俄罗斯创建自己的 TLS 证书颁发机构以绕过制裁

俄罗斯已成立国内可信 TLS 证书颁发机构 (CA)，以帮助俄罗斯网站更新其 TLS 证书并继续为其访问者提供服务。

在入侵乌克兰之前，位于俄罗斯的网站会向国际 CA 支付更新其 TLS 证书的费用。然而，由于入侵也导致了严厉的制裁，这些西方国家的签署机构不再接受付款，因此无法更新证书。

如果网站证书过期，浏览器会显示用户想要访问的页面不安全的消息——为了解决这个问题，俄罗斯当局提出了一个国内 CA。 

两个浏览器识别新的 CA

“如果外国安全证书被撤销或到期，它将取代外国安全证书，”俄罗斯公共服务门户网站 Gosuslugi 上发布的公告的粗略翻译写道。“数字发展部将免费提供国内模拟。该服务将在 5 个工作日内应要求提供给法人实体——网站所有者。”

所有这一切并不像听起来那么容易。正如BleepingComputer所说，CA 需要得到Web 浏览器的信任，并且要到达那里——它需要经过“各种公司”的审查。这似乎不可能在一夜之间发生。 

按照目前的情况，只有两个浏览器认为新 CA 是值得信赖的：Yandex 和 Atom。前者是基于俄罗斯的，而后者是开源的。该出版物称，到目前为止，Sberbank、VTB 和俄罗斯中央银行已收到这些新证书。 

展望未来，大约 200 个域已收到新 TLS 证书的通知，但由于它们不是强制性的，因此不知道这些公司需要多长时间才能采用它们，或者有多少人会这样做。 . 

俄罗斯入侵乌克兰导致的制裁正在对入侵者的经济造成影响。许多服务，如 PayPal、Visa、万事达卡甚至 SWIFT，在该国都无法使用，而大多数西方零售商，如微软、苹果、谷歌、麦当劳、可口可乐等，已经撤下了出去。 

对于网络安全公司 Venafi 的专家来说，新的俄罗斯 CA 的建立还可能给俄罗斯实体带来灾难性的单点故障，因为他们认为 CA 是“对在线隐私和自由的明显打击”，因为它给出了俄罗斯政府有权监视其公民并欺骗任何西方互联网服务。 

“所有这一切都不足为奇，”Venafi 首席安全策略师 Kevin Bocek 说。 

“这是对开放互联网的冲突进一步升级和对公民控制的扩大。俄罗斯也将自己排除在全球经济之外，并使当代和未来几代俄罗斯公民对经济增长的希望变得渺茫。”

Venafi 的安全工程师 Pratik Selva 补充说：“可以肯定的是，这个新的 CA 将成为 Anonymous 和其他目前对俄罗斯实体发动网络攻击的组织的主要目标。” “与世界其他地区不同，俄罗斯政府和私营部门的站点和基础设施都没有 CA，因此这个站点出现故障或受到损害，每个与之连接的网站都将与互联网断开连接，直到创建新的 CA并且可以颁发新的证书。”