A Rússia criou a sua própria autoridade de certificação TLS (CA) confiável para resolver problemas de acesso a sites que se acumularam depois que as sanções impediram a renovação de certificados.

As sanções impostas por empresas e governos ocidentais estão a impedir que sites russos renovem certificados TLS existentes, fazendo com que os navegadores bloqueiem o acesso a sites com certificados expirados.

Os certificados TLS ajudam o navegador da Web a confirmar que um domínio pertence a uma entidade verificada e que a troca de informações entre o usuário e o servidor é criptografada.

As autoridades signatárias baseadas em países que impuseram sanções à Rússia não podem mais aceitar pagamentos para os seus serviços, e isso tem deixado muitos sites sem meios práticos para renovar certificados expirados.

Após a expiração de um certificado, navegadores da Web como Google Chrome, Safari, Microsoft Edge e Mozilla Firefox exibirão avisos de página inteira informando que as páginas são inseguras, o que pode afastar muitos usuários do site.

• Uma autoridade doméstica

O estado russo  vislumbrou uma solução  em uma autoridade de certificação nacional para a emissão e renovação independente de certificados TLS.

“Ele substituirá o certificado de segurança estrangeiro se for revogado ou expirar. O Ministério do Desenvolvimento Digital fornecerá um analógico doméstico gratuito. O serviço é prestado a pessoas jurídicas – proprietários de sites mediante solicitação em 5 dias úteis”, explica o portal russo de serviços públicos, Gosuslugi.

No entanto, para que as novas Autoridades de Certificação (CA) sejam confiáveis ​​pelos navegadores da Web, elas primeiro precisam ser examinadas por várias empresas, o que pode levar muito tempo.

Actualmente, os únicos navegadores da Web que reconhecem a nova CA da Rússia como confiável são o navegador Yandex baseado na Rússia e os produtos Atom, então os usuários russos são instruídos a usá-los em vez do Chrome, Firefox, Edge, etc.

Os sites que já receberam e estão a usar esses certificados fornecidos pelo estado incluem Sberbank, VTB e o Banco Central da Rússia.

A mídia russa também está a circular uma lista com 198 domínios que supostamente receberam um aviso para usar o certificado TLS doméstico, mas, por enquanto, o seu uso não é obrigatório.

MAIS: Lumen, empresa fornecedora de Internet, decidiu abandonar a Rússia

• Uma proposta problemática

Os usuários de outros navegadores, como Chrome ou Firefox, podem adicionar manualmente o novo certificado raiz russo para continuar a usar sites russos que apresentam o certificado emitido pelo estado.

No entanto, isso levanta a preocupação de que a Rússia possa abusar de seu certificado raiz CA  para realizar interceptação de tráfego HTTPS e ataques man-in-the-middle. Esse abuso acabaria por levar à adição do novo certificado raiz à lista de revogação de certificados (CRL).

Isso tornaria esses certificados domésticos inválidos e o Chrome, Edge e Firefox bloqueariam o acesso a qualquer site que os usasse.

As autoridades de certificação devem ser universalmente confiáveis. No entanto, como a Rússia actualmente não desfruta de nenhum nível de confiança, é improvável que os principais fornecedores de navegadores os adicionem aos seus repositórios de certificados raiz.

A Rússia tomou algumas  medidas drásticas  para diminuir o impacto das sanções ocidentais na sua economia. Muitos presumiram que chegou a hora de cortar os laços com a internet global e empurrar os seus internautas para o “Runet”.

Em resposta a esses rumores, o Ministério russo de Tecnologias Digitais  negou categoricamente  que haja um plano para desligar a internet de dentro em um comunicado partilhado com agências de notícias locais.