Сертификат vpn что это

Записки IT специалиста

OpenVPN пользуется заслуженной популярностью у системных администраторов, находя широкое применения в самых разнообразных сценариях. Но очень часто внедрение OpenVPN происходит посредством повторения инструкций, без глубокого понимания смысла выполняемых действий. Особенно это касается «генерации ключей», эта простая с виду операция имеет достаточно глубокий скрытый пласт, формируя собственную инфраструктуру открытых ключей. Отсутствие понимания структуры PKI, как показывает отклик наших читателей, способно приводить к различного рода затруднениям и проблемам при использовании OpenVPN.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Вообще-то PKI — тема достаточно сложная и обширная, требующая глубоких теоретических знаний. Но мы не будем углубляться в дебри, а постараемся простым языком, с максимальным упрощением, дать тот необходимый минимум знаний, который должен быть у любого администратора, работающего с OpenVPN.

Всем известно, что для аутентификации пользователей OpenVPN использует вместо паролей сертификаты. Что это дает? Это дает существенное повышение безопасности. Мы сейчас не будем говорить о том, что пароль можно перехватить. Современные системы не передают пароли в открытом виде, используя вместо них достаточно хорошо защищенные сложными криптографическими алгоритмами хеши. Но пароль всегда можно подобрать и это одно из наиболее уязвимых мест.

Сертификат подобрать невозможно, его можно либо иметь, либо не иметь. Но само по себе наличие сертификата еще ничего не дает, он не является секретным и вы вполне можете его получить, но чтобы установить защищенное соединение с сервером вам потребуется закрытый ключ, который хранится в надежном месте и (в идеале) никогда не покидает пределы клиентского ПК.

Но как сервер определит, что именно этот клиент имеет право доступа? Существует ошибочное мнение, что сертификаты выдает именно сервер и поэтому он знает, кто из клиентов имеет право подключаться, а кто нет. Однако это не так и данное заблуждение часто приводит к разного рода затруднениям при работе с OpenVPN.

Здесь мы вплотную подходим к понятию инфраструктуры открытых ключей. Основная цель PKI — это обеспечение области доверия, в которой каждый участник может однозначно доверять другому участнику, не имея никакой предварительной информации о нем.

Если проводить аналогию, то это можно сравнить с пропускной системой на проходной. Охранник лично вас не знает в лицо, вы тоже, возможно, первый раз его видите, но вы предъявляете ему пропуск установленного образца, и он открывает вам турникет. За счет чего это происходит? За счет доверия. Пропуска выдаются специальным отделом — Бюро пропусков, авторитет и доверие, к которому неоспоримы.

В нашем случае таким «бюро пропусков» служит Центр сертификации (CA, Certification authority), вокруг которого складывается инфраструктура открытых ключей. Авторитет CA неоспорим и доверие к нему не подвергается сомнению. Именно CA осуществляет всё управление сертификатами, как для клиентов, так и для серверов.

Это абсолютно отдельная сущность, хотя физически она может находиться на одном узле с сервером OpenVPN. Чаще всего в роли центра сертификации используется Easy-RSA, хотя можно использовать любое другое ПО, скажем, в роли CA вполне может выступать Mikrotik. Но общий смысл от этого не меняется, создав центр сертификации мы вместе с ним создаем область доверия, которая называется инфраструктурой открытых ключей.

Давайте рассмотрим следующую схему:

При создании центра сертификации мы генерируем ключевую пару из открытого и закрытого ключей. Открытый ключ, вместе с другой информацией о нашем CA содержится в корневом сертификате ca.crt, который должен иметь самое широкое распространение в нашей инфраструктуре, так как именно он составляет основу доверительных отношений. Имея на руках корневой сертификат, мы можем проверить сертификат любого другого субъекта и убедиться, что он выдан нашим CA и следовательно мы можем ему доверять.

Закрытый ключ центра сертификации представляет самую большую ценность и должен храниться в надежном месте, а также никогда не покидать пределы CA. Компрометация закрытого ключа фактически уничтожает область доверия, так как мы не можем быть уверенны, что предъявленный нам сертификат выпущен именно CA, а не завладевшим ключом злоумышленником.

При помощи центра сертификации мы формируем ключи и сертификаты для OpenVPN-серверов и их клиентов. Если быть строго последовательными — то это неправильно, так как закрытый ключ клиента (под клиентами CA подразумеваются как сервера OpenVPN, так и их клиенты) формируется на узле CA, а потом передается на узел клиента, что является нарушением безопасности, так как закрытый ключ не должен покидать пределы собственного узла.

В теории мы должны на каждом клиенте центра сертификации создать открытый и закрытый ключи, сформировать запрос на сертификат и отправить его CA, который в свою очередь выпустит нужный нам сертификат и подпишет его своим открытым ключом. Таким образом никакая критически важная для безопасности информация (закрытые ключи) по каналам связи не передается.

На практике схема, когда и ключи, и сертификаты формирует CA вполне допустима, так как все это контролируется системным администратором, который может принять разумные меры для недопущения несанкционированного доступа к закрытым ключам.

Таким образом на каждом из узлов нашей OpenVPN-сети должен присутствовать закрытый ключ, сертификат узла и корневой сертификат CA. При этом ни клиенты, ни сервера не знают кому именно выпущены сертификаты и в каком количестве.

Это очень важный момент. OpenVPN-сервер не имеет списка клиентов и готов предоставить доступ любому, кто предоставит валидный сертификат. Почему? Потому что все они входят в область доверия, созданную центром сертификации в рамках инфраструктуры открытых ключей.

Чтобы получить доступ клиент предъявляет серверу собственный сертификат, сервер, при помощи корневого сертификата CA убеждается, что данный сертификат действительно выдан нашим центром сертификации и ему можно доверять, затем проверяется срок его действия и при успешной проверке начинается процесс установления защищенного соединения.

Срок действия является одним из наиболее важных параметров сертификата и его можно успешно использовать в свою пользу. Скажем для сотрудника на испытательном сроке можно выпустить сертификат на 30 дней, а затем просто перевыпустить на больший срок. Это гораздо безопаснее, чем потом забыть отозвать сертификат у не прошедшего испытательного срока работника.

Со своей стороны клиент точно также проверяет действительность сертификата сервера, после чего устанавливает с ним связь. При этом любой клиент с сертификатом текущего CA может без проблем подключиться к любому серверу в рамках инфраструктуры PKI.

Что касается CA, что обычно он размещается на одном из серверов OpenVPN, но в более сложных схемах имеет смысл вынести его на отдельный узел, лучше всего на виртуальную машину, которую даже можно большую часть времени держать выключенной, включая только для того, чтобы выпустить или отозвать очередной сертификат.

И если мы говорим о доверии, то самое время вспомнить об его утрате. В каком случае субъект может утратить доверие? Вариантов тут может быть несколько: это и увольнение сотрудника, и возможная компрометация его закрытого ключа (например, устройство было украдено). В этом случае сертификат требуется отозвать. В процессе отзыва сертификата CA формирует список отозванных сертификатов — CRL. Данный список публикуется на заранее известном узле, и любой участник PKI может проверить предъявленный ему сертификат на предмет отзыва.

Но OpenVPN так не умеет, что влечет за собой некоторые дополнительные действия. Рассмотрим еще одну схему:

После того, как CA обновил список отозванных сертификатов (CRL) его нужно распространить на все сервера OpenVPN в нашей инфраструктуре, после чего они будут понимать, что данный сертификат отозван и отказывать в соединении. Если мы не выполним данное условие, то те сервера, которые не получили обновленный CRL будут по-прежнему разрешать доступ клиенту сертификат которого отозван.

Что касается практики, то правильный сценарий предусматривает в пределах одной организации один центр сертификации, создание для нескольких OpenVPN-серверов нескольких CA является достаточно грубой ошибкой. Единственный CA позволяет иметь одну точку управления доверием для всей вашей сети вне зависимости от количества серверов и клиентов в ней.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Дополнительные материалы:

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Выбираем протокол для VPN. Сравнение OpenVPN, PPTP, L2TP/IPsec и IPsec IKEv2

Многие ресурсы, рассказывая пользователям о VPN, как правило, рекомендуют OpenVPN с шифрованием 256 бит, объясняя, что это самый надежный протокол. Но на самом деле это не совсем протокол, а на итоговую безопасность VPN влияют несколько показателей, и каждый из них очень важен.

Мы начинаем цикл о выборе безопасного VPN, в рамках которого рассмотрим показатели, влияющие на итоговую безопасность VPN, и в их разрезе расскажем о некоторых уязвимых местах VPN-туннеля.

Как правило, выбор VPN начинается с выбора протокола туннелирования (далее ПТ). Сегодня на рынке имеется несколько вариантов ПТ для реализации виртуальной частной сети: OpenVPN, PPTP, L2TP/IPsec, IPsec IKEv2 и другие, не получившие широкого распространения.

Сразу хотелось бы отметить, что OpenVPN не совсем верно называть протоколом туннелирования, это программное обеспечение для создания виртуальной сети, но пусть будет протокол, дабы избежать путаницы. Что такое протокол? Представьте себе ситуацию: вы встретились с человеком и хотите с ним пообщаться, но говорите на разных языках. Разумеется, вы не поймете друг друга, и речи о каком-либо полноценном взаимодействии идти не может. Протокол – это и есть язык взаимодействия, в данном случае между компьютером и VPN-сервером.

PPTP – первый протокол, поддерживаемый на платформе Windows. Протокол имеет слабое шифрование и может быть взломан как спецслужбами, так и квалифицированными злоумышленниками. Из плюсов стоит отметить отсутствие необходимости устанавливать дополнительное программное обеспечение и скорость работы. PPTP VPN требует минимальных ресурсов и по сравнению с OpenVPN почти не расходует заряд при использовании на мобильных устройствах. Почему этот протокол до сих пор используется?

Главная его проблема – слабая защита передачи ключа, но это не значит, что любой желающий может взломать шифрование. PPTP имеет и свои плюсы: простоту в настройке и использовании, неплохую защиту и смену IP-адреса. PPTP, может, и не самый защищенный протокол, но определенно лучше, чем ничего.

Что о нем надо знать:

Он медленнее других из-за двойного инкапсулирования (создается IPsec-туннель, а данные ходят через L2TP);

Использует стандартные порты, и потому его легко может заблокировать интернет-провайдер или системный администратор;

Операционные системы имеют встроенную поддержку этой технологии, нет необходимости ставить дополнительное ПО;

При его правильной настройке нет информации о возможности расшифровать данные.

Мы его не рекомендуем и не используем из-за скорости, потому много рассказывать о нем не станем.

Что такое IKEv2 в этой связке? Это, если говорить очень просто, авторизация через сертификат, и она, к сожалению, поддерживается не всеми устройствами.

Что о нем надо знать:

Работает быстрее, нежели L2TP/IPsec,

Сопоставим с OpenVPN,

Поддерживается не всеми операционными системами (хотя сам IPsec поддерживается везде);

При правильной настройке его не могут расшифровать ни спецслужбы, ни злоумышленники (по крайней мере, так считается в среде IT-специалистов).

Стоит отметить поддержку IPsec на всех популярных операционных системах как положительный момент. Но есть по этому поводу и другое мнение: в отличие от встроенных систем шифрования диска, наличие встроенных систем IPsec не вызывало возмущений со стороны спецслужб. Его реализовали даже в Windows, где всегда воздерживались от инструментов защиты данных, недоступных для взлома спецслужбам. Этот факт многим кажется подозрительным.

OpenVPN – бесплатное решение с открытым исходным кодом, которое, по признанию большинства специалистов, является самым лучшим на сегодняшний день для создания частной виртуальной сети (VPN).

Что надо знать об OpenVPN:

Не входит в состав стандартных дистрибутивов современных операционных систем, потому требует установки дополнительного программного обеспечения;

При правильной настройке его не смогут расшифровать ни спецслужбы, ни злоумышленники;

При нестандартных настройках сложно блокируется.

Да, OpenVPN требует установки дополнительного программного обеспечения, но это проверенный временем софт с открытым исходным кодом, установка и настройка которого не создаст проблем даже новичку.

OpenVPN работает на всех современных операционных системах: Windows, macOS, Linux, Android, iOS.

Зашифрованная информация, созданная при помощи OpenVPN, может передаваться по одному из двух протоколов: UDP или TCP. VPN-провайдеры обычно предлагают оба варианта, сопровождая их комментарием «TCP надежней, UDP быстрее».

Представьте себе, что вы рубите лес для постройки дома и вам надо спускать срубленные деревья вниз по реке до места строительства. Вы можете просто бросать их в воду, и ваш помощник будет ловить их на месте стройки ‒ это будет самым быстрым и простым способом. Но если бревно застрянет в процессе доставки или будет похищено, вы не узнаете этого, разве что когда вам не хватит бревен на постройку дома. А если вы присвоите каждому бревну номер и ваш помощник будет звонить после получения каждого бревна, уведомляя об успешной доставке, в этом случае, даже если какие-то бревна будут потеряны, вы узнаете об этом незамедлительно и отправите замену. Но согласитесь, такой способ отправки бревен займет больше времени, а потому, если река широкая и не извилистая, лучше использовать простой и быстрый способ.

Аналогичная ситуация и в выборе протокола: UDP – быстрый способ без подтверждения доставки пакетов, его мы рекомендуем использовать при стабильном интернете.

TCP не такой быстрый, но зато доставка каждого пакета подтверждается, он рекомендуется при плохой связи. TCP необходим в тех ситуациях, когда UDP-трафик блокируется провайдером или настройками роутера.

Альтернативный вариант OpenVPN TCP по 443 порту не может быть заблокирован, так как этот порт используется для всех HTTPS-соединений, и пользователи просто не смогут открывать сайты. Мы в своих решениях ставим OpenVPN UDP, но если в течение 15 секунд не получается подключиться при помощи UDP, автоматически начинается TCP-соединение. Позже мы поговорим про TLS authentication, порт соединения, генерацию сессионного ключа, алгоритмы шифрования, длину ключа, аутентификацию данных и другие составляющие безопасного VPN-соединения.

Что такое SSL VPN?

Виртуальная частная сеть Secure Socket Layer (SSL VPN), как следует из названия, представляет собой комбинацию SSL и VPN. Это помогает создать безопасное и зашифрованное соединение через традиционно менее безопасную сеть, такую ​​как Интернет. Как правило, организации, специально желающие предоставить удаленный доступ к своим веб-приложениям, используют SSL VPN.

Используя SSL VPN, вы можете получить доступ к традиционным функциям портала VPN, созданным с использованием протокола уровня защищенных сокетов. Эта VPN также позволяет вам получать доступ к различным приложениям и обеспечивает доступ к внутренней сети через веб-браузер.

Что отличает SSL VPN, так это то, что для выполнения своих обязанностей не требуется специальное приложение или программное обеспечение. Вместо этого вы можете использовать любой современный браузер для удаленного доступа к защищенным ресурсам или приложениям в интрасети. Давайте посмотрим, как работает SSL VPN.

Как работают SSL VPN

Как упоминалось ранее, SSL VPN используют протокол SSL для предоставления пользователям удаленного доступа к приложениям. Однако эти VPN теперь заменили протокол SSL более новым протоколом TLS.

Это VPN-решение представляет собой веб-решение или решение на основе клиентского приложения. Он использует стандартные службы подключения HTTP или HTTPS для предоставления доступа к частным сетям. У некоторых компаний есть специальное программное обеспечение и веб-приложения, которые они защищают с помощью зашифрованного туннелирования VPN. Сотрудники могут получить доступ к этим программам с помощью SSL VPN.

В отличие от традиционной IPSec VPN, SSL VPN шифрует всю полезную нагрузку HTTP. В результате это позволяет более детально контролировать доступ к службам, данным и приложениям в частной сети.

Как использовать эту технологию

Со стороны пользователя вы можете получить доступ к этим службам VPN через веб-приложение. Там ваши запросы передаются в частную сеть компании через HTTP/HTTPS. Эти зашифрованные запросы исходят от аутентифицированных пользователей. В результате они проходят организационные брандмауэры. Затем они достигают шлюза, настроенного в частной сети организации. Наконец, запросы передаются на выделенные внутренние серверы, которые обрабатывают запрос.

Этот процесс включает начальное рукопожатие. Вы должны указать в своем браузере сервер шлюза SSL VPN организации. Для этого используйте выделенные URL-адреса или веб-адреса VPN-сервера. Затем сервер организации отправляет браузеру сертификат безопасности, позволяя ему установить соединение. Как только это соединение установлено, сервер и браузер согласовывают используемый стандарт шифрования. После этого они выполняют обмен ключами для шифрования и дешифрования. Теперь вам нужно аутентифицировать себя. Для этого компания, к частной сети которой вы хотите получить доступ, предоставит вам учетные данные для аутентификации.

Теперь, когда вы понимаете, как работает SSL VPN, давайте рассмотрим два ее разных типа.

Типы SSL VPN

SSL VPN бывают двух типов. Их различия зависят от их функциональности и того, как организация реализует это решение. Рассмотрим каждый тип:

1. SSL-портал VPN

SSL Portal VPN — это простое решение, которое работает как любой традиционный веб-сервис, защищенный HTTPS. В этой службе аутентифицированный пользователь получает доступ к порталу или веб-странице. Затем они могут получить к нему доступ через веб-браузер. Эта служба портала обычно содержит ссылки на различные интранет-услуги, предлагаемые компанией. Сетевые администраторы могут настраивать правила и группировать пользователей для реализации доступа с минимальными привилегиями. Таким образом, они ограничивают доступ к определенным приложениям или службам.

SSL Portal VPN обеспечивает простоту использования и внедрения. Однако он имеет определенные ограничения. Например, он допускает только одно безопасное соединение в любой момент времени. Это также подходит только для предоставления доступа к приложениям, удобным для браузера. Этот тип не работает с настольными приложениями или службами, которые работают независимо от интерфейса браузера. Если вы хотите запускать свои устаревшие приложения с помощью SSL Portal VPN, вам потребуется дополнительная разработка. Вам потребуется расширить базовые возможности стандартного решения.

2. SSL-туннель VPN

С другой стороны, SSL Tunnel VPN позволяет вам расширять и получать доступ к приложениям и службам. Они не должны быть браузерными или веб-ориентированными. Когда вы подключаетесь к шлюзу SSL VPN, ваш браузер автоматически загружает приложение VPN для туннеля SSL.

Эти приложения являются источником приложений разных компаний, использующих разные технологии, такие как Javascript. SSL-туннель VPN требует, чтобы веб-браузер обрабатывал активный контент, такой как Flash или JS. Браузер также предоставляет дополнительные функции, которые не поддерживаются в SSL Tunnel VPN.

Если вам интересно, чем эта VPN отличается от традиционной IPSec VPN, вот все, что вам нужно знать, чтобы понять разницу между ними.

IPSec VPN против SSL VPN

Многие пользователи путают SSL VPN с традиционными IPSec VPN. По сути, оба предлагают вам одну и ту же услугу: безопасный доступ к ресурсам частной сети. Однако у них есть определенные отличия, которые необходимо знать. Таким образом, вы можете выбрать , что лучше внедрить для вашей компании. В этом разделе давайте рассмотрим различия между IPSec VPN и его более безопасным современным аналогом.

Особенность	IPSec VPN	SSL VPN
Операционный уровень в модели OSI	Работает на сетевом уровне модели OSI, которая маршрутизирует пакеты данных.	Работает между транспортным уровнем и прикладными уровнями модели OSI.
Шифрование	Шифрует пакеты данных	Шифрует HTTP-трафик напрямую, а не отдельные пакеты данных
Связь	Может подключать удаленные хосты ко всей частной сети	Позволяет подключить удаленный хост к определенному набору приложений и служб.
Требования	Требуется приложение (на основе хоста) для работы	Работает в браузерной среде
Гибкость	Предоставляет широкий доступ и обеспечивает гибкость	Предоставляет детальный доступ
Удобство использования	Может поддерживать все IP-клиенты	Подходит для клиентов на основе браузера наряду с другими функциями, такими как обмен файлами.
Размещение VPN-шлюза	Реализован в брандмауэре частной сети.	Реализовано за брандмауэром в частной сети

Вердикт

Основываясь на рассмотренных выше различиях, очевидно, что обе VPN способны обеспечить безопасный доступ в закрытой частной сети. Однако, если вы разберете свои требования, станет проще выбрать один из двух сервисов. Например, рассмотрите тип приложений, к которым вы хотите, чтобы ваши сотрудники имели доступ, или другие нижестоящие службы, которые должны быть доступны. Чтобы еще больше помочь вам с выбором, я создал этот список ниже, чтобы прояснить ваши варианты.

Советы профессионалов

Выбирайте SSL VPN, если:

• Вам необходимо предоставить интранет-приложения своим сотрудникам
• Вы хотите получить детальный доступ для групповых пользователей и ограничить доступ к приложениям (для этого потребуются дополнительные технические ресурсы).

Выбирайте IPSec VPN, если:

• У вас есть целый набор приложений, включая веб-приложения, настольные и другие приложения.
• Вы ищете простое в реализации решение

Однако обе эти VPN теперь доступны в облачных моделях как услуга. Вы также можете легко развернуть их, не беспокоясь о настройке необходимой инфраструктуры.

Почему важны SSL VPN?

Организации полагаются на SSL VPN по разным причинам. А именно, они обеспечивают безопасный доступ к внутренним службам внутренней сети организации. В результате эти VPN-сканирования защищают и защищают каждый из этих туннелированных сеансов от взлома киберпреступниками.

Кроме того, SSL VPN обеспечивают безопасность и конфиденциальность данных. Они могут обеспечить безопасный способ связи с вашей рабочей силой, внешними или внутренними подрядчиками и другими лицами. Эти службы также предоставляют вам доступ к закрытым частным сетям организаций.

Эта VPN также имеет очень низкую кривую обучения. Это потому, что у них есть интерфейс доступа на основе браузера. Очевидно, что эта технология VPN набирает обороты в современном ИТ-мире. По сравнению с обычной VPN SSL VPN предоставляет вам возможность шифровать полезную нагрузку HTTP, а не каждый пакет данных, и позволяет настраивать детальный доступ.

Если вас устраивают эти функции, я покажу вам, как настроить их для своей организации.

Настройка SSL-VPN

Процесс настройки SSL VPN для вашего бизнеса остается почти таким же, как и при настройке традиционной VPN. Вам потребуется настроить VPN-шлюз для подключения. Затем вы можете получить доступ к внутренним ресурсам и приложениям. С другой стороны, вы также можете использовать более современную облачную парадигму. Просто выберите поставщиков услуг, таких как Cisco, Barracuda и F5. Они предоставят вашей организации облачные услуги SSL VPN. Как и в любой облачной службе, вы платите за использование. У вас не будет никаких первоначальных затрат на установку или накладных расходов на обслуживание.

Нижняя линия

Подводя итог, можно сказать, что SSL VPN легко внедрить, развернуть и использовать. Он может обеспечить ряд организационных преимуществ и преимуществ в плане безопасности. Эта VPN также необходима для повышения информационной безопасности и поддержки удаленной работы. Учитывая растущее число киберугроз, защита конфиденциальных данных стала главным приоритетом. Безопасное VPN-решение может помочь вам снизить эти риски.

В этой статье я описал, что такое SSL VPN, как он работает и два разных типа его реализации. Я также перечислил различия между двумя разными VPN и когда выбрать какой сервис. Наконец, мы рассмотрели некоторые основные преимущества использования SSL VPN.

Теперь, когда вы понимаете важность, работу и варианты использования SSL VPN, вы можете реализовать ее традиционным подходом, настроив инфраструктуру. В противном случае вы можете использовать любого поставщика услуг, чтобы внедрить его для своего бизнеса.

У вас есть еще вопросы о VPN и шифровании? Ознакомьтесь с разделом часто задаваемых вопросов и ресурсов ниже!

Часто задаваемые вопросы

Каковы преимущества IPSec VPN?

Традиционная VPN также известна как IPSec VPN. Он предлагает масштабируемость благодаря стабильному соединению и видимости сети. Кроме того, поскольку IPSec VPN шифрует каждый пакет данных, передаваемый по сети, и имеет меньшую поверхность атаки, это идеально подходит для целей безопасности.

Каковы преимущества SSL VPN?

Одним из основных преимуществ SSL VPN является их более низкая стоимость и сложность. Фактически, SSL VPN не требуют каких-либо дополнений клиентского программного обеспечения. Эти сервисы обладают высокой масштабируемостью благодаря поддержке различных современных технологий веб-разработки и мобильных технологий. Вы также можете настроить их в своей сети с помощью облачной модели.

Что такое SSL?

SSL, что означает Secure Socket Layer, представляет собой протокол, который устанавливает зашифрованные и аутентифицированные ссылки (URL) между двумя или более устройствами, подключенными через сеть. В основном NGFW могут фильтровать и анализировать эти зашифрованные сети SSL. SSL VPN также используют этот протокол шифрования для обеспечения безопасного доступа к ресурсам.

Что такое модель OSI?

Модель взаимодействия открытых систем (OSI) — это концептуальная сетевая модель, содержащая 7 различных уровней. Он объясняет функциональность и работу телекоммуникационной системы. И IPSec VPN, и SSL VPN работают немного по-разному. Поэтому они работают на разных уровнях модели OSI.

Что такое HTTP/HTTPS?

Протокол передачи гипертекста (HTTP) или его безопасная версия (HTTPS) являются протоколами прикладного уровня. Они используются для передачи гипермедиа-документов, таких как веб-страницы HTML. SSL VPN напрямую шифруют HTTP-контент. Таким образом, служба устанавливает безопасные и зашифрованные соединения с частными сетями.

Стоит ли устанавливать российский TLS-сертификат с «Госуслуг»?

В конце 2022 года и начале 2023 года истекают сроки действия TLS-сертификатов российских сайтов, выданных зарубежными сертифицирующими центрами. Например, уже 28 сентября истёк сертификат главной страницы «Сбербанка», а в январе истечёт срок действия сертификата «Госуслуг».

После истечения срока действия сертификата сайты перестанут открываться в браузерах иностранной разработки, включая Google Chrome, Microsoft Edge, Mozilla Firefox и Opera.

В качестве способа решения этой проблемы Минцифры РФ предлагает пользователям установить TLS-сертификат с сайта «Госуслуг» либо воспользоваться браузером российской разработки: «Яндекс.Браузер» или «Атом».

Мы рекомендуем выбрать второй вариант. Устанавливать любые TLS-сертификаты небезопасно.

Зачем нужны TLS-сертификаты

Практически все современные сайты используют для работы протокол HTTPS. Он подразумевает передачу шифрованного трафика, который даже в случае перехвата невозможно «прочитать». Использование протокола HTTPS увеличивает вашу конфиденциальность и приватность.

Протокол HTTPS подразумевает, что сайт будет отправлять информацию в зашифрованном виде, а браузер будет её расшифровывать – и наоборот, браузер будет передавать информацию в зашифрованном виде, а сайт будет её расшифровывать. Чтобы этот механизм начал работать, сайт и браузер должны создать совместный одноразовый ключ шифрования («пароль» для расшифровки трафика) и обменяться им.

Но браузер по умолчанию не доверяет серверу. В конце концов, мошенники могут создать сайт, который станет имитировать интернет-магазин или онлайн-банк, и таким образом начать похищать деньги у пользователей. Чтобы браузер начал доверять серверу, тот должен предоставить сертификат, выданный авторизованным центром сертификации.

У каждого браузера есть список авторизованных центров сертификации, которым он доверяет. Это могут быть DigiCert, Let’s Encrypt, GlobalSign и другие. Если браузер определяет, что TLS-сертификат выдан удостоверяющим центром из списка авторизованных, он его принимает и устанавливает защищённое соединение.

Зарубежные и российские TLS-сертификаты

До 2022 года в России не было собственного удостоверяющего центра, который бы выдавал TLS-сертификаты. Чтобы получить такие «документы», сайты обращались в зарубежные компании. Например, TLS-сертификат онлайн-банка «Сбербанк.Онлайн» выдан удостоверяющим центром GlobalSign.

Однако в 2022 году на российские компании был наложен ряд экономических санкций, а международные удостоверяющие центры отказались выдавать сертификаты для российского бизнеса и государственных органов.

Это вынудило Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры РФ) совместно с НИИ «Восход» создать собственный Национальный удостоверяющий центр и выпустить TLS-сертификаты для российского бизнеса.

Зачем устанавливать сертификаты?

В целом установка TLS-сертификатов – распространённая практика в корпоративных сетях. Часто внутренние корпоративные порталы – например, CRM-системы или базы знаний – запускаются на серверах без подключения к интернету, а их сайты подписываются собственным сертификатом.

Однако браузеры не принимают такие TLS-сертификаты, поскольку не «доверяют» им. Ведь они созданы не авторизованным удостоверяющим центром, а какой-то другой компанией. Чтобы браузер начал доверять этому сертификату, необходимо установить сертификат в корневое хранилище сертификатов на устройстве.

С Национальным удостоверяющим центром РФ (Russian Trusted Root CA) наблюдается похожая ситуация. Он не является авторизованным удостоверяющим центром, поэтому браузеры, получив от него сертификаты, им просто не доверяют. При попытке открыть, например, сайт «Сбербанка» в Google Chrome пользователь получит предупреждение, что соединение с этим сайтом не безопасно и открывать его не рекомендуется.

Именно поэтому Минцифры РФ предлагает установить корневой TLS-сертификат на устройство. Таким образом он встроится в список сертификатов, которым браузер обязан доверять, и сайт «Сбербанка» снова начнёт открываться. Однако мы не рекомендуем этого делать.

Поскольку единственная с точки зрения пользователя проблема российского TLS-сертификата заключается в том, что без него не получается открыть нужные сайты, для работы с этими сайтами лучше использовать дополнительный браузер, который доверяет российским TLS-сертификатам. Например, «Яндекс.Браузер» или «Атом».

Что будет, если всё-таки установить российский TLS-сертификат

TLS-сертификаты нужны для того, чтобы обеспечивать вашу информационную безопасность. Они участвуют в шифровании трафика. Поэтому перехваченный трафик не может быть прочитан злоумышленниками: максимум информации, который смогут получить хакеры, разбирая перехваченные данные – это домен сайта. Например, www.sberbank.ru. Даже в случае перехвата трафика они не смогут узнать, сколько денег у вас на счетах, и, тем более, не смогут ими распорядиться.

Однако при установке TLS-сертификата на компьютер вы уменьшаете защиту данных. Хотя трафик по-прежнему шифруется, злоумышленники при определённых обстоятельствах смогут выдать себя за любой сайт или создать SSL-прокси. Тогда они смогут легко расшифровать ваш трафик – и получить полный доступ к вашим данным:

Логинам и паролям сайтов, особенно – передающимся в не-хэшированном виде;

Номерам банковских карт, включая CVC/CVV-коды;

Перепискам в социальных сетях, которые используют этот TLS-сертификат;

Историям покупок в интернет-магазинах;

Данным документов (например, загруженным на «Госуслуги»);

Просмотренным и загруженным видео, прочитанным и опубликованным статьям, распространяемой информации; и так далее.

Проще говоря, устанавливая TLS-сертификат, вы рискуете сделать свою интернет-активность абсолютно прозрачной – особенно в том случае, если будет создан SSL-прокси.

Что такое SSL-прокси

SSL-прокси – это сервер, который пропускает через себя весь интернет-трафик пользователя (пользователей), одновременно с этим подменяя TLS-сертификат.

Разберём теоретическую ситуацию. Предположим, вы читаете новости на Deutsche Welle и Meduza, а также оставляете комментарии на других сайтах. Ваш провайдер «видит», что вы открываете эти сайты, однако не видит, какие конкретно новости вы читаете, и не может прочитать текст этих комментариев.

Провайдер создаёт SSL-прокси и подменяет TLS-сертификаты Deutsche Welle и Meduza на сертификаты Russian Trusted Root CA. Теперь он может расшифровать весь ваш трафик и увидеть, какие конкретно новости вы прочитали и какие конкретно комментарии оставили.

Подобный механизм пытались внедрить в 2016 году в Республике Казахстан.

Россия – страна с высоким уровнем государственного контроля

Также стоит учесть, что Российская Федерация – это страна с высоким уровнем государственного контроля.

С 2018 года в России действует так называемый «пакет Яровой», в рамках которого интернет-провайдеры обязаны хранить копии интернет-трафика пользователей в течение 6 месяцев. В целях соблюдения этого закона у провайдеров хранится переписка пользователей в мессенджерах, социальных сетях, по электронной почте, а также аудиозаписи звонков.

Поскольку крупнейшие сайты использовали зарубежные TLS-сертификаты, эта информация хранилась в зашифрованном виде. Формально российские правоохранительные органы могли получить к ней доступ, однако «прочитать» её не удавалось.

Если вы будете пользоваться российским TLS-сертификатом, часть вашего трафика всё-таки смогут прочитать. Но не весь.

В ближайшее время на российские TLS-сертификаты перейдёт около 7 000 сайтов. При этом точный их список нигде не публикуется, даже на сайте «Госуслуг», откуда предлагается скачать данные сертификаты. И трафик с этих 7000 сайтов легко может быть расшифрован – хакерами, злоумышленниками или российским правительством.

Опыт запуска «цензурирующего сертификата» в Казахстане

В 2016 году в Республике Казахстан была запущена государственная платформа анализа трафика. Сертификаты сайтов подменялись государственными, а для их работы пользователи были обязаны установить корневой сертификат, выданный Комитетом связи, информатизации и информации Министерства по инвестициям и развитию РК.

Это вызвало множество негодования и протестов. Кроме того, попытки подменить сертификат на стороне провайдеры привели к тому, что множество критически важных для инфраструктуры страны сайтов перестало открываться.

Результатом стала отмена инициативы в скором времени после запуска.

Не устанавливайте российский TLS-сертификат!

Подводя итоги, отметим: не устанавливайте российский TLS-сертификат. Установив его, вы откроете свой трафик для любых злоумышленников, будь то частные хакеры или государственные «антитеррористические» службы.

Вместо этого воспользуйтесь одним из двух российских браузеров, поддерживающих TLS-сертификаты Russian Trusted Root CA. Это «Яндекс.Браузер» и «Атом». При этом используйте их только для доступа к сайтам, которые недоступны в привычных браузерах.

Если вам всё-таки нужно установить этот TLS-сертификат, вы сможете защитить себя, используя VPN – VPN создаёт туннель, в котором дополнительно шифруется весь трафик. Так что никакие хакеры или государственные службы не смогут прочитать вашу интернет-активность.