Rússia vislumbrou uma solução no acesso a sites que utiliza o padrão HTTPS, através em uma autoridade certificadora doméstica para a emissão e renovação independente de certificados raízes existentes nos navegadores e aplicações.
“Ele substituirá o certificado de segurança estrangeiro se for revogado ou expirar. O Ministério do Desenvolvimento Digital fornecerá um analógico doméstico gratuito. O serviço é fornecido a pessoas jurídicas – proprietários de sites mediante solicitação em 5 dias úteis”, explica o portal russo de serviços públicos, Gosuslugi (traduzido).
No entanto, para que as novas Autoridades Certificadora (AC) sejam confiáveis ??pelos navegadores da Web, elas primeiro precisam ser examinadas por várias empresas, o que pode levar muito tempo.
Atualmente, os únicos navegadores da Web que reconhecem a nova AC da Rússia como confiável são o navegador Yandex baseado na Rússia e os produtos Atom, então os usuários russos são instruídos a usá-los em vez do Chrome, Firefox, Edge, etc.
Os sites que já receberam e estão usando esses certificados fornecidos pelo estado, os quais incluem Sberbank, VTB e o Banco Central da Rússia.
A mídia russa também está circulando uma lista com 198 domínios que supostamente receberam um aviso para usar o certificado TLS doméstico, mas, por enquanto, seu uso não é obrigatório.
Problemas que os usuários russos irão ter.
Os usuários de outros navegadores, como Chrome ou Firefox, podem adicionar manualmente o novo certificado raiz russo para continuar usando sites russos que apresentam o certificado emitido pelo estado.
Desta maneira, para se tornar um certificado raiz confiável, os usuários russos terão que manualmente instalarem em seus computadores.
Isso tornaria esses certificados domésticos válidos e o Chrome, Edge e Firefox e desta maneira permitem o acesso aos sites que contem o certificados de TLS emitidos pela autoridade certificadora russa.
No entanto, isso levanta a preocupação de que a Rússia possa abusar de seu certificado raiz para realizar interceptação de tráfego HTTPS e ataques man-in-the-middle.
Autoridades certificadora devem ser universalmente confiáveis. No entanto, como a Rússia atualmente não desfruta de nenhum nível de confiança, é improvável que os principais fornecedores de navegadores os adicionem aos seus repositórios de certificados raiz.
A Rússia tomou algumas medidas drásticas para diminuir o impacto das sanções ocidentais em sua economia. Muitos presumiram que chegou a hora de cortar os laços com a internet global e empurrar seus internautas para o “Runet”.
Em resposta a esses rumores, o ministério russo negou categoricamente que haja um plano para desligar a internet de dentro em um comunicado compartilhado com agências de notícias locais.
Em suma, o governo russo está se preparando pra diminuir a dependência de instituições externas no que tangem ao acesso à Internet e demais serviços e componentes atrelados.
