндекса? Тысячу лет здесь не был. Проверить можно здесь. Безопасность и действительные сертификаты. Также открытый ключ и срок действия.

Но это уже срок действия конечного сертификата для этого конкретного сайта. Но в принципе ни в настройки браузера, ни сюда заглядывать вам особо не нужно, поскольку если с сертификатом есть какие-то проблемы, браузер вас предупредит об этом вот таким вот образом: Certificate Authority Invalid. Поскольку сертификат этот выдан Russian Trusted SUB и Google не считает его доверенным корневым сертификатом. Но к слову, на сайт вы все равно можете перейти, просто соединение не будет зашифровано. То есть под угрозой все данные, которыми вы обмениваетесь с сайтом.

Сейчас мы подробно об этом поговорим, но сначала давайте закрепим. Итак. Корневые сертификаты – это

контору. То есть сообщество внимательно следит за этим и если что-то происходит, сообщество исключает этот корневой сертификат из числа доверенных. Не буду расшифровывать, что такое сообщество, это долго. Но в любом случае попасть в число доверенных очень и очень сложно.

Соответственно все конечные сертификаты на сайтах работают потому что их выдают Центры сертификации, которые прописаны в браузерах. Их не так много и вы их видели только что, например, в Google Chrome. Теперь о том, что случилось с Россией. Не вообще а в плане сертификатов.

В 22-м году против России ввели санкции, в том числе центрам сертификации было рекомендовано не сотрудничать с российскими компаниями и частными лицами. Многие крупные центры сертификации к санкциям подключились, ряду компаний – в том числе крупным банкам сертификаты продлевать отказались. Ситуация патовая. Решение логичное, потому что единственное: открывать собственные

Центры сертификации. Так появился сертификат Минцифры, тот самый Russian Trusted SUB, который мы видели на сайте Сбербанка. Но, опять же, как мы видели, большинство браузеров этот сертификат не принимает как доверенный корневой сертификат. Ну, точнее видели мы только Google Chrome,

но действительно, большинство не принимает. Однако, как мы уже знаем, корневой сертификат это тот, который предписывает браузеру доверять конечному сертификату сайта, а значит если мы добавим какой-то сертификат в число доверенных в браузере, этот браузер начнет доверять корневому сертификату, а значит и всем подписанным им сайтам. Кстати, не знаю, понадобится ли

вам это, но на госуслугах вы можете приобрести SSL-сертификат для своего сайта. Сами госуслуги, кстати, подписаны GlobalSign – это доверенный корневой сертификат, который продолжает работать с Россией. Также в России остался бесплатный Lets Encrypt. Но все-таки если вам нужно, здесь вы можете приобрести сертификат и скачать корневой сертификат, установить в систему и он

будет восприниматься браузером как доверенный. Вам нужен файл с расширением .cer. Делать вам этого я не советую, но все-таки покажу, как это делается. Установить. Оставим текущего пользователя. Далее важно поместить сертификат в доверенные корневые центры. Окей, далее и готово. Предупреждает, что

лучше этого не делать. Но мы сделаем. Окей. Все. Теперь нужно перезагрузить браузер и теоретически при заходе на сайт Сбербанка мы… да. Мы не видим никаких красных плашек, все нормально.

Но есть тут одно но. Собственно чем опасны корневые сертификаты, которые могут быть скомпрометированы. Во-первых, как мы выяснили, тем, что при заходе на сайт, подписанный этим корневым сертификатом, у вас могут перехватывать данные. Это плохо, но это еще полбеды. Беда в том,

что если злоумышленник нарушил конфиденциальность корневого сертификата, он может перехватывать данные вообще любого сайта, на который вы заходите. Такая схема даже на рассматривается, потому что закрытый ключ корневого сертификата содержится в строжайшей тайне. Это почти как ключ от интернета ICANN, про который я рассказывал в прошлом видео. Кстати,

хорошее видео, ссылка в описании. Но к сожалению в случае с Российским сертификатом такую схему можно рассматривать как возможную. Итак, в случае MITM-атаки злоумышленник перехватывает ваш запрос, например, к сайту Google. В Google он запрос ваш не отправляет, а отправляет вам обратно со словами, что все нормально, я Google, вот тебе мой сертификат.

То есть он возвращает сертификат на домен google.com, который только что состряпал. Сертификат подлинный, поскольку у него есть доступ к корневому сертификату Х, пусть и выписанному им же. А у браузера, наоборот, нет списка доменов с сертификатами, он ориентируется на цепочку

доверия, вершиной которой является корневой сертификат. Браузер заглядывает к себе в базу и видит, что да, корневой сертификат X есть, значит это действительно Google.com, все нормально.

Браузер же не знает, что это мы добавили в систему корневой сертификат и заставили ему доверять.

Дальше идет соединение и Человек посередине спокойно расшифровывает трафик, забирает то, что ему нужно и отправляет дальше в Google. Потом получает ответы от Google, забирает то, что нужно и переправляет вам. Вам кажется, что вы общаетесь с Google, Google кажется, что он общается с

вами. А на самом деле человек посередине в это время считывает пароли, содержание переписки, данные банковских карт и так далее. Организовать атаку посередине не очень просто.

Возможно, никто не будет тратить на вас силы и время и тут нужно ориентироваться на модель угроз, у меня тоже есть видео, ссылка в описании, но если в принципе такая возможность существует, почему бы не минимизировать риски. Поэтому давайте сначала удалим Сертификат

Минцифры. Вам нужна панель управления. Дальше сеть и интернет, управление надстройками браузера. Тут содержание и Сертификаты. Закладка доверенные корневые центры. И ищете тут что-то про Russian.

Вот. Также удаляются другие сертификаты, если вы вдруг вспомните, что ставили что-то еще из внешних источников. Не нужно ставить сертификаты из внешних источников. Все, что нужно, стоит в браузере по умолчанию. А если вам нужно зайти на сайт Сбербанк. Он,

кстати, по-моему единственный, кто продолжает использовать сертификат от МинЦифры и меня это немного смущает. Все-так крупнейший банк, очень много клиентов. Все остальные давно переподписались Globalsign. Так вот, если надо – скачайте Яндекс браузер, в нем сертификат МинЦифры вшит при сборке и пользуйтесь им, но помните, что все сайты, на которые вы заходите

через Яндекс браузер, могут не быть теми, за кого себя выдают. Ну то есть сайты те, но посередине может быть человек. Поэтому используйте Яндекс браузер только для заходов на Сбербанк. Такая схема предпочтительнее, чему установка корневого сертификата в систему, поскольку при установке

в систему все браузеры, ну, почти все будут воспринимать корневой сертификат как доверенный, а так только Яндекс браузер. И тут я знаете как смотрю на вещи. Когда мне пишут в комментариях, типа кому ты нужен, неуловимый Джо, надень шапочку из фольги и так далее. Я думаю так: если

безопасность требует минимальных жертв, почему бы об этой безопасности не подумать. Какая разница, каким браузером пользоваться? Вы просто неделю посидите в Вивальди или Brave и вам не захочется возвращаться в Яндекс. И при чем тут шапочка из фольги?! И вообще с цифровой безопасностью знаете

ведь как?! Тут есть много разных мелких действий, которые по раздельности кажутся незначительными и не гарантируют вам безопасность, но все вместе уже сильно повышают шансы. Это как Влад Спирт, Влад привет! рассказывал мне о тактике и стратегии игры в нарды, обыграв перед

этим шесть раз подряд. Каждый правильный ход по раздельности не гарантирует выигрыша. В нарадах многое решает удача, если вы играли. Но если вы совершаете очень много правильных ходов, а противник очень много неправильных, ваши шансы на успех сильно повышаются. На этой философской

ноте пожалуй закончим. Вспомнил про Влада, в ушах зашумело море. Как мы ныряли за мидиями в последний заезд. Какие сертификаты, какие цепочки доверия?!… так что желаю вам оставаться в интернете защищенным, но не превращаться при этом в параноика. Подписывайтесь на канал,

ставьте лайки. Ну и любите друга, теперь это просто жизненно необходимо и помните, в конечном итоге все будет хорошо. Это говорю вам я, Вова Ломов и канал Tech Talk.