Кого не устраивает безопасность в Интернет?

По адресу cabforum.org находятся страницы организации, именующей себя форумом сертификационных и браузерных регуляторов (CA/B Forum). Это неофициальный, негосударственный и никем не одобренный и не санкцинированный междусобойчик тех, кто выпускают и подписывают своими именами сертификаты шифрования, которые владельцы Интернет-ресурсов устанавливают на свои серверы Интернет-страниц, электронной почты, систем передачи сообщений, аудио- и видео-связи и другие. Время от времени представители участников «форума» собираются и голосуют по различным вопросам. Относительно недавно, в мае прошлого года, состоялось голосование по вопросу требования т.н. вторичной проверки доступа при выдаче сертификатов. Очень интересно, но ничего не понятно. Давайте разберёмся.

При выпуске сертификата выдающая организация должна установить факт контроля пользователя, запрашивающего его, над доменным именем, на которое он выдаётся. Для этого они предлагают пользователю разместить на своём ресурсе временный файл, содержимое которого они могут проверить, запросив его по незашифрованному протоколу HTTP, как обычную страницу. Это называется вторичной верификацией. Делать это они предполагают со случайных адресов где-то на земном шаре, заранее неизвестных владельцу ресурса.

С точки зрения владельцев Интернет-ресурсов, доступ к ним должен быть максимально ограничен во избежание неправомерного и нежелательного использования. Простыми словами, владелец ресурса имеет возможность заработать, если ресурс коммерческий, или решить свои иные задачи, если он некоммерческий, только если его посещает целевая аудитория — живые физические лица из обслуживаемого региона. Все за его пределами являются ненужной нагрузкой, особенно организации и особенно злоумышленники.

В силу особенностей технологической реализации Интернет, о которых я писал в целом ряде предыдущих статей серии, соблюдение прав пользователей, включая владельцев ресурсов, в нём затруднительно. Кто угодно и откуда угодно может обращаться к ресурсам с любой целью, включая противоправные, и остановить их нелегко. Только осмысленный анализ журналов может помочь в этом, то есть предотвратить доступ злоумышленников можно только пост-фактум. Когда кто-то запрашивает страницы ресурса, его владелец ещё не знает, с законными и предусмотренными ли целями они это делают или нет. Одной из мощных превентивных технологий является полная блокировка доступа из юрисдикций, в которых нет легитимных потребителей, и где права и интересы владельца ресурса невозможно защитить, а в эту категорию попадают практически все другие страны. Как я неоднократно писал, большинство ресурсов, за исключением горстки тех, кто обслуживают пользователей глобально, заинтересованы, как правило, в доступе только из своего региона.

В связи с вышеизложенным, решение сборища организаций, выдающих сертификаты, выглядит дико: они требуют, чтобы любой Интернет-ресурс был доступен отовсюду на планете, как условие выдачи или продления сертификата шифрования. Якобы это делается, чтобы укрепить безопасность пользователей, поскольку сертификаты не имеют границ. Правда ли это? Ответ очевиден: конечно же нет! Как правило доступ к региональным ресурсам из других стран — это несанкционированный доступ категорий лиц или организаций, в которых владелец ресурса не заинтересован: от воровства интеллектуальной собственности до взлома и атак с целью предотвратить работу ресурса (т.н. DDOS). В свете этого требовать от всех без исключения ресурсов на планете открывать себя для доступа со случайных адресов в Интернет может только недобросовестная организация. Вопрос с глобальным действием сертификата тоже надуманный: создать технические условия для территориальных ограничений его действительности, если этого хотели бы пользователи, не так уж сложно, просто кому-то не хочется. Становится совершенно очевидно, что CA/B Forum именно таковым и является. Несложно найти на их страницах список участников, и в нём оказываются такие глобальные монополисты, как Google, Microsoft, Аmazon, и многие другие, а так же организации из стран, где несанкционированный доступ к иностранным ресурсам является чуть ли не частью государственной политики. По странному или не очень совпадению, они же являются одновременно создателями браузеров, то есть решают, каким сертификатам доверять, а каким нет, и предоставляют услуги хостинга. Выходит, безопасность ресурсов их на самом деле не интересует, а всё как раз наоборот.

Нет, они не могут так откровенно показывать свою истинную сущность, скажет любой. Верно, они пытаются сохранить личину служения безопасности, предлагая взамен пользоваться доступом ко вторичной верификации при помощи т.н. запросов к системе доменных имён. Вот только требования к таким запросам у них технически затруднительные, а обязать всех регистраторов имён предоставлять такую услугу они не потрудились, потому что не могут: это совершенно сторонние организации, имеющие, внезапно, национальный суверенитет. Действительно, доменные имена регистрируют органы контроля каждой страны, и они свято блюдут свой суверенитет в этой области, потому что для некоторых стран это является существенным источником дохода, помимо других соображений. Отсылка к ним не стоит и выеденного яйца и служит лишь отговоркой. Подчиняясь национальному законодательству, владельцы ресурсов не обязаны предоставлять доступ никому за пределами своих стран. Видимо, это кого-то не устраивает.

Ещё интересное наблюдение: членом «форума» является один из крупнейших национальных регистраторов доменных имён, имеющий присутствие и за пределами своей страны — GoDaddy. Они-то предоставляют программный доступ для доменной верификации, а также эта же организация предоставляет услуги хостинга, с серверов и виртуальных машин которого идут непрекращающиеся хакерские атаки на ресурсы по всему миру (равно как с серверов других трёх). Ни на что не намекаю, просто отмечаю конфликт интересов и стремление получить преимущество в конкурентной борьбе. Кстати, национальные регистраторы доменных имён в «форуме» представлены мало.

При этом участники этого «форума» наотрез отказываются сообщать владельцам ресурсов, которые заинтересованы в получении сертификатов шифрования, диапазоны IP-адресов, с которых они собираются проводить вторичную верификацию. Якобы это служит для создания обстановки глобальной открытости ресурсов, то есть фактически способствует предоставлению доступа к любому ресурсу для организованной преступности со всего мира. На самом деле это лишь красивая фраза, не имеющая под собой никакой почвы и не выдерживающая никакой критики.

К слову, доменные имена обновляются не чаще, чем раз в год, и редко переходят из рук в руки, а вот срок действия бесплатных сертификатов шифрования довольно короток: от месяца до трёх. При этом выдающие их члены «форума» требуют подтверждение владением каждый раз. Не слишком ли это шикарно для них?

Самым смешным, если позволите, является то, что владельцы ресурсов всё равно могут установить эти диапазоны адресов при условии наличия некоторого опыта и программных инструментов, которые присутствуют в практически любом брандмауэре. По сути члены «форума» бьют только по тем, кто наиболее уязвимы и не обладают ни тем, ни другим: средним и малым предпринимателям и частным лицам. Совпадение?

Всё это является ещё одним примером того, что Интернет изначально небезопасен, и что все и каждая мера безопасности в нём является додумкой, причём плохо продуманной, дефектной или не соответствующей действительности. Почему-то выпуском сертификатов на доменные имена занимаются совсем не те, кто эти имена выдают, оттого и возникают надуманные сомнения по поводу владения доменными именами. Это нелепейшая ситуация, очевидная любому владельцу Интернет-ресурса, обладающему некоторой квалификацией, но только не воротилам Интернет и не национальным регулирующим органам. Если выдающая организация сомневается в том, что доменный регистратор сообщает ей верную информацию о соответствии имени ресурса адресу, с которого запрашивается сертификат, то выдачей сертификатов должны заниматься те же, кто и регистрируют имена, потому что только они могут достоверно подтвердить право собственности на имя, не прибегая к нелепейшим технологическим выкрутасам и не апеллируя к посторонним организациям, не обязанным и не заинтересованным в них участвовать.

Трудно было додуматься до этого сразу? Конечно, ведь регистрацию имён придумали до появления протоколов SSL и его сертификатов шифрования. А вот когда это случилось, вполне можно было бы додуматься принять правильное решение, но это упустили. Не пора ли поставить этот процесс с головы на ноги сейчас? Это несложно, ведь выдача доменных имён регулируется национальным законодательством каждой страны. Так чего же мы ждём? А, ну да, дело-то в том, что с регистрации имён в бюджет поступает доход, а с выдачи сертификатов — нет. Неужели это тоже сложно решить? Не верю.

Да, первое время экстра-территориальные создатели браузеров, по совпадению являющиеся глобальными монополистами и по ещё одному совпадению членами «форума», могут устроить забастовку и отказаться доверять сертификатам, выданным национальными регистраторами доменных имён. Но, поступив так, они окончательно снимут маски и покажут своё истинное лицо всей планете, чего им делать не следует.

Кто-то может сказать: какой пустяк! Я из мухи раздуваю слона. Интернет — дело добровольное, а тем более какие-то сертификаты. Но нет, это давно уже не так, с тех пор, как сотовые сети переключились на VoLTE, а государственные организации на предоставление услуг через Интернет вместо телефона и почты. Без этих сертификатов браузеры, выпущенные монополистами рынка, не будут позволять пользователям заходить на ресурсы, где не установлены сертификаты, которым производитель браузера доверяет. Также перестанет работать множество других программ. Это не страшно для крупных организаций — банков, соцсетей, и прочих, а вот для малого и среднего предпринимателя и частных лиц это будет катастрофа всепланетного масштаба. Как удобно: устраняешь конкуренцию с собой одним росчерком пера никем не избранного клуба мировых монополистов.