Корневой сертификат «национального удостоверяющего центра» Russian Trusted Root CA есть, а самого УЦ – нет. И быть не могло.

Тизер: это дополнительный материал к докладу «Информационная безопасность сайтов государственных органов Российской Федерации: понуждение и принуждение».

Стоило американским УЦ отозвать TLS-сертификаты у попавших под санкции российских банков, Минцифры незамедлительное презентовало корневой сертификат Russian Trusted Root CA от «национального удостоверяющего центра» (НУЦ).

Я еще тогда удивился, как это они так быстро сориентировались, и не зря. Пока вы шутили шутки про государственный MitM, поминали казахстанский опыт и пытались найти хотя бы один сайт, реально использующий этот сертификат, я искал хоть какой-то официальный документ о создании НУЦ, но не нашел ничего, кроме пресс-релиза ФГАУ НИИ «Восход», который якобы создал НУЦ якобы по поручению Минцифры и во исполнение указа Президента (следов которого тоже не обнаружил).

Интересно, что само Минцифры сулило создание НУЦ лишь в неопределенном будущем, когда будут приняты нормативно-правовые акты, регулирующие работу национального удостоверяющего центра. Еще интереснее, что аккредитация УЦ самого НИИ «Восход» была давно прекращена (см. «перечень аккредитованных УЦ, аккредитация которых прекращена») и, насколько можно судить по сайту НИИ, так и не была возобновлена.

Лишь спустя месяц Правительство впервые упомянуло НУЦ в нормативном правовом акте, а еще через 2 недели одобрило проект (!) поправок к закону «Об информации, информационных технологиях и о защите информации», которые предусматривают создание (!!!) НУЦ. На данный момент соответствующий законопроект даже не внесен (!!!!!) в Госдуму.

Минцифры не зря ссылалось на отсутствие НПА, ведь каждый чиновник хорошо знает порядок действий: сначала правительство наделяет министерство соответствующим полномочием, затем министерство, вооружившись этим полномочием, издает свой НПА о создании НУЦ, потом уже сам НУЦ сочиняет себе регламенты и прочие организационные документы, регламентирующие порядок выдачи национальных сертификатов. Только после этого и ни секундой раньше на свет появляются сертификаты от НУЦ.

Согласно действующей редакции Положения о Минцифры, оно осуществляет аккредитацию удостоверяющих центров (5.4.8) и функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров (5.4.11). Ни о каком создании собственного УЦ или самостоятельном выпуске «конечных» сертификатов в Положении речи не идет. Все соответствующие полномочия Минцифры в данной сфере перечислены на Портале УФО. Поэтому следующее заявление, содержащееся в «корневом сертификате НУЦ»: O = The Ministry of Digital Development and Communications как бы это сказать помягче… довольно смелое.

Проще говоря, Минцифры имеет полномочие заверять своим корневым сертификатом промежуточные сертификаты авторизованных УЦ, а на все остальное имеет полномочий не больше, чем на разработку правил дорожного движения. Желание и возможности могут быть, но в отсутствии полномочий, НПА и организационно-распорядительных документов – никак.

Нам же показывают корневой и промежуточный сертификаты, в полях Issuer которых присутствует атрибут O со значением The Ministry of Digital Development and Communications, что согласно IETF RFC5280 обозначает наименование выпустившего его лица. Справедливости ради стоит отметить, что в этом наименовании отсутствует окончание «and Mass Media of the Russian Federation», поэтому я просто обязан допустить, что сертификаты выпущены неким «Министерством цифрового развития и коммуникаций» из неназванной страны, которое не имеет никакого отношения к Минцифры России.

Впрочем, выяснение, кто создал (и создал ли) еще один национальный удостоверяющий центр, сгенерировал в инициативном порядке «национальный корневой сертификат» и запряг телегу впереди паровоза – вопрос малоинтересный.

Куда интереснее ответ на другой вопрос: у кого хранится закрытый ключ «национального» сертификата? Вот буквально: кто может подписать им конечный сертификат для сайта? ФИО, должность, перечень полномочий, нормативные правовые и организационно-распорядительные акты, на основании которых он действует? Если простыми словами, то кто именно понесет ответственность, если завтра появится «левый» сертификат для какого-нибудь yandex.ru, заверенный Russian Trusted Root/Sub CA?

Если вы не просто скользнули взглядом по скриншоту выше, а внимательно изучили его, то заметили, что это не тот сертификат, который доступен для загрузки на «Госуслугах». Заметить это можно только по дате начала и окончания срока действия сертификата – лень было переставлять часы на компьютере, на котором я его сгенерировал.

Во всем остальном вы не найдете отличий: это точно такой же самопальный сертификат Russian Trusted Root CA, который ничем не хуже любого другого Russian Trusted Root CA. Впрочем, еще одно отличие есть: тот сертификат загружен на «Госуслуги» неизвестным лицом с использованием служебного положения и объявлен «национальным», а мой – нет, хотя никто и не мешает.

Итак, повторю риторический вопрос: кем был создан сертификат с «Госуслуг», кто и на основании чего решил объявить его национальным и кто, соответственно, готов нести всю связанную с этим сертификатом ответственность, если известно, что якобы сгенерировавший его «национальный удостоверяющий центра» не существует в природе, якобы выпустившее его Минцифры не имеет соответствующих полномочий, а у якобы создавшего НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ?

Практический вопрос таков: если завтра кто-то ломанет ваш ЛК во ФГИС ценообразования в строительстве (единственный известный мне сайт, использующий «национальный» сертификат), а Минстрой скажет: где корневой сертификат скачивали – туда и обращайтесь, вы кому предъявлять станете?