Удостоверяющие центры

3 июня, 2019

TLS с ГОСТ: необходимая инфраструктура

В прошлых статьях мы рассказали о дискуссиях, посвященных криптографии в российском сегменте Интернет, на «РусКрипто’2018» и «РусКрипто’2019», и об основных принципах работы протокола TLS, а также о статусе его стандартизации в России. Прежде чем перейти к вопросу о реализациях TLS c ГОСТ, логично описать те компоненты инфраструктуры, без которых его работа будет невозможна или не в полной мере безопасна. Этому посвящена настоящая статья.

Необходимым условием функционирования протокола TLS является наличие доверия к сертификату открытого ключа серверной стороны. Для этого требуется собственно наличие пространства доверия, обеспечиваемое удостоверяющими центрами.

Одним из ключевых элементов, необходимых для обеспечения применения российских криптоалгоритмов при организации взаимодействия рядовых пользователей с информационными ресурсами в сети Интернет, может стать Национальный удостоверяющий центр (НУЦ), создаваемый в рамках программы «Информационная безопасность» Цифровой экономики. Целью создания НУЦ является формирование единого пространства доверия узлам .ru и .рф, функционирующего в соответствии с российским законодательством и принятыми в России государственными стандартами.

Единое пространство доверия предполагается обеспечить посредством создания иерархической структуры, состоящей из Национального удостоверяющего центра (корневой удостоверяющий центр, подчиненный удостоверяющий центр, портал национального удостоверяющего центра) и подчиненных аккредитованных удостоверяющих центров – отличных от текущих аккредитованных УЦ для выдачи квалифицированных сертификатов.

Корневой удостоверяющий центр Национального удостоверяющего центра будет предназначен для организации иерархической структуры: создания корневого самоподписанного сертификата (корня доверия) и выдачи сертификатов подчиненным удостоверяющим центрам в рамках иерархии. Доверенное распространение корневого сертификата Национального удостоверяющего центра будет обеспечено за счет его включения в сертифицированные средства криптографической защиты информации, распространяемые лицензиатами ФСБ России.

Подчиненный удостоверяющий центр Национального удостоверяющего центра будет предназначен для выдачи ГОСТ-TLS-сертификатов (или траст-сертификатов) владельцам web-ресурсов, включая органы государственной власти, органы местного самоуправления, организаторов распространения информации.

Портал Национального удостоверяющего центра будет предназначен для обеспечения взаимодействия Национального удостоверяющего центра с владельцами web-ресурсов, в части выдачи TLS-сертификатов и обеспечения сопровождения жизненного цикла TLS-сертификатов.

Предполагается, что аккредитованные удостоверяющие центры по выдаче TLS-сертификатов будут обеспечивать TLS-сертификатами физических и юридических лиц, не относящихся к органам государственной власти и местного самоуправления, а также к организаторам распространения информации.

ФГБУ НИИ «Восход» в 2018 году приступил к созданию Национального удостоверяющего центра и выполнил первый этап по созданию в части проектирования. На 2019 год запланированы работы по созданию программно-аппаратного комплекса Национального удостоверяющего центра с последующей сертификацией и запуском в промышленную эксплуатацию в 2020 году.

Наряду с существованием самой иерархии удостоверяющих центров для стабильной работы TLS-инфраструктуры необходимо проверять статус сертификатов – не через громоздкий механизм непосредственной работы со списками отзыва, а через запрос к доверенному OCSP-серверу, возвращающему подписанные ответы о статусе любого серверного сертификата. Средства, реализующие такие протоколы, уже существуют и эксплуатируются в других проектах (для работы с так называемой «усовершенствованной электронной подписью»).

Иначе обстоят дела с механизмом, обеспечивающим повышенную защиту от поддельных серверных сертификатов – так называемым «certificate transparency». Он нацелен на решение проблемы ошибочной выдачи сайтам сертификатов – по причине взлома или ошибки сотрудника УЦ. В рамках соответствующей рабочей группы IETF разработано решение, состоящее в формировании набора доверенных серверов с журналами (работа с которыми разрешена по принципу «только на добавление») выданных каждому конкретному имени сертификатов, а также автоматических средств отслеживания ошибочных или потенциально опасных ситуаций по данным журналам. В пилотном режиме за рубежом подобные доверенные сервера (в настоящий момент на мощностях компании Google) уже начали функционировать.

Чтобы TLSс ГОСТ мог стать по-настоящему массовым, требуется также предоставить возможность владельцам рядовых сайтов в сети Интернет быстро и просто получать ГОСТовые сертификаты на свои сайты – с помощью механизмов автоматического получения сертификатов, с пониженным уровнем доверия, таких как протоколы Automatic Certificate Management Environment (ACME), описанные в RFC 8555. Создание таких механизмов уже обсуждается в профессиональном сообществе российских разработчиков средств криптографической защиты информации.

СОГЛАШЕНИЕ О ПРЕДОСТАВЛЕНИИ И ИСПОЛЬЗОВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящее соглашение регламентирует отношения между АО «Аналитический центр» и физическим лицом (Пользователь) и вступает в силу с момента принятия Пользователем условий настоящего соглашения. При несогласии Пользователя с хотя бы одним из пунктов соглашения, Пользователь не имеет права дальнейшей регистрации. Продолжение процедуры регистрации говорит о полном и безоговорочном согласии с настоящим соглашением.

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Регистрация — процедура, в ходе которой Пользователь предоставляет достоверные данные о себе по утвержденной форме регистрации (регистрационная карта). Прохождение процедуры регистрации говорит о том, что Стороны полно и безоговорочно согласились с условиями настоящего соглашения.

Персональные данные Пользователя — данные, используемые для идентификации личности, добровольно указанные Пользователем при прохождении регистрации. Данные хранятся в базе данных на сервере АО «Аналитический центр» и подлежат использованию исключительно в соответствии с настоящим соглашением и законодательством РФ.

ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Мы используем персональные данные Пользователя только для тех целей, которые указываются при их сборе. Мы не используем персональные данные для других целей без согласия Пользователя. Мы можем использовать персональные данные Пользователя для следующих целей:

  • Для организации выдачи Пользователю электронной цифровой подписи в рамках сети Аккредитованных при Некоммерческой организации «Ассоциация Электронных Торговых Площадок» Удостоверяющих центров, а также ее обслуживания и оказания сопутствующих услуг;
  • Для обратной связи с Пользователем в целях предоставления услуги или информации, в том числе посредством рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» на указанную электронную почту. Отказаться от рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» можно нажав на соответствующую кнопку в нижнем колонтитуле любого письма в рамках такой рассылки;
  • Для ответов на запросы Пользователя в службу поддержки;
  • Для выполнения обязательств по договорам.

Для использования персональных данных для любой иной цели мы запрашиваем подтверждение Пользователя. Пользователь соглашается, что АО «Аналитический центр» оставляет за собой право использовать его персональные данные анонимно и в обобщенном виде для статистических целей.

ОБЯЗАТЕЛЬСТВА ПОЛЬЗОВАТЕЛЯ ПО РЕГИСТРАЦИИ

Пользователь соглашается предоставить правдивую, точную и полную информацию о себе по вопросам, предлагаемым в регистрационной карте. Если Пользователь предоставляет неверную информацию, АО «Аналитический центр» имеет право приостановить либо отменить регистрацию.

ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ ТРЕТЬИМ ЛИЦАМ

АО «Аналитический центр» не передает персональные данные третьим лицам для маркетинговых целей без разрешения Пользователя.

АО «Аналитический центр» может передавать персональные данные Пользователя компаниям, аффилированным по отношению к АО «Аналитический центр», для обработки и хранения. Пользователь соглашается с тем, что АО «Аналитический центр» передает персональные данные Пользователя уполномоченным организациям для создания и выдачи электронной подписи, выполнения требуемых услуг и операций.

АО «Аналитический центр» предоставляем третьим лицам объем персональных данных, необходимый для оказания требуемой услуги или транзакции. При необходимости АО «Аналитический центр» можем использовать персональные данные Пользователя для ответа на претензии, исковые заявления.

АО «Аналитический центр» можем собирать и, при необходимости, передавать уполномоченным органам имеющуюся в нашем распоряжении информацию для расследования, предотвращения и пресечения любых незаконных действий. АО «Аналитический центр» вправе раскрывать любые персональные данные по запросам правоохранительных органов, решению суда и в прочих случаях, предусмотренных законодательством РФ.

С целью предоставления дополнительной информации, оказания услуг, Пользователь можете быть направлен на другие ресурсы, содержащие информационные или функциональные ресурсы, предоставляемые третьими лицами.

Только в тех случаях, когда информация собирается от лица АО «Аналитический центр», использование данных Пользователя будет определяться политикой АО «Аналитический центр» в отношении конфиденциальности персональных данных. При предоставлении информации на других ресурсах будут использоваться политики в отношении конфиденциальности персональных данных, проводимые их владельцами.

АО «Аналитический центр» требует от своих партнеров использования политики в отношении конфиденциальности персональных данных, согласующихся с политикой АО «Аналитический центр».

БЕЗОПАСНОСТЬ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

АО «Аналитический центр» использует технологии безопасности, процедуры и организационные меры для защиты персональных данных Пользователя от несанкционированного доступа, использования или разглашения.

АО «Аналитический центр» стремится защитить персональные данные Пользователя, но не может гарантировать безопасность передаваемых данных.

АО «Аналитический центр» рекомендует принимать все меры по защите ваших персональных данных при работе в Интернете. Часто меняйте пароли, используйте сочетание букв и цифр при создании паролей и используйте защищенный браузер.

ХРАНЕНИЕ ДАННЫХ

АО «Аналитический центр» не хранит персональные данные Пользователя дольше, чем необходимо для целей их сбора, или чем требуется в соответствии с действующими законами или правилами.

Существуют десятки разновидностей SSL-сертификатов. Они отличаются по целому ряду критериев — уровню доверия, количеству защищаемых доменов, бренду, а также стоимости.

1. Уровень доверия сертификата

Все SSL-сертификаты обеспечивают безопасность сеанса и шифруют любую информацию, передаваемую через сайт, с помощью протокола https.

Существует три уровня доверия SSL-сертификатов — низкий, средний и высокий. Сертификаты каждого из этих уровней отличаются объемом идентификационной информации о заказчике, включенной в сертификат, и внешним видом строки браузера.

Уровень доверия также зависит от способа проверки данных заказчика сертификата:

  • упрощённая проверка — низкий уровень доверия,
  • стандартная проверка — средний уровень доверия,
  • расширенная проверка — высокий уровень доверия.

Сертификаты с упрощённой проверкой (DV — Domain Validation) — подтверждают только право владения доменом. Это самый простой вид сертификатов. Проверка проходит быстро — на e-mail в домене, для которого заказывается сертификат, отправляется письмо со ссылкой для подтверждения. После прохождения по ссылке сертификат выпускается автоматически.

Доступность: физическим лицам и ИП, юридическим лицам.
Время выпуска: 1-3 дня.
Вид в браузере: активируется символ замка в строке и протокол https. Информации об организации в сертификате нет.

DV-сертификаты подойдут для сервисов, требующих регистрации пользователя, для защиты персональных данных и информации, отправляемой по почтовым протоколам.

Сертификаты со стандартной проверкой (OV — Organization Validation) — подтверждают право владения доменом и существование организации. При выпуске сертификата проверяется наличие организации в открытых базах, валидность номера телефона организации, наличие в Whois по домену наименования организации.

Доступность: юридическим лицам.
Время выпуска: от 3 дней.
Вид в браузере: активируется символ замка в строке и протокол https.

В сертификате безопасности указывается наименование организации, ее местонахождение, центр сертификации, выдавший сертификат (поле «Издатель»), срок действия сертификата:

OV-сертификаты подойдут для бизнес-сайтов, интернет-магазинов и MS Exchange.

Сертификаты с расширенной проверкой (EV — Extended Validation) — подтверждают право владения доменом, существование организации и правомерность ее деятельности. При выпуске сертификата проводится максимально тщательная проверка юридического лица и деятельности компании.

Доступность: юридическим лицам.
Время выпуска: от 5 дней.
Вид в браузере: активируется зеленая строка с символом замка, отображается наименование организации, название центра выдачи сертификата, статус и срок его действия.

EV-сертификаты подойдут для банков и работы с финансами, государственных организаций.

Особый вид SSL-сертификатов — Сертификаты для разработчиков (Code Signing). Сертификат подтверждает подлинность программ при их загрузке, целостность их содержимого и надежность источника продукта. Технология цифровой подписи подтверждает уникальность программ, которые вы скачиваете в сети и гарантирует, что файлы не были модифицированы.

Доступность: юридическим лицам.
Время выпуска: до 3 дней.

Сертифкаты Code Signing подойдут для разработчиков программного обеспечения и приложений.

2. Количество доменов, защищаемых сертификатом

Один домен. Все сертификаты выпускаются для одного домена, за исключением сертификатов с пометкой Wildcard и SAN в названии, которые защищают несколько доменов и стоят дороже.

Один домен и его поддомены. Сертификаты категории Wildcard защищают домен и все поддомены одного уровня: сертификат, заказанный для домена domain.ru защитит также субдомены mail.domain.ru, service.domain.ru и другие.

Несколько разных доменов. Сертификат категории SAN защищает до 100 разных доменов на одном или нескольких серверах.

3. Бренды

Мы предлагаем сертификаты собственного бренда RU-CENTER и зарубежных партнеров — Удостоверяющих центров Thawte, GeoTrust, DigiCert, GlobalSign и Comodo. Все представленные Удостоверяющие центры много лет на рынке и предлагают качественные решения в области безопасности сайтов. Они отличаются набором характеристик, стоимость сертификатов начинается от 3500 рублей.

Физическим лицам и ИП подойдут сертификаты: GlobalSign DomainSSL, GlobalSign DomainSSL Wildcard, Thawte SSL 123 и GeoTrust Rapid SSL Wildcard.

Мы предоставляем бесплатные SSL-сертификаты бренда DigiCert физическим и юридическим лицам при регистрации домена, заказе или продлении хостинга.

Сравнить характеристики всех сертификатов можно на странице подбора SSL-сертификатов.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *