Центры сертификации и иерархии доверия
Центры сертификации (CA) выдают цифровые сертификаты. Цифровые сертификаты — это верифицируемые файлы данных, которые содержат сведения, чтобы помочь веб-сайтам, людям и устройствам подтвердить свою идентификацию в сети (ее подлинность проверяется центром сертификации). Центры сертификации играют важнейшую роль в работе интернета и в выполнении прозрачных и надежных онлайн-транзакций. Центры сертификации выдают миллионы цифровых сертификатов каждый год, и эти сертификаты используются для защиты информации, шифрования миллиардов транзакций и обеспечения безопасного обмена данными.
Сертификат SSL — это популярный тип цифрового сертификата, который привязывает информацию о владельце веб-сервера (и веб-сайта) к ключу шифрования. Эти ключи используются в ючу шифрования. Эти ключи используются в протоколе SSL/TLS для создания безопасной сессии между браузером и веб-сервером, на котором расположен SSL-сертификат. Чтобы браузер мог доверять SSL-сертификату и выполнял сессию SSL/TLS без предупреждений безопасности, SSL-сертификат должен содержать доменное имя веб-сайта, использующего этот сертификат, должен быть выдан надежным центром сертификации и быть действующим.
По данным аналитического сайта Netcraft (www.netcraft.com), в августе 2012 года на общедоступных веб-сайтах использовались почти 2,5 млн SSL-сертификатов. Есть вероятность, что на самом деле их на 50% больше, но реальное число на общедоступных веб-сайтах Netcraft определить не в состоянии. Это делает SSL одной из самых распространенных технологий безопасности, применяемых в настоящее время.
Как при таком обилии SSL-сертификатов определить, какому центру сертификации можно доверять?
Браузеры, операционные системы и мобильные устройства используют авторизованные программы «членства» центров сертификации, и каждый центр сертификации должен выполнить подробные условия, чтобы быть стать участником такой программы. После принятия центра сертификации в программу он получает возможность выдавать SSL-сертификаты, которым будут доверять браузеры и, соответственно, люди и устройства, использующие этот сертификат. Существует относительно небольшое количество авторизованных центров сертификации, от частных до правительственных, и, как правило, чем дольше работает центр, тем больше браузеров и устройств доверяют его сертификатам. Чтобы сертификаты обеспечивали прозрачное доверие, они должны иметь хорошую совместимость с более старыми браузерами и особенно с более старыми мобильными устройствами — это называется универсальностью и является одной из важнейших характеристик, которые центр сертификации может предложить своим клиентам.
Перед выпуском цифрового сертификата центр сертификации выполнит множество проверок идентификации заявителя. Эти проверки зависят от класса и типа сертификата, на который подана заявка. Например, для выпуска SSL-сертификата с проверкой домена будет проверяться право владения доменом, отражаемое в сертификате, а сертификат SSL с расширенной проверкой будет включать дополнительную информацию о компании, которая будет проверяться центром сертификации многими разными методами.
Более подробная информация о разных классах SSL-сертификатов содержится в статье: Классы сертификатов и примеры их использования.
PKI и иерархии доверия
Браузеры и устройства доверяют центру сертификации, принимая корневой сертификат в свое хранилище — специальную базу данных об утвержденных центрах сертификации, которая предустановлена в браузерах и на устройствах. Windows поддерживает свое хранилище корневых сертификатов, так же поступают Apple и Mozilla (для своего браузера Firefox). Многие операторы мобильной связи также имеют собственное хранилище.
Хранилище Apple OSX доверенных корневых сертификатов
Центры сертификации используют эти предустановленные корневые сертификаты для выдачи промежуточных корневых сертификатов и цифровых сертификатов конечным объектам. Центры сертификации получают запросы на сертификаты, проверяют заявки, выпускают сертификаты и публикуют текущий статус проверки выпущенных сертификатов, так что каждый, кто пользуется сертификатом, имеет полное представление о действительности этого сертификата.
Обычно центры сертификации создают множество корневых сертификатов промежуточных центров сертификации (ICA), которые выдают сертификаты конечным пользователям, в том числе SSL-сертификаты. Это называется иерархией доверия и выглядит следующим образом:
Центры сертификации не должны выдавать цифровые сертификаты напрямую из корневого сертификата, передаваемого операторам, а только через один или несколько промежуточных центров сертификации (ICA). Центры сертификации обязаны выполнять рекомендации по безопасности чтобы свести к минимуму уязвимость корневого центра сертификации для хакерских атак. GlobalSign — один из немногих центров сертификации, которые всегда (с 1996 года) использовали ICA.
Что входит в работу центра сертификации?
Центры сертификации служат оплотом доверия в интернете и поэтому несут особую ответственность. Работа центра сертификации с соблюдением всех требований к аудиту является сложной задачей. Инфраструктура центров сертификации включает в себя значительное количество операционных элементов, аппаратного и программного обеспечения, политик отправителей и положений о правилах, проверок, элементов инфраструктуры безопасности и персонала. В совокупности эти элементы называются доверенной инфраструктурой открытого ключа (PKI).
Сертификаты бывают разных форматов и поддерживают не только SSL, а еще и аутентификацию людей и устройств, а также заверяют подлинность кода и документов. Посетите раздел Продукты GlobalSign для получения более подробной информации.
На устройстве установлен сертификат ЦС ваш защищенный сетевой трафик могут отслеживать и изменять — что это значит?
Установив какое-либо из мобильных приложений (обычно это «AdGuard», «Билайн», и другие) на свой Андроид-смартфон, пользователь впоследствии может заметить в шторке уведомлений предупреждение «Сеть может отслеживаться». При нажатии на него отображается текст, из которого следует, что на устройстве установлен сертификат ЦС, а сетевой трафик может быть отслежен и изменён. Что означает данное уведомление и как от него избавиться – расскажем в нашем материале.
Что это за «ЦС», который упоминается в уведомлении?
Речь идёт о «Центре сертификации» – доверенной организации, которая занимается выдачей цифровых сертификатов. Последние используются для проверки подлинности веб-сайтов и других сетевых объектов.
Соответственно, сертификат Центра сертификации – это выпущенный доверенной организацией электронный документ, подтверждающий принадлежность проверочного ключа некоему субъекту (например, пользователю или организации). Сертификат используется для идентификации субъекта и операций, которые данному субъекту разрешено совершать.
После установки компонента Центра сертификации на ваш телефон последний сможет распознавать цифровые сертификаты, выданные Центром сертификации. Благодаря проверке цифровых сертификатов, содержащих проверочные ключи и электронные подписи, будет реализована проверка подлинности веб-сайтов и других объектов, использующих данные сертификаты. Таким образом реализуется важная функция безопасности, помогающая защитить вас от фишинга и другим форм сетевого мошенничества.
Почему система выдаёт сообщение об отслеживании сетевого трафика?
Компания «Google» добавила уведомление об установке сертификата ЦС и отслеживании сети в качестве элемента улучшения безопасности в версии Андроид KitKat (4.4). Данное предупреждение указывает, что на устройстве есть как минимум один установленный пользователем сертификат, который может быть использован вредоносной программой для мониторинга зашифрованного сетевого трафика.
Обычно такой сертификат устанавливается на телефоны с ОС Андроид 10.0 и ниже при установке на смартфон какого-либо стороннего приложения. При установке приложение просит пользователя доверять сертификату ЦС в хранилище сертификатов пользователя, используя метод API KeyChain.createInstallIntent(). Такие запросы о доверии сертификату сопровождаются предупреждениями и необходимостью подтверждения, а также установкой различных форм блокировки экрана.
После того как пользователь даёт «добро» на установку сертификата, приложение получает возможность отслеживать сетевой трафик данного телефона и при необходимости модифицировать его. Это актуально в случае таких приложений как «Adguard» или банковских приложений. Последние борются с различными формами злокачественной сетевой активности, но при этом используют свои собственные сертификаты для работы в сети. Функционал ОС Андроид отслеживает активность таких приложений, и выдаёт сообщение об установке сертификата ЦС и опасности отслеживания сетевого трафика.
Почему важно выдавать сообщение об установке сертификата ЦС?
В уведомлениях об установке сертификатов ЦС есть резон, так как какое-либо зловредное приложение может установить на телефон свой сертификат. Последнему будет доверять ваш телефон при совершении различных сетевых операций, например, при вводе банковского пароля.
Это позволит злоумышленнику «на лету» создавать поддельные сертификаты для любого домена в Интернете, перехватывать кажущуюся защищенной связь.
Такое поведение часто наблюдается на предприятиях или в государственных учреждениях, где неконтролируемая секретность неприемлема. Установка ЦС на устройстве заставляет работать «безопасный» Интернет, хотя интернет больше не защищён от самого правительства или администрации предприятия, и подвержен другим формам атак.
Если ничего из вышеперечисленного к вам не относится, и вы не устанавливали какие-либо государственные или банковские приложения, вам следует начать беспокоиться. Кто-то может охотиться за вашими личными данными или деньгами.
Политика работы с сертификатами в Андроид 11
Всё изменилось с выходом ОС Андроид 11. В данной системе установщик сертификата проверяет, кто запросил установку сертификата. Если он был запущен кем-либо, кроме приложения системных настроек, в установке сертификата будет отказано с предупреждающим сообщением:
«Не удается установить сертификаты ЦС. Сертификаты ЦС могут поставить под угрозу вашу конфиденциальность и должны быть установлены в настройках.»
Таким образом, рассматриваемое нами уведомление об установке сертификата ЦС и незащищённом сетевом трафике относится к версиям ОС Андроид 10 и ниже.
Как избавиться от сообщения об установке сертификата ЦС
Для устранения надоедливого сообщения об установке сертификата ЦС рекомендуется вначале удалить приложение, добавившее свой собственный сертификат, а затем удалить и сам сертификат. Обычно для Андроид 10 это делается переходом по пути:
«Настройки» — «Безопасность и конфиденциальность» — «Дополнительные настройки» — «Шифрование и учетные данные» — «Надежные учетные данные» — «Пользователь». В случае других версий ОС Андроид ищите подраздел сертификатов в разделе «Безопасность» настроек смартфона.
В разделе сертификатов будет две вкладки – «Система» и «Пользователь». Перейдите во вкладку «Пользователь», и удалите оттуда все сертификаты. После этого сообщение об установленных сертификатах ЦС перестанет вам досаждать.
Сеть может отслеживаться Android. Как убрать?
Если в шторке уведомлений Android устройства вы заметили надпись «Сеть может отслеживаться«, то эта статья для вас. Если нажать на эту надпись, получим дополнительную информацию:
На устройстве установлен сертификат ЦС. Ваш защищенный сетевой трафик могут отслеживать и изменять.»
«Сеть может отслеживаться» — это уведомление, которое может появляться на устройствах с операционной системой Android. Это уведомление означает, что на вашем устройстве могут быть установлены сертификаты ЦС (Certificate Authority), которые используются для проверки подлинности веб-сайтов.
Это значит, что ваш сетевой трафик может быть отслеживаемым и изменяемым. Это может быть связано с установкой некоторых приложений или изменением настроек интернета. Очень часто такое происходит из-за приложения Adguard, и остаётся даже после его удаления.
Чтобы убрать надпись из шторки уведомлений нужно зайти в настройки Android и удалить один или несколько сертификатов. В зависимости от версии ОС, пункты и путь к ним может различаться, так что можно пользоваться поиском по настройкам. У меня на 10 версии Android MIUI 12 данный раздел называется «Надежные учетные данные» по такому пути:
Пароли и безопасность/ Конфиденциальность / Шифрование и учетные данные / Хранилище регистрационных данных /
Если у вас по другому, попробуйте в поиске вбить «Сертификаты», или же вручную просмотреть каждый пункт настроек в разделе «Безопасность». Нужно найти сертификаты в которой будет две вкладки «Система» и «Пользователь».
Переходим на пользователя и удаляем там все сертификаты. Как видно на скриншоте, у меня они назывались «AdGuard Personal CA». Просто жмем на них и высветится кнопка удаления. После этого надпись «Сеть может отслеживаться» больше не будет показываться в шторке уведомлений.
Зачем устанавливать сертификат безопасности от Минцифры?
Не могу зайти на сайт Сбера: браузер предупреждает, что он небезопасен. Пишут, что если установить российские сертификаты безопасности, то все будет нормально. Так ли это?
А еще про эти сертификаты писали в рассылке от госуслуг. Они действительно нужны? Для чего?
Последние месяцы многие российские пользователи сталкиваются с проблемами либо при оплате заказов в интернет-магазинах или на кассе по QR-кодам, либо при посещении государственных сайтов. Соединение отображается как незащищенное, а сами ресурсы просят установить сертификаты безопасности от Минцифры.
Дело в том, что из-за санкций зарубежные компании отзывают или аннулируют свои сертификаты безопасности, которые узнают все браузеры. Расскажу, что делать в такой ситуации и действительно ли нужно устанавливать сертификаты от Минцифры.
Новинка: курс о дружбе с нейросетями
Что это за сертификаты безопасности и зачем они нужны
Сертификат безопасности позволяет передавать данные в зашифрованном виде и удостоверяет подлинность сайта. Его наличие на сайте проверяет браузер пользователя. Если сертификат есть и с ним все в порядке, сайт помечается как безопасный. Понять это легко: в левом углу адресной строки появится специальный значок — закрытый замочек.
Представьте, что вы покупаете билеты онлайн. Если у сайта есть сертификат безопасности, то во время оплаты данные вашей банковской карты будут защищены. Вся информация идет через сервер HTTPS и шифруется с помощью криптографического ключа — ее никто не сможет перехватить.
Если сертификата безопасности нет, подключение происходит через канал HTTP — все данные находятся в открытом виде. Так к ним могут получить доступ мошенники, да и сам интернет-магазин может оказаться фишинговым. Сертификат безопасности не только защищает сайт, но подтверждает его подлинность.
Сертификаты есть не только на сайтах, но и на устройствах. Это нужно, чтобы все корректно работало. Если документ выпущен доверенным центром, ваш телефон или компьютер с ним уже знаком — пользователю не нужно предпринимать какие-либо действия по его установке.
Сертификаты безопасности часто называют SSL-, TLS- или SSL/TLS-сертификатами. Обе технологии — SSL и TSL — используют для защиты информации. Отличаются они только тем, что TSL основана на уже действующей спецификации SSL 3.0. А сама SSL устарела и редко используется как единственная защита.
Обычно оба сертификата работают в связке. Такая поддержка обеспечивает защиту как новых, так и старых устройств.
SSL-сертификаты выпускают доверенные центры сертификации. Это специальные организации, которые отвечают за качество сервиса и гарантируют надежность. Их не очень много, но они бывают и частными, и государственными. Чем дольше работает центр, тем больше браузеров и устройств доверяют его сертификатам.
Почему сайты просят устанавливать российские сертификаты
В марте 2023 года иностранные центры стали отказывать в продлении сертификатов российским компаниям, которые находятся под санкциями.
Первыми с последствиями такого решения столкнулись клиенты Сбера. У банка был сертификат от бельгийского центра Globalsign, действовавший до 15 февраля 2023 года. В Сбере от него отказались раньше: банк перевел свой сайт на сертификат от Минцифры 26 сентября 2022 года.
Тогда пользователи сайта сталкивались либо с его блокировкой браузером, либо с предупреждением о небезопасности в строке с адресом. Привычного замочка — знака надежности — тоже больше не было. Клиентам советовали установить на их устройства сертификаты Минцифры: самостоятельно загрузить их с госуслуг или скачать браузер, где они уже есть. Например, сертификаты Минцифры по умолчанию встроены в «Яндекс-браузер» и «Атом» от VK.
В декабре 2022 года с проблемами столкнулись россияне, совершающие покупки в магазинах с интернет-эквайрингом от Сбера. При оплате заказа стало появляться предупреждение о том, что для стабильной работы скоро потребуется сертификат Минцифры. «Коммерсант» обнаружил такое уведомление на сайтах «Детского мира», «Леруа Мерлена» и «Делимобиля». Решение проблемы предлагалось то же — обзавестись сертификатом на устройстве.
Представитель Сбера объяснил РБК, что его партнеры вправе самостоятельно выбирать, как будет работать платежное решение с их стороны — на сертификатах Минцифры или международных. Пользователям при этом не обязательно предпринимать дополнительные действия. В Сбере отметили, что объявления в магазинах — это не рекомендации банка, они созданы исключительно по инициативе партнера.
Вслед за Сбером отечественные сертификаты появились на многих государственных ресурсах. Например, на сайте Росреестра. При попытке зайти на него с зарубежного браузера появляется уведомление о том, что издатель сертификата неизвестен и сайт «самоподписан».
Но пока на зарубежные сертификаты перешли не все государственные сайты. Например, сайт Федеральной налоговой службы работает с любого браузера. Дело в том, что организация получила сертификат от некоммерческого центра Let’s Encrypt, который действует с 15 апреля по 14 июля 2023 года.