Rússia cria sua própria Autoridade Certificadora

A Rússia vislumbrou uma solução no acesso a sites que utiliza o padrão HTTPS, através em uma autoridade de certificação doméstica

O estado russo vislumbrou uma solução no acesso a sites que utiliza o padrão HTTPS, através em uma autoridade de certificação doméstica para a emissão e renovação independente de certificados raízes existentes nos navegadores e aplicações.

Por Adriano Frare

“Ele substituirá o certificado de segurança estrangeiro se for revogado ou expirar. O Ministério do Desenvolvimento Digital fornecerá um analógico doméstico gratuito.

O serviço é fornecido a pessoas jurídicas – proprietários de sites mediante solicitação em 5 dias úteis”, explica o portal russo de serviços públicos, Gosuslugi (traduzido).

No entanto, para que as novas Autoridades de Certificação (CA) sejam confiáveis ​​pelos navegadores da Web, elas primeiro precisam ser examinadas por várias empresas, o que pode levar muito tempo.

Atualmente, os únicos navegadores da Web que reconhecem a nova CA da Rússia como confiável são o navegador Yandex baseado na Rússia e os produtos Atom, então os usuários russos são instruídos a usá-los em vez do Chrome, Firefox, Edge, etc.

Os sites que já receberam e estão usando esses certificados fornecidos pelo estado, os quais incluem Sberbank, VTB e o Banco Central da Rússia.

A mídia russa também está circulando uma lista com 198 domínios que supostamente receberam um aviso para usar o certificado TLS doméstico, mas, por enquanto, seu uso não é obrigatório.

Problemas que os usuários russos irão ter.

Os usuários de outros navegadores, como Chrome ou Firefox, podem adicionar manualmente o novo certificado raiz russo para continuar usando sites russos que apresentam o certificado emitido pelo estado.

Desta maneira, para se tornar um certificado raiz confiável, os usuários russos terão que manualmente instalarem em seus computadores.

Isso tornaria esses certificados domésticos válidos e o Chrome, Edge e Firefox e desta maneira permitem o acesso aos sites que contém os certificados de TLS emitidos pela autoridade certificadora russa.

No entanto, isso levanta a preocupação de que a Rússia possa abusar de seu certificado raiz   para realizar interceptação de tráfego HTTPS e ataques man-in-the-middle.

Autoridades de certificação devem ser universalmente confiáveis. No entanto, como a Rússia atualmente não desfruta de nenhum nível de confiança, é improvável que os principais fornecedores de navegadores os adicionem aos seus repositórios de certificados raiz.

A Rússia tomou algumas medidas drásticas para diminuir o impacto das sanções ocidentais em sua economia. Muitos presumiram que chegou a hora de cortar os laços com a internet global e empurrar seus internautas para o “Runet”.

Em resposta a esses rumores, o ministério russo negou categoricamente que haja um plano para desligar a internet de dentro em um comunicado compartilhado com agências de notícias locais.

Em suma, o governo russo está se preparando pra diminuir a dependência de instituições externas no que tangem ao acesso à Internet e demais serviços e componentes atrelados.

Sobre o Adriano V.L. Frare

Adriano V.L. Frare é graduado em Bacharelado em Matemática com ênfase em Processamento de Dados FSA – Centro Universitário Fundação Santo André, com curso de especialização na Universidade de Stanford na área de criptografia, detém certificações internacionais em ITIL, Ethical Hacking, LPI Linux Security e CISSP.

Nos últimos 15 anos vem desenvolvendo projetos na área de segurança da informação e certificação digital, onde trabalhou na iniciativa pública e privada.

Leia outros artigos de Adriano. Acesse aqui!

Putin Warns Russian Critical Infrastructure to Brace for Potential Cyber Attacks

Edward Snowden denuncia a Russia como o novo Big Brother

Ransomware “Bad Rabbit” atinge a Ucrânia e a Rússia