Rusland etablerer sin egen TLS-myndighed for at omgå internationale sanktioner

11. marts 2022 kl. 10:338
Rusland etablerer sin egen TLS-myndighed for at omgå internationale sanktioner
Illustration: Screenshot af svendborg.dk, Søs Grützmeier.
Et russisk sidestykke til TLS certificate authority skal omgå internationale sanktioner og opretholde russiske hjemmesider.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Rusland har etableret sin egen TLS certificate authority for at omgå internationale sanktioner.

Det skriver Bleeping Computer.

»Det vil erstatte det udenlandske sikkerhedscertifikat, hvis det tilbagekaldes eller udløber. Ministeriet for Digital Udvikling vil levere et gratis nationalt sidestykke. Tjenesten leveres efter anmodning til hjemmesideejere inden for fem arbejdsdage,« fremgår det af Gosuslugi, der er en russisk statsdreven informationsportal.

Læs også: Tidligere ICANN-chef: Sanktioner skal indgå i administration af internettet

Artiklen fortsætter efter annoncen

De nuværende certifikater kan ikke fornyes, da sanktionerne betyder, at en stor del af internationale virksomheder ikke tager imod betaling fra Rusland. De manglende certifikater medfører, at brugere af gængse browsere som Google Chrome, Safari, Microsoft Edge og Mozilla Firefox bliver mødt af en advarselsmeddelelser, hvis de forsøger at tilgå hjemmesiderne.

Det kan få flere brugere til at holde sig væk. Derfor er russiske brugere blevet anmodet om at bruge russiske browsere fra Yandex og Atom.

Læs også: Invasionen i Ukraine skaber usikkerhed om cyberforsikringers dækning

Derudover vurderer Bleeping Computer, at det er usandsynligt, at de mest udbredte browsere vil anerkende det russiske sikkerhedscertifikat som sikkert.

Tilmeld dig V2 Security 2022 | Danmarks største messe om cybersikkerhed


Tilmeld dig messen her

Fokus
,
Emner
8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
Michael Cederberg
11. marts 2022 kl. 18:38

Der er nu også snak om at lukke for DNS sådan at alt skal gennem officielle russiske DNS services. Det vil naturligvis ikke virke og derfor bliver det næste måske at gå i ø-mode. Dvs. at cutte forbindelsen for de fleste. Får vi så en fork i diverse blockchains?

  • more_vert
    • insert_linkKopier link
7
Jesper Lund
11. marts 2022 kl. 16:14

Og derfor må vi antage, at de gængse webbrowsere og operativsystemer i den vestlige verden ikke stoler på certifikater, der er signeret af denne Russiske certifikatmyndighed. Ellers kan vi lige så godt afskaffe HTTPS og TLS, og køre al vores trafik ukrypteret.

Nederst på denne side er der et CA root cert, som folk, der stoler på den russiske stat, kan downloade til deres browser.

Manuel installation af root certs er lidt mere bøvlet end EU-strategien med forslaget om revision af eIDAS-forordningen.

(Måske ironisk ment, men ikke nødvendigvis).

  • more_vert
    • insert_linkKopier link
6
Maciej Szeliga
11. marts 2022 kl. 16:06

Spot on!</p>
<p>Og derfor må vi antage, at de gængse webbrowsere og operativsystemer i den vestlige verden ikke stoler på certifikater, der er signeret af denne Russiske certifikatmyndighed. Ellers kan vi lige så godt afskaffe HTTPS og TLS, og køre al vores trafik ukrypteret.

Enhver der stoler blindt på HTTPS / TLS er, undskyld, dum i låget.

De fleste corporate firewalls laver https inspection og det gør de ved at snuppe certifikatet og erstatte med sit eget, det samme gør en stor del af div. sikkerhedsprodukter... bare check efter - normal https er stort set ikke noget værd på nuværende tidspunkt. Lenovo lavede samme trick for nogle år siden og det blev der stor ballade af. Det er ikke andet end at skubbe et "gyldigt" CA certifikat ind på computeren.

Hvis det er så nemt, så er det værdiløst.

Det her er ikke for at vi skal stole på dem - det tror jeg de er ret ligeglade med - det er for at deres sites fortsat skal virke krypteret internt i Rusland. Lige nu kan CA'erne principielt dumpe samtlige russiske domæner og alle browsere i Rusland vil gå bananas.

  • more_vert
    • insert_linkKopier link
5
Morten Brørup
11. marts 2022 kl. 15:20

Men det giver dem mulighed for at udstede egne certifikater til domænerne og der igennem kan de lave man in the middle. Jeg ville i hvertfald ikke stole på en sikker forbindelse etableret med et certifikat fra dem.

Spot on!

Og derfor må vi antage, at de gængse webbrowsere og operativsystemer i den vestlige verden ikke stoler på certifikater, der er signeret af denne Russiske certifikatmyndighed. Ellers kan vi lige så godt afskaffe HTTPS og TLS, og køre al vores trafik ukrypteret.

  • more_vert
    • insert_linkKopier link
4
Rune Juhl-Petersen
11. marts 2022 kl. 12:19

Men det giver dem mulighed for at udstede egne certifikater til domænerne og der igennem kan de lave man in the middle. Jeg ville i hvertfald ikke stole på en sikker forbindelse etableret med et certifikat fra dem.

  • more_vert
    • insert_linkKopier link
3
Henrik Biering
11. marts 2022 kl. 12:10

Det får man ikke mulighed for kun ved at udstede et certifikat. Dekryptering af trafikken kræver adgang til den private del af certifikatets nøgle, og den skal CA'en ikke have for at kunne udstede certifikatet.

Du har ret for så vidt nøglegenerering og certifikatudstedelse sker som den bør.

Det er så bare netop det, man dels ud fra formuleringen (af oversættelsen) og dels ud fra den manglende anbefaling af allerede bredt accepterede gratis certifikater kan være ret meget i tvivl om. Du skal ikke regne med at russiske myndigheder nødvendigvis spiller efter reglerne, f.eks. i dette tilfælde mht hvor nøglerne genereres.

  • more_vert
    • insert_linkKopier link
1
Henrik Biering
11. marts 2022 kl. 11:19

Som det også fremgår af kommentarsporet på Bleeping Computer er den russiske myndigheds formål nok snarere at kunne intercepte kommunikationen til og fra virksomhederne. Og samtidigt tvinge brugerne over på russisk kontrollerede browsere.

Hvis formålet var at gøre siderne mere tilgængelige kunne man jo blot have henvist til LetsEncrypt eller en anden gratis certifikatudbyder.

  • more_vert
    • insert_linkKopier link