La Russia ha creato la propria autorità di certificazione TLS (CA) di fiducia per risolvere i problemi di accesso al sito Web che si sono accumulati dopo che le sanzioni hanno impedito il rinnovo dei certificati.
Le sanzioni imposte dalle società e dai governi occidentali stanno impedendo ai siti russi di rinnovare i certificati TLS esistenti, facendo sì che i browser blocchino l’accesso ai siti con certificati scaduti.
I certificati TLS aiutano il browser web a confermare che un dominio appartiene a un’entità verificata e che lo scambio di informazioni tra l’utente e il server è crittografato.
Le autorità firmatarie basate su paesi che hanno imposto sanzioni alla Russia non possono più accettare pagamenti per i loro servizi, lasciando molti siti senza mezzi pratici per rinnovare i certificati in scadenza.
Dopo la scadenza di un certificato, i browser Web come Google Chrome, Safari, Microsoft Edge e Mozilla Firefox visualizzeranno avvisi a pagina intera che indicano che le pagine non sono sicure, il che può allontanare molti utenti dal sito.
Un’autorità domestica
Lo stato russo ha immaginato una soluzione in un’autorità di certificazione nazionale per l’emissione e il rinnovo indipendenti di certificati TLS.
“Sostituirà il certificato di sicurezza estero se revocato o scaduto. Il Ministero dello Sviluppo Digitale fornirà un analogo domestico gratuito. Il servizio viene fornito alle persone giuridiche – proprietari di siti su richiesta entro 5 giorni lavorativi”, spiega il portale russo dei servizi pubblici, Gosuslugi (tradotto).
Tuttavia, affinché le nuove autorità di certificazione (CA) siano considerate affidabili dai browser Web, è necessario prima che vengano verificate da varie società, il che può richiedere molto tempo.
Attualmente, gli unici browser Web che riconoscono la nuova CA russa come affidabile sono il browser Yandex con sede in Russia e i prodotti Atom, quindi agli utenti russi viene detto di usarli al posto di Chrome, Firefox, Edge, ecc.
I siti che hanno già ricevuto e stanno attualmente utilizzando questi certificati forniti dallo stato includono Sberbank, VTB e la Banca centrale russa.
I media russi hanno anche diffuso un elenco con 198 domini che, secondo quanto riferito, hanno ricevuto un avviso per l’utilizzo del certificato TLS nazionale, ma per ora il suo utilizzo non è stato reso obbligatorio .
Una proposta problematica
Gli utenti di altri browser come Chrome o Firefox possono aggiungere manualmente il nuovo certificato radice russo per continuare a utilizzare i siti russi che presentano il certificato emesso dallo stato.
Tuttavia, ciò solleva la preoccupazione che la Russia possa abusare del proprio certificato radice CA per eseguire l’intercettazione del traffico HTTPS e attacchi man-in-the-middle.
Questo abuso porterebbe alla fine all’aggiunta del nuovo certificato radice all’elenco di revoche di certificati (CRL).
Fonte: BleepingComputer
Ciò renderebbe questi certificati nazionali non validi e Chrome, Edge e Firefox bloccherebbero l’accesso a tutti i siti Web che li utilizzano.
Le autorità di certificazione dovrebbero essere universalmente attendibili. Tuttavia, poiché la Russia non gode attualmente di alcun livello di fiducia, è improbabile che i principali fornitori di browser li aggiungano ai propri archivi di certificati radice.
La Russia ha adottato alcune misure drastiche per ridurre l’impatto delle sanzioni occidentali sulla sua economia. Molti hanno presunto che sia giunto il momento di tagliare i legami con Internet globale e spingere i suoi netizen su “Runet”.
In risposta a queste voci, il ministero russo per le tecnologie digitali ha negato categoricamente che ci sia un piano per spegnere Internet dall’interno in una dichiarazione condivisa con i notiziari locali.