В основе регулирования лежит Федеральный закон № 63-ФЗ «Об электронной подписи» и ряд подзаконных актов, которые предъявляют особые требования к используемым криптографическим алгоритмам и средствам шифрования. Ключевым органом, устанавливающим стандарты, является ФСБ России. Для использования в защищенных информационных системах, обрабатывающих государственную тайну или персональные данные в определенных сферах (здравоохранение, финансы), требуется применение сертифицированных ФСБ криптосредств (Средства Криптографической Защиты Информации, СКЗИ), таких как «КриптоПро CSP».
Это напрямую затрагивает SSL/TLS, так как протокол использует криптографию для аутентификации и шифрования. Стандартные международные алгоритмы (RSA, ECDSA, AES) и хэш-функции (SHA-2) могут не соответствовать российским стандартам (ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012, ГОСТ Р 34.13-2015). Следовательно, для compliance в регулируемых отраслях необходимо использовать TLS-стек, поддерживающий алгоритмы ГОСТ. Это реализовано в продуктах «КриптоПро TLS» и некоторых сборках OpenSSL с соответствующими патчами.
Сертификаты — отдельная большая тема. Для публичных сайтов, не подпадающих под строгое регулирование, по-прежнему можно и нужно использовать стандартные SSL-сертификаты от международных (Sectigo, DigiCert) или аккредитованных российских удостоверяющих центров (УЦ). Однако с 2021 года вступили в силу правила, обязывающие УЦ, выдающие сертификаты для российских доменов (.ru, .рф), хранить ключи шифрования на территории РФ и предоставлять ФСБ возможность расшифровки трафика по решению суда (т.н. «закон Яровой» в части УЦ). Это не отменяет шифрование, но создает механизм доступа для спецслужб.
Для внутренних корпоративных систем или госсектора требуются сертификаты, выпущенные на основе ГОСТ-алгоритмов через специализированные УЦ, встроенные в инфраструктуру PKI организации. Работа с такими сертификатами часто требует установки дополнительного ПО (КриптоПро CSP) на клиентские машины для формирования запроса и установки сертификата.
Практические шаги для администратора:
- Анализ требований: Определите, подпадает ли ваш сервис под регулирование (обрабатывает ли персональные данные в особых категориях, работает в госсекторе). Если нет — стандартный TLS с сильными международными алгоритмами (TLS 1.2/1.3, ECDHE, AES-GCM) является лучшим выбором для безопасности и совместимости.
- Выбор ПО: Для compliance с ГОСТ требуется специализированный TLS-стек. Рассмотрите связку nginx/apache с модулем от «КриптоПро» или готовые решения от российских вендоров.
- Работа с сертификатами: Для публичных сайтов выберите УЦ, соблюдающий российское законодательство. Для внутренних систем разверните PKI на основе ГОСТ, используя, например, «КриптоПро УЦ».
- Настройка и тестирование: Настройте поддержку как ГОСТ, так и международных шифросюитов для совместимости со всеми клиентами. Тщательно протестируйте handshake-процесс с помощью утилит вроде `openssl s_client` и специализированных тестов от вендоров СКЗИ.
- Мониторинг и обновление: Следите за истечением срока действия сертификатов ГОСТ (обычно 1 год) и своевременно обновляйте их. Мониторьте изменения в законодательстве и рекомендациях ФСТЭК/ФСБ.
В итоге, построение SSL/TLS инфраструктуры в России — это баланс между глобальными стандартами безопасности, требованиями местного законодательства и практической целесообразностью. Для большинства коммерческих web-проектов достаточно стандартного TLS с оглядкой на правила для УЦ. Для серьезных проектов в регулируемых отраслях необходим осознанный путь с внедрением ГОСТ-стека, что влечет за собой увеличение затрат и операционной сложности.
Комментарии (15)