E a Rússia criou sua própria autoridade de certificação TLS para contornar sanções impostas por empresas e governos ocidentais.
Os certificados TLS ajudam o navegador da Web a confirmar que um domínio pertence a uma entidade verificada e que a troca de informações entre o usuário e o servidor é criptografada.
As sanções impostas por empresas e governos ocidentais estão impedindo que sites russos renovem certificados TLS existentes, fazendo com que os navegadores bloqueiem o acesso a sites com certificados expirados.
Agora, a Rússia criou sua própria autoridade de certificação TLS (CA) confiável para resolver problemas de acesso a sites que se acumularam depois que as sanções impediram a renovação de certificados.
Rússia criou sua própria autoridade de certificação TLS para contornar sanções
As autoridades signatárias baseadas em países que impuseram sanções à Rússia não podem mais aceitar pagamentos por seus serviços, deixando muitos sites sem meios práticos para renovar certificados expirados.
Após a expiração de um certificado, navegadores como Google Chrome, Safari, Microsoft Edge e Mozilla Firefox exibirão avisos de página inteira informando que as páginas são inseguras, o que pode afastar muitos usuários do site.
O estado russo vislumbrou uma solução em uma autoridade de certificação doméstica para a emissão e renovação independente de certificados TLS.
“Ele substituirá o certificado de segurança estrangeiro se for revogado ou expirar. O Ministério do Desenvolvimento Digital fornecerá um analógico doméstico gratuito. O serviço é fornecido a pessoas jurídicas – proprietários de sites mediante solicitação em 5 dias úteis.” explica o portal russo de serviços públicos, Gosuslugi (traduzido).
No entanto, para que as novas Autoridades de Certificação (CA) sejam confiáveis pelos navegadores da Web, elas primeiro precisam ser examinadas por várias empresas, o que pode levar muito tempo.
Atualmente, os únicos navegadores da Web que reconhecem a nova CA da Rússia como confiável são o navegador Yandex baseado na Rússia e os produtos Atom, então os usuários russos são instruídos a usá-los em vez do Chrome, Firefox, Edge, etc.
Os sites que já receberam e estão usando esses certificados fornecidos pelo estado incluem Sberbank, VTB e o Banco Central da Rússia.
A mídia russa também está circulando uma lista com 198 domínios que supostamente receberam um aviso para usar o certificado TLS doméstico, mas, por enquanto, seu uso não é obrigatório.
Os usuários de outros navegadores, como Chrome ou Firefox, podem adicionar manualmente o novo certificado raiz russo para continuar usando sites russos que apresentam o certificado emitido pelo estado.
No entanto, isso levanta a preocupação de que a Rússia possa abusar de seu certificado raiz CA para realizar interceptação de tráfego HTTPS e ataques man-in-the-middle.
Esse abuso acabaria levando à adição do novo certificado raiz à lista de revogação de certificados (CRL).
Isso tornaria esses certificados domésticos inválidos e o Chrome, Edge e Firefox bloqueariam o acesso a qualquer site que os usasse.
Autoridades de certificação devem ser universalmente confiáveis. No entanto, como a Rússia atualmente não desfruta de nenhum nível de confiança, é improvável que os principais fornecedores de navegadores os adicionem aos seus repositórios de certificados raiz.
A Rússia tomou algumas medidas drásticas para diminuir o impacto das sanções ocidentais em sua economia. Muitos presumiram que chegou a hora de cortar os laços com a internet global e empurrar seus internautas para o “Runet”.
Em resposta a esses rumores, o Ministério de Tecnologias Digitais da Rússia negou categoricamente que haja um plano para desligar a internet de dentro em um comunicado compartilhado com agências de notícias locais.
