17 Мар 2022

Отзыв SSL-сертификатов в России — как владельцу сайта справиться с санкциями

Отзыв SSL-сертификатов в России — как владельцу сайта справиться с санкциями

Дорогие друзья, в связи с изменением политики в отношении России и Белоруссии крупнейших поставщиков цифровых сертификатов безопасности, произошли существенные изменения в порядке предоставления услуг по покупке и продлению SSL-сертификатов.

Из-за западных санкций, с 3 марта 2022 года владельцам веб-ресурсов нельзя купить или перевыпустить популярные SSL-сертификаты для национальных доменов России и Белоруссии. 

К сожалению, эти негативные перемены затронули не только нас, но весь отечественный рынок хостинга. Поэтому ниже мы разберем ситуацию в целом и расскажем, что делать тем владельцам сайтов, кто уже имеет или планирует использовать российские/белорусские ccTLD  домены

Суть проблемы

Из-за включения ряда российских и белорусских организаций/частных лиц в санкционный список Управления по контролю за иностранными активами (OFAC, Office of Foreign Assets Control) Минфина США, ведущие удостоверяющие центры (УЦ) — Sectigo (экс Comodo CA) и Digicert временно отменили выпуск новых и перевыпуск существующих сертификатов для национальных TLD доменов России и Белоруссии:

  • .ru (.xn--p1ai);
  • .su;
  • .рф;
  • .by;
  • .бел (.xn--90ais).

Кстати. Хотя другие крупнейшие американские центры сертификации — IdenTrust, и GoDaddy, Certum пока не присоединились к санкциям Sectigo и Digicert, есть большая вероятность, что они могут начать отзыв  SSL-сертификатов из России.

При этом уже выписанные SSL-сертификаты для российских и белорусских ccTLD  доменов, сохранят свою ликвидность до конца срока действия.

Помимо продуктов самих Sectigo/Comodo и Digicert, под санкции попали такие популярные бренды SSL-сертификатов, как GoGetSSL, Thawte, Rapid, GeoTrust, а также связанные с ними решения в области сетевой безопасности (например, сканер Web Inspector). К запрету на выпуск для России и Белоруссии присоединились и поставщики бесплатных сертификатов ZeroSSL, Buypass и SSLs.com.

Запрет также затронул любые SSL-сертификаты с проверкой организации (OV, EV), содержащие в информации, прикрепленной к CSR-запросу (Certificate Signing Request, «запрос на выдачу сертификата»), страновые реквизиты «Россия»/«Беларусь» (RU/BY, Russia/Belarus).

Запреты на выпуск SSL по «региональному» признаку касается не только организаций и юридических лиц. Физические лица, живущие в России и Белоруссии, также лишены ведущими западными вендорами цифровых сертификатов возможности защитить свой ресурс с помощью криптографического протокола HTTPS.

То есть, даже если организация или частный владелец международного TLD домена, типа .com или .net, укажут в запросе на выпуск OV или EV SSL-сертификата информацию о том, что они как-либо связаны с Россией или Белоруссией (например, находится или зарегистрирована там), то он автоматически получит отказ.

Чем грозит отсутствие SSL

Для того чтобы понять, чем грозит сайту отсутствие или невозможность перевыпустить (продлить) SSL-сертификат, нужно сказать пару слов о том, как работает эта технология и для чего она предназначена.

Все современные браузеры требуют, чтобы обмен данными происходил по безопасному криптографическому протоколу HTTPS (HyperText Transfer Protocol Secure). Такая передача возможна только, если на веб-ресурс установлен сертификат SSL (англ. Secure Sockets Layer), подтверждающий его безопасный статус.

Кстати. Более поздняя версия технологии SSL получила название TLS (англ. Transport Layer Security), поэтому сегодня эти аббревиатуры используют как синонимы или вместе — SSL/TLS сертификат.

Если же сайт или почтовый сервис не обладают сертификатом безопасности, они могут обмениваться информацией с браузером только по нешифрованному протоколу HTTP. Такие веб-ресурсы признаются ненадёжными и представляющими опасность для посетителей. Браузеры показывают каждому, кто пытается зайти на сайт без SSL-сертификата красноречивое предупреждение «Подключение не защищено». По сути, это равноценно блокировке.

Подробнее о криптографическом протоколе SSL/TLS можно узнать здесь.

Что делать

Несмотря на беспрецедентные ограничения, остается несколько возможностей обеспечить российские и белорусские национальные домены, а также сайты-резиденты надежным SSL-сертификатом и возможностью работать по безопасному протоколу HTTPS.

Решение №1. Установить бесплатный SSL-сертификат

К сожалению, большинство удостоверяющих центров и брендов, выпускавших бесплатные SSL/TLS сертификаты, присоединились к антироссийским санкциям более крупных коллег.  В «запретный» список попали: ZeroSSL, Buypass и SSLs.com

Доступные в России бесплатные SSL-сертификаты

  • Let’s Encrypt — ведущий удостоверяющий центр, специализирующийся на выдаче бесплатных SSL/TLS сертификатов. Сертификаты выписываются в автоматическом режиме по протоколу ACME.
  • FreeSSL.org — китайский центр сертификации (головной офис в Гонконге) предлагает бесплатные сертификаты, рассчитанные на 90 дней.

SSL Let’s Encrypt можно установить вручную на хостинге Eternalhost с возможностью автоматического обновления. Это проверенный вариант бесплатного SSL для сайта с максимальным для такого формата функционалом.

Главный минус Let’s Encrypt  — потенциальная уязвимость для давления. Этот американский удостоверяющий центр входит в число самых крупных поставщиков услуг по SSL/TLS сертификации, поэтому на него оказывается огромный нажим официальных властей. С другой стороны, это некоммерческая организация, для которой доверие пользователей также важно, как и отношения с финансовыми органами США.

Другие виды SSL-сертификатов также можно установить на нашем хостинге. Но уже на свое усмотрение — их работа не была протестирована специалистами Eternalhost.

Решение №2. Установить российский SSL-сертификат

Российским ответом на ограничения, наложенные западными компаниями, стало открытие первого в стране собственного Национального удостоверяющего центра (НУЦ) сертификации с правом выпуска корневого SSL/TLS сертификата. Первый российский центр сертификации SSL был создан для того, чтобы дать гражданам возможность свободно получать услуги и информацию на едином цифровом портале «Госуслуги».

К сожалению, его действие пока распространяется только на отечественные браузеры «Яндекс.Браузер» и «Атом». Остальные крупные браузеры и ОС не включили сертификат SSL/TLS от российского УЦ в собственные хранилища доверенных цифровых сертификатов безопасности.  Однако именно его рекомендует использовать для беспрепятственного доступа к «Госуслугам» официальный регулятор — Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры).

Установить русский SSL-сертификат от «Госуслуг» может любое юридическое лицо (владельцу сайта) по запросу, который решается в течение 5 дней. Скачать его можно непосредственно с сайта справочно-информационного портала.

Там же можно увидеть список доменов, на которые распространяется действие отечественного сертификата SSL/TLS. Именно эти ресурсы с подтвержденными сертификатами от российского НУЦ гарантированно работают в «Яндекс.Браузере», о чем компания официально объявила в своем блоге.

Кстати. Российские SSL-сертификаты выпускают не только «Госуслуги». В России есть еще один УЦ, принадлежащий компании Яндекс. Однако он не выпускает собственные корневые сертификаты TLS, а действует как центр сертификации второго уровня (Intermediate CA) на базе корневых SSL/TLS от одного из крупнейших европейских вендоров Certum Trusted Network CA.

Решение №3. Оформить сертификат без проверки компании

Запреты гигантов рынка SSL привязаны к конкретным странам и доменным зонам. Поэтому, если речь не идет о российских или белорусских национальных доменах, владелец сайта может просто оформить SSL-сертификат типа DV (domain validated), требующий проверки только по домену.

Все новости

Отзывы

Богдан

Приветствую всех! Взял вечный средний(базовый) VPS в ноябре, 2019 года. Через год бесперебойной работы взял ещё один более серьёзный вечный VPS и вечный хостинг. По почте прислали договор с печатью (представляю вашу у...

Читать полностью

Роман

wild-lands.ru

Ну что хочу сказать, хостинг оправдал мои ожидания:)То что заявлено быстрый ответ техподдержки, реально отвечают быстро, к клиентам и решению проблем подходят индивидуально. За все время пользования ответов типа как н...

Читать полностью

Александр

blog.wolive.ru

Я очень рад что повстречал этот хостинг, до этого был 1gb потом reg.ru, а потом встретил Еночийхост (eternalhost.net) . Дешево, быстро отличная поддержка SSL и многое другое. Очень доволен.

Читать полностью

Александр

Автобот СНГ

Очень нравятся цены и тех поддержка! Особая благодарность - Александру Позднякову. Сотрудник часто помогает, отвечает на все вопросы. Спасибо отдельное Вам. Сам я только начинаю входить в сферу It, почему для ме...

Читать полностью

Никита

websell.org

Пользуюсь услугами eternalhost чуть больше месяца, но уже приятно удивлён: DDoS-атаки — это вообще не проблема для ребят. Отлично справляются с достаточно крупными атаками. За всё время пользования моя VDS ни разу не ...

Читать полностью

Ярослав

Пользователь

После месяца использования хостинга я увидел такие плюсы: 1) цена, скажу так, в нашем жадном мире тут цены великолепные, объясню это тем что 24К за вечный хостинг - копейки, 1200р за средний хостинг на месяц тем боле...

Читать полностью

Евген

peakfinder.ru

Достойные VPS. Без нареканий. Удивила единоразовая оплата. В купе с хорошей скоростью и высокой доступностью ставит данный хостинг вне конкуренции с какими-либо другими.

Читать полностью

Рим

Пользователь

Взял для интереса VDS пока все устраивает, скорость и работа на должном уровне, техподдержка отвечает, надеюсь компания будет существовать долго и будет и дальше радовать своих клиентов стабильной работой.

Читать полностью

Мердан

magicfze.com

Заказал вечный VDS, воскресенье ночью в 2:00. Думаю, дай проверю, ответит ли support. Тут даже не один, сразу двое отвечают. Пока сервер не проверял, но если они работают хоть на половину как ребята из support, то тут...

Читать полностью

Дмитрий

cutme.info

Мой отзыв будет очень положительным. Размещаю на этом хостинге 2 сайта. Сам я не профи в этом деле, по этому часто обращаюсь в службу поддержки. Это просто супер ребята, благодарен им бесконечно, все подскажут, помогу...

Читать полностью

Андрей

brigu.net

Саппорт отвечает почти мгновенно и решает все вопросы. Скорость доступа к сайту тоже высокая и все это по очень выгодной цене, рекомендую, отличный VDS!

Читать полностью

Игорь Омельченко

Разработчик

Очень заинтересовала идея "заплатил один раз - твое навсегда". На VPS держу VPN сервер и парочку Telegram ботов. Нагрузка/трафик еще не большие, но работает все очень стабильно. Порадовала быстрая поддержка, отвечают ...

Читать полностью

Илья

Пользователь

Удобная панель управления, саппорт отвечает почти мгновенно и решает все вопросы. Скорость доступа к сайту тоже высокая и все это по очень выгодной цене, рекомендую, отличный хостинг!

Читать полностью

Юрий Рассадников

Пользователь

Пользуюсь неделю. Пока положительные эмоции. Взял виртуальный сервер по минимальному тарифу "Начальный". Виртуализация KVM. С технической точки зрения придраться не к чему. Установил Debian 9.6 все работает хорошо.

Читать полностью

Максим Обухов

Пользователь

Пользуюсь хостингом не так долго, но тем не менее могу сказать, что это очень интересный хостер! Не каждый сегодня может предложить единоразовую оплату. Если подумать, то это не совсем выгодно. За пару недель пользова...

Читать полностью

Олег Колесников

Пользователь

Обычно на слово не верю, поэтому взял тестовый период и погонял специальные скрипты проверки качества хостинга - никаких сбоев. Хостинг спокойно может выдержать большую посещаемость моих проектов. Поэтому проплатил хо...

Читать полностью

Рустам

yournet.kz

Отличный хостинг, к тому же разовый взнос за услуги с точки зрения экономии средств, это действительно очень круто! Производительность тоже на уровне.

Читать полностью