Использование и установка российских TLS сертификатов (Russian Trusted Root CA)

В новостях несколько раз проскакивала информация о том, что госучреждения в связи с санкциями начали использовать на российские TLS сертификаты. В частности, Сбер сообщает, что через несколько дней его сервисы начнут переход на российские TLS-сертификаты Минцифры. В этой статье говорим об особенностях таких сертификатов, их поддержке и установке в различных устройствах и браузерах.

Российские сертификаты Национального удостоверяющего центра Минцифры России должны обеспечивать защищённый доступ к сайтам и онлайн-сервисам российских банков и госорганизаций. Данные сертификаты могут использоваться российские организации под санкциями, которые не могут продлить или перевыпустить сертификаты в иностранных CA (в случае их отзыва или окончания срока действий). Минцифры предоставляет бесплатный услугу по выпуску TLS сертификата юридическим лицам, владельцам сайтов по запросу в течение 5 рабочих дней.

Однако главная проблема в том, что сертификаты, выданные Минцифрой, считаются недоверенными на большинстве устройств и браузерах и отсутствуют в списках корневых сертификатов операционных систем.

Вы можете проверить, доверяет ли ваш компьютер (браузер) сертификатам, выданным Минцифрой, перейдя на сайт https://fgiscs.minstroyrf.ru/ . В моем случае браузер Edge выдает:

Your connection isn't private_x000D_Attackers might be trying to steal your information from fgiscs.minstroyrf.ru (for example, passwords, messages, or credit cards)._x000D_NET::ERR_CERT_AUTHORITY_INVALID_x000D_Subject: *.minstroyrf.ru_x000D_Issuer: Russian Trusted Sub CA

ошибка NET::ERR_CERT_AUTHORITY_INVALID

Поддержка российских TLS сертификатов встроена только в российские интернет-браузеры (Атом и Яндекс браузер). Все остальные браузеры (Chrome, Opera, Microsoft Edge, Firefox и т.д.) будут выдавать ошибку проверки сертификатов при открытии таких сайтов. Это означает, что вам нужно вручную установить корневые сертификаты на ваши устройства.

Перед установкой проверьте отпечаток корневого сертификата удостоверяющего центра с помощью PowerShell:

$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 "C:Temprussian_trusted_root_ca.cer"
$cert.Thumbprint

Он должен быть 8FF915CCAB7BC16F8C5C8099D53E0E115B3AEC2F

Для Windows и Android нужно скачать (с сайта Минцифры или Госуслуг) и добавить в доверенные следующие сертификаты:

Для MacOS :

Для iOS :

Инструкции по установки доступны на сайте Госуслуги: https://www.gosuslugi.ru/crt . Здесь же есть полный список сайтов, для которых выпущен сертификат от CA Минцифры.

В случае с Windows корневой и выпекающий сертификат нужно установить в доверенные центры сертификации текущего пользователя. Откройте CER файл, нажмите Install Certificate , и следуйте шагам мастера установки.

установка сертфиката Russian Trusted Root CA корневного российского центра сертификации

Mozilla Firefox по-умолчанию не использует хранилище сертификатов Windows и смотрит на собственное хранилище доверенных сертификатов. Чтобы добавить корневой сертификат Минцифры в Firefox:

  1. Откройте его настройки: about:preferences#privacy
  2. Нажмите View Certificates ; управление сертификатами в firefox
  3. Нажмите Import и выберите CER файл с сертификатом. Включите опции Trust this CA to identify websites и Trust this CA to identify email users .

firefox добавить сертификат в доверенные

На данный момент такие сертификаты безопасности выданы для более чем 4000 доменных имен (полный список есть здесь https://www.gosuslugi.ru/tls -> Список доменов, в отношении которых выпущены сертификаты безопасности).

российские TLS сертификаты на госуслугах

Вероятно, TLS сертификаты Национального удостоверяющего центра Минцифры России в скором времени будут внедрены на большинство российских сайтов госорганов.

Установка сертификатов в Linux описана в отдельной статье.

В конце статьи хочу отменить, что установка таких сертификатов в ОС вносит определенный риск утечки данных и реализации MITM атаки со стороны владельца сертификата (такое было пару лет назад в Казахстане). Возможно в данный момент оптимальное решение не устанавливать сертификаты на компьютеры, а использовать российские браузеры (Яндекс.браузер) для доступа к веб сайтам, использующие российские TLS сертификаты.

EnglishRussianUkrainian