Rusia ha creado su propia autoridad de certificación (CA) TLS de confianza para resolver los problemas de acceso al sitio web que se han ido acumulando después de que las sanciones impidieran la renovación de certificados.
Las sanciones impuestas por empresas y gobiernos occidentales impiden que los sitios rusos renueven los certificados TLS existentes, lo que provoca que los navegadores bloqueen el acceso a sitios con certificados vencidos.
Los certificados TLS ayudan al navegador web a confirmar que un dominio pertenece a una entidad verificada y que el intercambio de información entre el usuario y el servidor está encriptado.
Las autoridades firmantes basadas en países que han impuesto sanciones a Rusia ya no pueden aceptar pagos por sus servicios, lo que deja a muchos sitios sin medios prácticos para renovar los certificados que caducan.
Después de que vence un certificado, los navegadores web como Google Chrome, Safari, Microsoft Edge y Mozilla Firefox mostrarán advertencias de página completa de que las páginas no son seguras, lo que puede alejar a muchos usuarios del sitio.
Una autoridad nacional
El estado ruso ha previsto una solución en una autoridad de certificación nacional para la emisión y renovación independientes de certificados TLS.
“Reemplazará el certificado de seguridad extranjero si es revocado o caduca. El Ministerio de Desarrollo Digital proporcionará un análogo doméstico gratuito. El servicio se brinda a personas jurídicas: propietarios de sitios que lo soliciten dentro de los 5 días hábiles”, explica el portal de servicios públicos ruso, Gosuslugi (traducido).
Sin embargo, para que los navegadores web confíen en las nuevas autoridades de certificación (CA), primero debían ser examinadas por varias empresas, lo que puede llevar mucho tiempo.
Actualmente, los únicos navegadores web que reconocen la nueva CA de Rusia como confiables son el navegador Yandex con sede en Rusia y los productos Atom, por lo que se les dice a los usuarios rusos que los usen en lugar de Chrome, Firefox, Edge, etc.
Los sitios que ya han recibido y están utilizando actualmente estos certificados proporcionados por el estado incluyen Sberbank, VTB y el Banco Central Ruso.
Los medios rusos también han estado circulando una lista con 198 dominios que supuestamente recibieron un aviso para usar el certificado TLS nacional, pero por ahora, su uso no se ha vuelto obligatorio .
Una propuesta problemática
Los usuarios de otros navegadores como Chrome o Firefox pueden agregar manualmente el nuevo certificado raíz ruso para continuar usando los sitios rusos que cuentan con el certificado emitido por el estado.
Sin embargo, esto plantea la preocupación de que Rusia pueda abusar de su certificado raíz de CA para interceptar el tráfico HTTPS y realizar ataques de intermediarios.
Este abuso conduciría en última instancia a que el nuevo certificado raíz se agregue a la lista de revocación de certificados (CRL).
Esto invalidaría estos certificados nacionales y Chrome, Edge y Firefox bloquearían el acceso a cualquier sitio web que los utilice.
Se supone que las autoridades de certificación son de confianza universal. Sin embargo, dado que Rusia actualmente no disfruta de ningún nivel de confianza, es poco probable que los principales proveedores de navegadores los agreguen a sus almacenes de certificados raíz.
Rusia ha tomado algunas medidas drásticas para disminuir el impacto de las sanciones occidentales en su economía. Muchos han supuesto que ha llegado el momento de cortar los lazos con Internet global y empujar a sus internautas a «Runet».
En respuesta a estos rumores, el Ministerio de Tecnologías Digitales de Rusia negó rotundamente que haya un plan para apagar Internet desde adentro en un comunicado compartido con los medios de comunicación locales.
Fuente: https://www.bleepingcomputer.com