Rusland etablerer sin egen TLS-myndighed for at omgå internationale sanktioner

8 kommentarer.  Hop til debatten
Rusland etablerer sin egen TLS-myndighed for at omgå internationale sanktioner
Illustration: Screenshot af svendborg.dk, Søs Grützmeier.
Et russisk sidestykke til TLS certificate authority skal omgå internationale sanktioner og opretholde russiske hjemmesider.
11. marts kl. 10:33
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Rusland har etableret sin egen TLS certificate authority for at omgå internationale sanktioner.

Det skriver Bleeping Computer.

»Det vil erstatte det udenlandske sikkerhedscertifikat, hvis det tilbagekaldes eller udløber. Ministeriet for Digital Udvikling vil levere et gratis nationalt sidestykke. Tjenesten leveres efter anmodning til hjemmesideejere inden for fem arbejdsdage,« fremgår det af Gosuslugi, der er en russisk statsdreven informationsportal.

Læs også: Tidligere ICANN-chef: Sanktioner skal indgå i administration af internettet

Artiklen fortsætter efter annoncen

De nuværende certifikater kan ikke fornyes, da sanktionerne betyder, at en stor del af internationale virksomheder ikke tager imod betaling fra Rusland. De manglende certifikater medfører, at brugere af gængse browsere som Google Chrome, Safari, Microsoft Edge og Mozilla Firefox bliver mødt af en advarselsmeddelelser, hvis de forsøger at tilgå hjemmesiderne.

Det kan få flere brugere til at holde sig væk. Derfor er russiske brugere blevet anmodet om at bruge russiske browsere fra Yandex og Atom.

Læs også: Invasionen i Ukraine skaber usikkerhed om cyberforsikringers dækning

Derudover vurderer Bleeping Computer, at det er usandsynligt, at de mest udbredte browsere vil anerkende det russiske sikkerhedscertifikat som sikkert.

Tilmeld dig V2 Security 2022 | Danmarks største messe om cybersikkerhed


Tilmeld dig messen her

8 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
8
11. marts kl. 18:38

Der er nu også snak om at lukke for DNS sådan at alt skal gennem officielle russiske DNS services. Det vil naturligvis ikke virke og derfor bliver det næste måske at gå i ø-mode. Dvs. at cutte forbindelsen for de fleste. Får vi så en fork i diverse blockchains?

7
11. marts kl. 16:14

Og derfor må vi antage, at de gængse webbrowsere og operativsystemer i den vestlige verden ikke stoler på certifikater, der er signeret af denne Russiske certifikatmyndighed. Ellers kan vi lige så godt afskaffe HTTPS og TLS, og køre al vores trafik ukrypteret.

Nederst på denne side er der et CA root cert, som folk, der stoler på den russiske stat, kan downloade til deres browser.

Manuel installation af root certs er lidt mere bøvlet end EU-strategien med forslaget om revision af eIDAS-forordningen.

(Måske ironisk ment, men ikke nødvendigvis).

6
11. marts kl. 16:06

Spot on!</p>
<p>Og derfor må vi antage, at de gængse webbrowsere og operativsystemer i den vestlige verden ikke stoler på certifikater, der er signeret af denne Russiske certifikatmyndighed. Ellers kan vi lige så godt afskaffe HTTPS og TLS, og køre al vores trafik ukrypteret.

Enhver der stoler blindt på HTTPS / TLS er, undskyld, dum i låget.

De fleste corporate firewalls laver https inspection og det gør de ved at snuppe certifikatet og erstatte med sit eget, det samme gør en stor del af div. sikkerhedsprodukter... bare check efter - normal https er stort set ikke noget værd på nuværende tidspunkt. Lenovo lavede samme trick for nogle år siden og det blev der stor ballade af. Det er ikke andet end at skubbe et "gyldigt" CA certifikat ind på computeren.

Hvis det er så nemt, så er det værdiløst.

Det her er ikke for at vi skal stole på dem - det tror jeg de er ret ligeglade med - det er for at deres sites fortsat skal virke krypteret internt i Rusland. Lige nu kan CA'erne principielt dumpe samtlige russiske domæner og alle browsere i Rusland vil gå bananas.

5
11. marts kl. 15:20

Men det giver dem mulighed for at udstede egne certifikater til domænerne og der igennem kan de lave man in the middle. Jeg ville i hvertfald ikke stole på en sikker forbindelse etableret med et certifikat fra dem.

Spot on!

Og derfor må vi antage, at de gængse webbrowsere og operativsystemer i den vestlige verden ikke stoler på certifikater, der er signeret af denne Russiske certifikatmyndighed. Ellers kan vi lige så godt afskaffe HTTPS og TLS, og køre al vores trafik ukrypteret.

4
11. marts kl. 12:19

Men det giver dem mulighed for at udstede egne certifikater til domænerne og der igennem kan de lave man in the middle. Jeg ville i hvertfald ikke stole på en sikker forbindelse etableret med et certifikat fra dem.

3
11. marts kl. 12:10

Det får man ikke mulighed for kun ved at udstede et certifikat. Dekryptering af trafikken kræver adgang til den private del af certifikatets nøgle, og den skal CA'en ikke have for at kunne udstede certifikatet.

Du har ret for så vidt nøglegenerering og certifikatudstedelse sker som den bør.

Det er så bare netop det, man dels ud fra formuleringen (af oversættelsen) og dels ud fra den manglende anbefaling af allerede bredt accepterede gratis certifikater kan være ret meget i tvivl om. Du skal ikke regne med at russiske myndigheder nødvendigvis spiller efter reglerne, f.eks. i dette tilfælde mht hvor nøglerne genereres.

1
11. marts kl. 11:19

Som det også fremgår af kommentarsporet på Bleeping Computer er den russiske myndigheds formål nok snarere at kunne intercepte kommunikationen til og fra virksomhederne. Og samtidigt tvinge brugerne over på russisk kontrollerede browsere.

Hvis formålet var at gøre siderne mere tilgængelige kunne man jo blot have henvist til LetsEncrypt eller en anden gratis certifikatudbyder.