Центр сертификации
Центр сертификации (также удостоверяющий центр, центр сертификации ключей) — это юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также выполнению иных функций, предусмотренных законодательством в области использования электронной подписи. Центры сертификации являются ключевыми элементами инфраструктуры открытых ключей (PKI), обеспечивающими доверие между участниками электронного документооборота.
История возникновения
Концепция центров сертификации возникла в середине 1970-х годов с развитием криптографии с открытым ключом. В 1976 году Уитфилд Диффи и Мартин Хеллман опубликовали работу «Новые направления в криптографии», в которой впервые предложили идею асимметричного шифрования. Однако практическая реализация потребовала создания доверенных третьих сторон, которые могли бы удостоверять подлинность открытых ключей.
Первые коммерческие центры сертификации появились в середине 1990-х годов. В 1995 году компания VeriSign (ныне часть DigiCert) начала предоставлять услуги по выпуску цифровых сертификатов для защищённых веб-соединений (SSL/TLS). В России развитие центров сертификации началось с принятием Федерального закона № 1-ФЗ «Об электронной цифровой подписи» в 2002 году, который ввёл правовое понятие удостоверяющих центров. Современный этап регулирования определяется Федеральным законом № 63-ФЗ «Об электронной подписи» (2011 год), который установил требования к аккредитации центров сертификации.
Функции и задачи
Основные функции центра сертификации включают:
- Создание сертификатов ключей проверки электронных подписей: выпуск квалифицированных, неквалифицированных и простых сертификатов для физических и юридических лиц.
- Подтверждение владения ключом: верификация того, что заявитель действительно обладает соответствующим закрытым ключом.
- Аннулирование и приостановление действия сертификатов: в случае компрометации ключа, утраты устройства или изменения данных владельца.
- Ведение реестра выданных и аннулированных сертификатов: публикация списков отзыва (CRL) и обеспечение доступа к ним.
- Хранение ключей электронных подписей: в некоторых случаях — обеспечение восстановления ключей (key escrow) для корпоративных нужд.
- Техническая поддержка и консультирование: помощь пользователям в установке и использовании сертификатов.
Классификация центров сертификации
По типу аккредитации
В Российской Федерации выделяют три основных типа центров сертификации в соответствии с законодательством:
- Аккредитованные удостоверяющие центры (УЦ): прошедшие добровольную аккредитацию в Минцифры России. Выдают квалифицированные сертификаты, которые имеют юридическую силу наравне с собственноручной подписью. Аккредитация подтверждается каждые 5 лет.
- Неаккредитованные удостоверяющие центры: не проходили процедуру аккредитации, но могут выдавать неквалифицированные и простые сертификаты. Их деятельность регулируется общими нормами законодательства.
- Доверенные центры сертификации: в международной практике — центры, включённые в списки доверенных корневых сертификатов операционных систем и браузеров (например, программа Mozilla CA Certificate Program).
По сфере деятельности
- Корпоративные центры сертификации: создаются внутри организаций для обеспечения внутреннего электронного документооборота, аутентификации сотрудников и защиты корпоративных ресурсов.
- Публичные центры сертификации: предоставляют услуги широкому кругу лиц и организаций, выпускают сертификаты для веб-сайтов (SSL/TLS), электронной почты (S/MIME), кода (code signing) и электронных документов.
- Государственные центры сертификации: создаются органами власти для обеспечения электронного взаимодействия в государственных информационных системах (например, Единая система идентификации и аутентификации — ЕСИА).
По типу выдаваемых сертификатов
- SSL/TLS-сертификаты: для защиты соединений между веб-сервером и браузером (доменные, организационные, с расширенной проверкой — EV).
- Сертификаты электронной подписи: для подписания электронных документов (физических и юридических лиц).
- Сертификаты для электронной почты: для шифрования и подписания сообщений (S/MIME).
- Сертификаты для кода: для подписания программного обеспечения (code signing).
- Квалифицированные сертификаты: в России — для использования в государственных информационных системах (Госуслуги, ФНС, Росреестр).
Устройство и технология
Центр сертификации функционирует на основе инфраструктуры открытых ключей (PKI). Основные компоненты:
- Корневой центр сертификации (Root CA): самый верхний уровень иерархии. Его сертификат является самоподписанным и служит корнем доверия для всех нижестоящих сертификатов.
- Промежуточные центры сертификации (Intermediate CA): выпускают сертификаты от имени корневого центра, что позволяет распределять нагрузку и повышать безопасность.
- Серверы управления сертификатами: программное обеспечение (например, Microsoft Active Directory Certificate Services, OpenSSL, EJBCA), которое автоматизирует процессы выпуска, продления и отзыва сертификатов.
- Хранилища ключей: защищённые аппаратные модули (HSM) или программные средства для генерации и хранения закрытых ключей.
- Списки отзыва сертификатов (CRL) и протокол OCSP: механизмы проверки статуса сертификата в реальном времени.
Процесс получения сертификата
Типовая процедура получения сертификата в центре сертификации включает следующие этапы:
- Подача заявки: заявитель предоставляет документы, удостоверяющие личность (для физических лиц) или регистрационные данные (для юридических лиц).
- Верификация данных: центр сертификации проверяет подлинность предоставленных сведений. Для квалифицированных сертификатов требуется личное присутствие заявителя или использование усиленной неквалифицированной подписи через Единую систему идентификации и аутентификации (ЕСИА).
- Генерация ключей: может выполняться как на стороне центра сертификации (с последующей выдачей на защищённом носителе), так и на стороне пользователя (с использованием криптопровайдера).
- Выпуск сертификата: создание и подписание сертификата ключа проверки электронной подписи.
- Выдача сертификата: передача пользователю в электронном виде или на физическом носителе (токен, смарт-карта, флеш-накопитель).
Применение
Центры сертификации используются в различных сферах:
- Электронный документооборот: подписание договоров, счетов, актов, отчётности в системах ЭДО (например, «Диадок», «СБИС», «1С-ЭДО»).
- Государственные услуги: получение доступа к порталу «Госуслуги», подача налоговой отчётности, регистрация юридических лиц, участие в электронных торгах.
- Банковская сфера: подписание платёжных поручений, кредитных договоров, открытие счетов онлайн.
- Защита веб-сайтов: установка SSL/TLS-сертификатов для обеспечения безопасного соединения по протоколу HTTPS.
- Подписание программного обеспечения: подтверждение авторства и целостности кода, предотвращение распространения вредоносного ПО.
- Электронная почта: шифрование и подписание сообщений для защиты конфиденциальной переписки.
Критика и проблемы
Деятельность центров сертификации подвергается критике по нескольким причинам:
- Уязвимости безопасности: в истории известны случаи компрометации корневых сертификатов (например, инцидент с DigiNotar в 2011 году, когда злоумышленники получили возможность выпускать поддельные сертификаты для популярных сайтов).
- Централизация доверия: модель PKI основана на доверии к ограниченному числу центров сертификации, что создаёт единые точки отказа. Компрометация одного центра может поставить под угрозу безопасность миллионов пользователей.
- Стоимость услуг: получение квалифицированных сертификатов, особенно с расширенной проверкой (EV), может быть дорогостоящим для малого бизнеса и частных лиц.
- Бюрократические процедуры: в России процесс получения квалифицированного сертификата требует личного присутствия или сложной электронной идентификации, что создаёт неудобства для пользователей.
- Проблемы с отзывом сертификатов: не все браузеры и операционные системы корректно обрабатывают списки отзыва, что может позволить использовать скомпрометированные сертификаты.
Правовое регулирование в России
В Российской Федерации деятельность центров сертификации регулируется:
- Федеральным законом № 63-ФЗ «Об электронной подписи» (2011 год) — определяет виды электронных подписей, требования к удостоверяющим центрам и порядок аккредитации.
- Приказом Минцифры России № 796 от 18 ноября 2021 года — устанавливает требования к аккредитации удостоверяющих центров.
- Постановлением Правительства РФ № 1119 от 1 ноября 2012 года — утверждает правила аккредитации удостоверяющих центров.
- Федеральным законом № 152-ФЗ «О персональных данных» — регулирует обработку персональных данных, которые могут содержаться в сертификатах.
Аккредитованные удостоверяющие центры обязаны обеспечивать защиту информации, вести реестр сертификатов, предоставлять доступ к спискам отзыва и соблюдать требования к криптографической защите. Надзор за деятельностью центров осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и Федеральная служба безопасности (ФСБ России).
Интересные факты
- Крупнейший в мире центр сертификации — компания DigiCert, которая в 2017 году поглотила Symantec CA (ранее VeriSign). По состоянию на 2024 год DigiCert выпускает более 3 миллионов сертификатов в год.
- В России насчитывается более 200 аккредитованных удостоверяющих центров (данные Минцифры на 2024 год). Крупнейшие из них — «Контур», «Такском», «Астрал-М», «Сбербанк-АСТ».
- Первый в мире сертификат SSL был выпущен в 1995 году компанией VeriSign для интернет-магазина Netscape.
- В 2023 году в России вступили в силу изменения, требующие обязательного использования квалифицированных сертификатов для всех государственных информационных систем.
Источники
- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (с изменениями и дополнениями).
- Приказ Минцифры России от 18.11.2021 № 796 «Об утверждении требований к аккредитации удостоверяющих центров».
- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении Правил аккредитации удостоверяющих центров».
- «Криптография с открытым ключом» — Уитфилд Диффи, Мартин Хеллман, 1976.
- «Инфраструктура открытых ключей (PKI): теория и практика» — Карл Адамс, Стив Ллойд, 2002.
- «Безопасность электронных подписей и центров сертификации» — Брюс Шнайер, 2004.
- Данные Минцифры России о реестре аккредитованных удостоверяющих центров (2024).
- «DigiNotar: крах доверия» — отчёт Comodo CA, 2011.
- «The SSL/TLS Certificate Market» — Netcraft, 2023.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →