A Rússia criou a sua própria autoridade de certificação TLS (CA) confiável para resolver problemas de acesso a sites que se acumularam depois que as sanções impediram a renovação de certificados.
As sanções impostas por empresas e governos ocidentais estão a impedir que sites russos renovem certificados TLS existentes, fazendo com que os navegadores bloqueiem o acesso a sites com certificados expirados.
Os certificados TLS ajudam o navegador da Web a confirmar que um domínio pertence a uma entidade verificada e que a troca de informações entre o usuário e o servidor é criptografada.
As autoridades signatárias baseadas em países que impuseram sanções à Rússia não podem mais aceitar pagamentos para os seus serviços, e isso tem deixado muitos sites sem meios práticos para renovar certificados expirados.
Após a expiração de um certificado, navegadores da Web como Google Chrome, Safari, Microsoft Edge e Mozilla Firefox exibirão avisos de página inteira informando que as páginas são inseguras, o que pode afastar muitos usuários do site.
- Uma autoridade doméstica
O estado russo vislumbrou uma solução em uma autoridade de certificação nacional para a emissão e renovação independente de certificados TLS.
“Ele substituirá o certificado de segurança estrangeiro se for revogado ou expirar. O Ministério do Desenvolvimento Digital fornecerá um analógico doméstico gratuito. O serviço é prestado a pessoas jurídicas – proprietários de sites mediante solicitação em 5 dias úteis”, explica o portal russo de serviços públicos, Gosuslugi.
No entanto, para que as novas Autoridades de Certificação (CA) sejam confiáveis pelos navegadores da Web, elas primeiro precisam ser examinadas por várias empresas, o que pode levar muito tempo.
Actualmente, os únicos navegadores da Web que reconhecem a nova CA da Rússia como confiável são o navegador Yandex baseado na Rússia e os produtos Atom, então os usuários russos são instruídos a usá-los em vez do Chrome, Firefox, Edge, etc.
Os sites que já receberam e estão a usar esses certificados fornecidos pelo estado incluem Sberbank, VTB e o Banco Central da Rússia.
A mídia russa também está a circular uma lista com 198 domínios que supostamente receberam um aviso para usar o certificado TLS doméstico, mas, por enquanto, o seu uso não é obrigatório.
MAIS: Lumen, empresa fornecedora de Internet, decidiu abandonar a Rússia
- Uma proposta problemática
Os usuários de outros navegadores, como Chrome ou Firefox, podem adicionar manualmente o novo certificado raiz russo para continuar a usar sites russos que apresentam o certificado emitido pelo estado.
No entanto, isso levanta a preocupação de que a Rússia possa abusar de seu certificado raiz CA para realizar interceptação de tráfego HTTPS e ataques man-in-the-middle. Esse abuso acabaria por levar à adição do novo certificado raiz à lista de revogação de certificados (CRL).
Isso tornaria esses certificados domésticos inválidos e o Chrome, Edge e Firefox bloqueariam o acesso a qualquer site que os usasse.
As autoridades de certificação devem ser universalmente confiáveis. No entanto, como a Rússia actualmente não desfruta de nenhum nível de confiança, é improvável que os principais fornecedores de navegadores os adicionem aos seus repositórios de certificados raiz.
A Rússia tomou algumas medidas drásticas para diminuir o impacto das sanções ocidentais na sua economia. Muitos presumiram que chegou a hora de cortar os laços com a internet global e empurrar os seus internautas para o “Runet”.
Em resposta a esses rumores, o Ministério russo de Tecnologias Digitais negou categoricamente que haja um plano para desligar a internet de dentro em um comunicado partilhado com agências de notícias locais.