3 марта произошло весьма значимое, хоть и со знаком минус, событие для российского интернета. Comodo, крупнейший сервис-поставщик SSL-сертификатов, прекратил их продажу для сайтов, находящихся в доменной зоне .ru. Думаете, вас это не касается? Ошибаетесь!
Совершение покупок в интернете предполагает передачу продавцу персональных данных, в частности платежных. Разумеется, вы заключаете при этом соглашение о недопустимости их использования сайтом, кроме как для заключения сделки. Но что делать, если на них покусится кто-то еще?
Защитить ваши данные сайт может единственным способом — использовать для их передачи вместо незащищенного протокола HTTP протокол HTTPS. Он подтверждает подлинность ресурса и шифрует всю передаваемую информацию.
Чтобы подтвердить наличие на сайте этого протокола, браузер при обращении к серверу проверяет наличие ключа безопасности, который и называют SSL-сертификатом. Вы точно сталкивались с ним, если хотя бы раз совершали покупки в интернете. Сертификат обычно — удовольствие платное. Получить его можно только у специализированных провайдеров, коих в принципе немного, причем российских среди них — ни одного.
Чем грозит отзыв SSL-сертификатов?
Незащищенностью данных на всех сайтах, которые имеют либо привязанную банковскую оплату, либо личный кабинет пользователя с регистрацией. Незашифрованные данные вполне могут похитить злоумышленники и слить в Сеть либо использовать в корыстных целях — от шантажа до прямой кражи денежных средств со счетов.
Ситуация может сильно подорвать доверие к интернет-сектору у рядовых пользователей. В основном под удар попали банки и банковские сервисы. Но и у интернет-магазинов наступают непростые времена.
Что делать российскому бизнесу?
В первую очередь, понять, что оснований для паники нет. Проблема решаемая и относится, скорее, к категории неприятностей.
Начнем с того, что рынок покинул не только Comodo, но и другие SSL-провайдеры меньшего калибра, например DigiCert и Sectigo. Катастрофа ли это? Нет, потому что остались провайдеры с европейской и азиатской пропиской, которые не делают в своей политике акцента на ограничения для Рунета. Их сертификаты по-прежнему работают. Но стоить они стали дороже, что легко объяснить уходом крупных монополистов с рынка. Есть трудности и с региональными реселлерами, которые точно появятся при нынешнем векторе развития ситуации, однако на это уйдет время.
Существуют три принципиально разных варианта, решающих эту проблему.
- Платные сертификаты без гарантий. Как ни крути, самые удобные для пользования и вызывающие наибольшее доверие сервисы — американские. Далеко не все из них объявили об уходе на настоящий момент. Можно пойти на риск и все же купить SSL за океаном. Но опыт последних полутора месяцев говорит о том, что любая карета зарубежного производства в одночасье может превратиться в тыкву, и вы снова окажетесь один на один с той же проблемой. Гарантий вам никто не даст.
- Собственные сертификаты. Никто не мешает вам сделать свой сертификат, но загвоздка в том, что большинство российских пользователей плотно «сидят» на зарубежных браузерах, а они попросту не будут распознавать ваш сертификат.
- Бесплатные сертификаты. Масса компаний, например Let’s Encrypt, предоставляют SSL-сертификаты бесплатно. Однако могут возникнуть сложности с их продлением. Какие-то хостеры их продлевают сами, где-то придется делать это вручную. Вы можете просто пропустить этот момент. Отсутствует техподдержка. Если выбрать не того поставщика, есть вероятность, что сертификат не сработает. НО! Даже с учетом всех «если» на данный момент именно этот вариант видится оптимальной временной мерой.
Основной путь, выбранный Рунетом в этом случае, — импортозамещение. Уже пошли разговоры о создании отечественного сертификационного центра, который будет выдавать сертификаты, основанные на российских методах шифрования данных.
Это не решит проблему глобально. Для владельцев западных браузеров заблокировать российские SSL-сертификаты еще проще, чем отозвать ранее проданные свои же. Но в контексте внутреннего рынка такой вариант приемлем.
Наши сертификаты уже реализованы в российских браузерах «Спутник» и «Яндекс». Так что при совершении финансовых операций в российском сегменте интернета все возможности для защиты конфиденциальной информации есть.
Кроме того, существует вероятность отката ситуации на прежние позиции. Западные компании, игнорируя российский рынок, теряют колоссальные деньги. Бизнес в ущерб себе работать не умеет. Так что самое правильное сейчас — выбрать простое временное решение и занять выжидательную позицию, не делать резких движений.