由于西方國家制裁,導緻主流CA機構不再為俄羅斯提供服務,大量俄羅斯網站陷入證書無法更新的困境;
俄羅斯數字發展部建立國家CA機構,為網站提供免費替代方案,使用國内證書+國産浏覽器解決無法通路的問題;
俄羅斯媒體釋出了一份包含198個域名的清單,據稱這些域名已經收到使用國内TLS證書的通知,但目前還沒有強制推行。
俄羅斯已經建立本國的受信任TLS證書頒發(CA)機構,希望解決西方各國制裁下,國内網站因證書無法續訂而引發的通路難題。
西方各國及企業實施的這一輪制裁,導緻俄羅斯網站無法更新現有TLS證書,而目前主流浏覽器都會阻止使用者通路證書過期的網站。
TLS證書可以幫助浏覽器确定目标域為經過驗證的實體,并確定使用者與伺服器之間的資訊交換受到加密保護。
TLS證書工作原理
根據制裁内容,西方各國的證書頒發機構不再為俄羅斯提供付費服務,大量俄羅斯網站陷入證書無法更新的困境。
一旦證書過期,谷歌Chrome、蘋果Safari、微軟Edge以及Mozilla Firefox等主流浏覽器都将全屏顯示“目前頁面不安全”的警告,使得一部分使用者不再繼續通路。
國内替代
為此,俄羅斯政府決定在國内設立證書頒發機構,專門負責TLS證書的獨立頒發與更新。
俄羅斯公共服務門戶網站Gosuslugi顯示,“被撤銷或已過期的外國安全證書将被替換。數字發展部将為網站提供免費的國内替代方案。在送出申請後,各法人實體(即網站所有者)将在5個工作日内獲得服務。”
俄政府宣布提供國内證書
新的證書頒發機構(CA)還需要面對一個難題,即如何取得浏覽器的信任。這需要通過各家浏覽器廠商的審查,整個周期恐怕會拖得很長。
目前,唯一接納俄羅斯新CA的浏覽器,隻有俄羅斯的Yandex浏覽器與Atom産品。俄政府呼籲群眾盡可能用這些産品,來替代Chrome、Firefox及Edge等主流浏覽器。
已經開始使用俄羅斯國内證書的網站,包括俄羅斯聯邦儲蓄銀行(Sberbank)、俄羅斯外貿銀行(VTB)及俄羅斯中央銀行等。
符合條件的網站所有者會收到如上通知
手動信任的安全風險
使用Chrome、Firefox等浏覽器的使用者,可以手動添加新的國内根證書,繼續正常浏覽擁有本國頒發證書的俄羅斯網站。
有人擔心俄羅斯可能會濫用其根證書,借此實施HTTPS流量攔截與中間人攻擊。針對這一情況,一旦發現此類濫用行為,新的根證書将被列入證書廢止清單(CRL)。
俄羅斯受信根CA憑證
列入證書廢止清單後,這些證書将在實質上失效,導緻各網站繼續被Chrome、Edge及Firefox等主流浏覽器阻止通路。
最近,俄羅斯先後采取一系列措施,意在減輕西方制裁對本國經濟造成的影響。很多人認為,俄羅斯之前與全球網際網路斷開的實驗終于有了用武之地,目前正是與網際網路切斷聯系、轉向“國内大區域網路”的好時機。
針對這些傳聞,俄羅斯數字技術部向國内媒體釋出了一份聲明,明确否認了“脫離全球網際網路體系”的說法。