Представитель «Яндекса» заявил «Коммерсанту», что компания не создаёт бета-версию Яндекс.Браузера, где применяются российские алгоритмы шифрования, согласованные с Минкомсвязью и ФСБ. Глава рабочей подгруппы «Интернет + суверенитет» при администрации президента Илья Массух, для той же публикации «Коммерсанта», рассказал журналистам что подобные работы, всё-таки, ведутся.
Любой сайт должен быть совместим со всеми популярными браузерами и операционными системами, это не должно зависеть от специальных региональных настроек или предустановки дополнительного корневого сертификата специально для российских пользователей, — сообщил представитель «Яндекса».
В свою очередь принадлежащий «Ростелекому» поисковик «Спутник» подтвердил создание браузера с защитой по ГОСТу:
В самое ближайшее время начнётся тестирование браузера в рамках существующих соглашений и контрактов «Спутника» и «Ростелеком» и сертификация браузера в ФСБ России.
«Спутник» объяснил, что поводом для создания их браузера стала защита HTTPS соединений закрытыми модулями иностранного происхождения. Шифрование для разработки «Ростелекома» предоставила компания «КриптоПро». Дополнительно «Спутник» получит плагин для работы с с электронной подписью. Как предполагают создатели плагин пригодится для защищенного документооборота внутри ведомств (то есть браузер «Спутника» станет обязательным для использования), работы на электронных торговых площадках и в других неназванных сервисах.
Одним из крупнейших госсервисов в сети сегодня являются «Госуслуги». Сейчас они не требуют обязательного использования российских браузеров — то есть согласованные с ФСБ сертификаты браузеров не используются. Массух предупредил «Коммерсант», что первыми российские алгоритмы шифрования будут использовать сайты органов власти, портал госуслуг и, возможно, некоторые банки. Таким образом посетители этих сайтов, с неподходящими браузерами, увидят предупреждения, что для продолжения работы им лучше использовать, например, браузер «Ростелекома».
Из наблюдений за работой интернета в соседнем Казахстане можно предположить, что интеграция государственных «сертификатов» в браузер позволяет властям (в теории и при желании) получать доступ к ранее недоступному и закрытому от них HTTPS-трафику. Securitylab.ru со ссылкой на ComputerWorld.kz писал в декабре 2015, что пользовательский HTTPS-трафик можно перехватывать и перешифровывать с помощью подставных «сертификатов». «Национальный сертификат безопасности защитит граждан РК при использовании протоколов шифрованного доступа к зарубежным интернет-ресурсам», — говорили официальные представители Республики. Эксперт Денис Батранков объяснил полгода назад сложности полного гос-покрытия всех шифрованных коммуникаций. Примеров полного раскрытия всех коммуникаций властям в мире пока нет. Тем не менее, сложности преодолимы, если речь идёт только о государственном прикрытии внутренних государственных же систем государственным шифром по ГОСТу.
«Форкать» ветку Браузера придётся. Затем поддерживать 2 версии и половине пользователей объяснять, что их версия «не та». Одна из разновидностей Яндекс.Браузера будет обновляться в близком к реальному времени, вслед за Chrome или даже быстрее. Вторую же, полицейскую версию, без повторной проводки через органы вообще не поменяешь ни на байт.
Сама по себе сертификация народных изделий нужна для постановки государственных закладок, но не для безопасности народа. Известен пример, где операционка ScreenOS, в которой нашли два бэкдора («дырки» для негласного подключения энтузиастов злоумышленников, но не полицаев-сертификаторов), оказалась сертифицирована российской ФСТЭК по третьему классу защищенности. И всё нормально!
«Ростелекому» описанные сложности до лампочки. Их браузером и так никто не пользуется и пока даже не планирует. Любая принудиловка будет лишь расширять аудиторию «Спутника». Или снижать аудиторию сайту «Госуслуг» и сайту «Сбербанка». Если потребители, в силу замороченности продукта, предпочтут ногами сходить в мультифункциональные центры обслуживания для трудящихся (там сейчас хорошо, кстати, быстро всё делают) или воспользуются мобильным приложением, а не браузером.
Излишне и говорить, что бандиты не станут для своих коммуникаций использовать красный браузер. То есть вопрос борьбы с бандитизмом решён не будет. Немного защищённее могут стать коммуникации государство-государство, а трудящимся, как всегда, достанется один х** Зачем это Яндексу? Пока не ясно. Ясно что владелец золотой акции «Сбербанк», Герман Греф и Волошин — будут упрашивать Яндекс сделать версию браузера с сертификацией.
P. S. Как только появится красная версия Яндекс.Браузера — тут же пойдут слухи, что и обычная версия — точно такая же прослушиваемая силовиками безвозбранно и насквозь.