俄罗斯数字CA

俄罗斯自有数字证书系统CA

2022年俄乌战争,俄罗斯在被制裁后,被切断了与SWIFT(环球银行间金融通信协会)系统的联系,而无法使用国际金融系统也导致大量俄罗斯网站的数字证书到期后,无法正常续费续期。为此,俄罗斯方面建立了自己的根证书颁发机构以签发新的数字证书,如国外安全证书被撤销或到期,则其自己的证书颁发机构可以签发数字证书作为替代措施。 俄罗斯自有数字证书系统CA

据悉,俄罗斯方面推出的这个证书名为Russian Trusted Root CA ,具体签发是由俄罗斯数字发展部负责,目前该机构正在面向当地少数政府机构和企业进行签发测试,当提交申请后,该机构将在五个工作日里完成签发,随后网站即可部署使用新证书。并且目前俄罗斯最大的互联网企业Yandex,也已将该证书纳入白名单。

数字证书到底是什么,为什么俄罗斯方面会特意为本国网站准备这一工具呢?

其实,数字证书是一种权威性的电子文档,是在网络信息传播中证明身份的工具。而要理解数字证书在我们上网冲浪中所起到的作用,则需要先了解我们到底是怎么接入到互联网的。 俄罗斯自有数字证书系统CA 一个典型的互联网接入流程其实是这样的,当我们通过浏览器的地址栏输入网址(URL)时,浏览器会先对该URL通过DNS协议进行解析、查询到对应的IP地址。然后在使用HTTP协议访问web服务器,再通过交换机和路由器进入互联网中,找到URL所对应的服务器,并通过服务器的防火墙、进入服务器中获取对应的网页,再返回浏览器、显示所获取到的网页数据。

数字证书(TLC/SSL证书)在这一过程中的作用,就是确保浏览器访问的web服务器是URL所对应的,而不是钓鱼网站。并且在访问互联网的过程中,浏览器会要求网站的web服务器里存储的数字证书,证明用户在浏览器中输入的网址没有连接到错误的域名上去。简单来说,数字证书对于网站的意义,就是证明“我是我”。

俄罗斯自有数字证书系统CA

既然数字证书的作用如此重要,确保数字证书本身不能被伪造也就成为了关键。而一个常规的数字证书是这样诞生的,首先需要有一个数字证书认证中心(CA)作为权威的、公正的、 可信赖的第三方来负责签发,并使用非对称加密技术(通常为RSA算法)来产生一对公私钥,然后用自己的私钥对自己的公钥进行签名,生成所谓的一份公开文件。该文件会包含签发该证书的CA、有效期、签发的对象,而这些则都是未加密的明文。

此后,CA会对这份明文进行hash计算得到一个hash值,然后签发对象会使用CA下发的私钥对该hash值进行RSA加密,在得到签名信息后,明文+签名信息就构成了最终的数字证书。而有了数字证书之后,网络通信的双方只需要向CA验证数字证书的真实性,就可以知道在通信过程有没有被篡改。 俄罗斯自有数字证书系统CA

通常来说,数字证书是分为根证书和中间证书的。根证书是是信任链的起始点,也是CA机构自己给自己签发的,但由于根证书极为宝贵和重要,所以CA是不会直接从它们的根证书签发服务器向终端发送根证书。并且为了保护根证书,CA通常会签发所谓的中间证书,并使用自己的私钥对中间根签名、使其受到信任,然后再使用中间证书的私钥签发面向终端用户的TLC/SSL证书。

虽然从理论上来说,任何人都可以成为CA、都都能签发数字证书,毕竟CA需要做的就是使用RSA算法来生成公私钥,然后保管好自己的私钥即可。但事实上数字证书只是一个信任机制,要让数字证书进入各大浏览器、操作系统和应用的受信任列表(白名单),才是其中最大的难关。 俄罗斯自有数字证书系统CA

由于数字证书如此的重要,所以如果一个无名小卒要给大家签发,想必就没人敢用了。而一家CA机构要想成为权威,则需要获得WebTrust认证,这一认证是由AICPA(美国注册会计师协会)和 CICA(加拿大注册会计师协会)共同制定,其中包含针对系统及业务运作逻辑安全性、保密性等共计七项内容。而除了WebTrust认证外,作为社区认可的CA/B论坛也是一个为CA权威性背书的组织。

但想要获得业界的信任,让浏览器、操作系统将“后背”交给你,通常都需要很长时间的积累,例如,全球最权威的CA机构Verisign、Globalsign,是从1995年和1996年就开始从事数字证书签发服务。如果不想通过水磨功夫来获得信任,那么更加便捷的方式,就是寻找一个足够权威的背书。例如,国内的12306网站在很长一段时间里使用的就是来自SRCA(中铁数字认证中心)签发的证书,以至于相当多的浏览器在用户去12306网站购票的时,会要求你安装根证书。 俄罗斯自有数字证书系统CA

回到如今俄罗斯方面自己签发数字证书一事,其实从Russian Trusted Root CA这个名称就不难发现,这是一个根证书。换句话来说,就是在谷歌、苹果、Twitter、Meta纷纷拒绝为俄罗斯IP用户服务的情况下,俄罗斯准备自己另起炉灶了。毕竟,当目前俄罗斯网站使用的证书到期后,各浏览器都将在后续的访问过程中显示不安全的警告页面,从而“劝退”大量用户。

事实上有观点认为,这或许也正是俄罗斯启用本国互联网的前置条件之一。毕竟如果没有了SSL证书的保护,俄罗斯境内上至政府下至个人网站都将完全暴露在风险中,木马、病毒,以及黑客将能够轻而易举地对网站发起攻击。因此在数天前俄乌局势紧张时,就曾有俄罗斯相关媒体报道称,俄罗斯已做好了启用本国互联网系统的准备。

俄罗斯自有数字证书系统CA

早在2019年,俄罗斯就已测试了国内互联网RuNet的可靠性,而且其本土的互联网行业发展也一直不慢,同样有Yandex(搜索引擎)、Vkontakte(社交网站)、Wildberries(电商平台)这样的巨头。再加上俄罗斯拥有1.1亿的网民,并且俄语内容占到了整个互联网内容的8%以上,所以也意味着俄罗斯互联网即便是在隔离出去的情况下,依然有能力维持一个持续繁荣的互联网世界。 俄罗斯自有数字证书系统CA

对于传统意义上的互联网人来说,这或许是最不希望看到的事情,毕竟这也象征着互联网无国界、超主权的特质将彻底丧失。互联网公司之间的以邻为壑、互相屏蔽尚且还可以由监管机构来解决,但是国家与国家之间的高墙,又要用什么来打碎呢?在互联网让世界变成地球村的30年后,或许我们会看到全球化理想的建立和它的崩塌。