Импортозамещение экосистемы TLS/SSL от StormWall

В 2022 году владельцы части российских веб-ресурсов в силу ряда причин, от санкционных до регуляторных, столкнулись с необходимостью использования SSL-сертификатов, выданных российскими центрами сертификации и рекомендацией использования отечественных алгоритмов шифрования (т.н. ГОСТ TLS). Особенно это актуально для госструктур и банковской сферы.

Однако поддержкой российских УЦ и алгоритмов пока может похвастаться относительно небольшой процент браузеров (среди которых Яндекс.Браузер, Chromium Gost, VK Atom), а также пользователи со специально установленным криптопровайдером. Пользователи же распространенных Chrome, Safari, Firefox и др., в которых нет поддержки российских криптоалгоритмов при использовании TLS вынуждены видеть сообщение об ошибке (см. ниже).



Что это значит?
TLS (и его более известный предшественник SSL) – это набор криптографических стандартов, которые обеспечивают безопасность Интернета путем проверки подлинности ресурса и шифрования данных, передаваемых между браузером и сервером. Таким образом, снижается вероятность кражи данных при их пересылке, а также существенно усложняются атаки типа “фишинг” и “Man in the Middle (MITM)”.

До недавнего времени многие российские предприятия приобретали и обновляли сертификаты для сайтов у зарубежных компаний, например DigiCert (GeoTrust, Thawte, RapidSSL), Sectigo, IdenTrust или GlobalSign. Однако в настоящий момент для части пользователей затруднена либо ограничена покупка таких сертификатов, а в некоторых отраслях необходима установка российского TLS-сертификата.

Для этого в России создается своя экосистема, позволяющая проверять подлинность цифровых сертификатов при соблюдении принципов импортонезависимости, предполагающая использование собственных удостоверяющих центров и алгоритмов (ГОСТ Р 34.10-2012).

Как работает решение StormWall
В первую очередь, наши разработчики реализовали полную “нативную” поддержку серверных ГОСТ SSL сертификатов, выданных УЦ (алгоритм подписи ГОСТ Р 34.10-2012). Также мы реализовали поддержку блочных шифров “Кузнечик” и “Магма”, чтобы полностью удовлетворить требования регуляторов.

Следующим шагом была реализация одновременной поддержки ГОСТ- и стандартных SSL/TLS-сертификатов, а также обоих наборов шифров, которую можно включить для одного и того же сайта.

Система защиты StormWall во время “рукопожатия” HTTPS определяет набор поддерживаемых шифров. Если клиент поддерживает ГОСТ — используется ГОСТ-сертификат и шифрование, а если нет — стандартные механизмы SSL/TLS. Таким образом, все пользователи могут получить доступ к ресурсу: ниже пример того, как для одного и того же сайта отображаются разные сертификаты в зависимости от браузера.


Информация о сертификате сайта в другом популярном браузере, на примере Google Chrome


Информация о сертификате сайта в российском браузере

Установить российский SSL-сертификат, можно самостоятельно в личном кабинете. Чтобы включить его одновременную работу со стандартным сертификатом TLS (в т.ч., выданным Let's Encrypt), обратитесь в техническую поддержку StormWall, которая работает круглосуточно.
stormwall.pro