تلقى مستخدمو بوابة الخدمات العامة في الاتحاد الروسي (gosuslugi.ru) إشعارًا بإنشاء هيئة تصديق حكومية بشهادة TLS جذرية خاصة بها، وهي غير مُدرجة في تخزين شهادات TLS الجذرية لأنظمة التشغيل والمتصفحات الرئيسية. تُصدر هذه الشهادات طوعيًا للكيانات القانونية، وهي مُخصصة للاستخدام في حالات إلغاء شهادات TLS أو توقف تجديدها نتيجةً للعقوبات. على سبيل المثال، توقفت هيئات التصديق الخاضعة للولاية القضائية الأمريكية، مثل DigiCert، عن إصدار الشهادات لمواقع الويب التابعة للمنظمات المدرجة في قائمة العقوبات.
حاليًا، تُدمج شهادة الجذر الحكومية فقط في منتجات Yandex.Browser وAtom. لضمان ثقة المواقع التي تستخدم شهادات من هيئة التصديق الحكومية في متصفحات أخرى، يلزم إضافة شهادة الجذر يدويًا إلى مخزن شهادات النظام أو المتصفح.
من بين المواقع التي حصلت بالفعل على شهادات TLS حكومية، بنوك مختلفة (Sber، VTB، البنك المركزي) وهيئات ومشاريع تابعة لجهات حكومية. حتى وقت كتابة هذا التقرير، لا تزال المواقع الرئيسية لـ Sber وVTB تستخدم شهادات TLS التقليدية المدعومة في جميع المتصفحات، ولكن تم بالفعل نقل بعض النطاقات الفرعية (مثل online-alpha.vtb.ru) إلى الشهادة الجديدة.
إذا تم فرض سلطة تصديق جديدة أو اكتشاف انتهاكات مثل هجمات MITM، فمن المرجح أن يتخذ صناع Firefox وChrome وEdge وSafari إجراءات لإضافة شهادة الجذر المثيرة للمشاكل إلى قائمة الشهادات الملغاة، كما تم بالفعل مع الشهادة التي تم تنفيذها لاعتراض حركة مرور HTTPS في كازاخستان.
المصدر: opennet.ru
