Открыть сервис

Центр сертификации

Центр сертификации (также удостоверяющий центр, центр сертификации ключей) — это юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также выполнению иных функций, предусмотренных законодательством в области использования электронной подписи. Центры сертификации являются ключевыми элементами инфраструктуры открытых ключей (PKI), обеспечивающими доверие между участниками электронного документооборота.

История возникновения

Концепция центров сертификации возникла в середине 1970-х годов с развитием криптографии с открытым ключом. В 1976 году Уитфилд Диффи и Мартин Хеллман опубликовали работу «Новые направления в криптографии», в которой впервые предложили идею асимметричного шифрования. Однако практическая реализация потребовала создания доверенных третьих сторон, которые могли бы удостоверять подлинность открытых ключей.

Первые коммерческие центры сертификации появились в середине 1990-х годов. В 1995 году компания VeriSign (ныне часть DigiCert) начала предоставлять услуги по выпуску цифровых сертификатов для защищённых веб-соединений (SSL/TLS). В России развитие центров сертификации началось с принятием Федерального закона № 1-ФЗ «Об электронной цифровой подписи» в 2002 году, который ввёл правовое понятие удостоверяющих центров. Современный этап регулирования определяется Федеральным законом № 63-ФЗ «Об электронной подписи» (2011 год), который установил требования к аккредитации центров сертификации.

Функции и задачи

Основные функции центра сертификации включают:

  • Создание сертификатов ключей проверки электронных подписей: выпуск квалифицированных, неквалифицированных и простых сертификатов для физических и юридических лиц.
  • Подтверждение владения ключом: верификация того, что заявитель действительно обладает соответствующим закрытым ключом.
  • Аннулирование и приостановление действия сертификатов: в случае компрометации ключа, утраты устройства или изменения данных владельца.
  • Ведение реестра выданных и аннулированных сертификатов: публикация списков отзыва (CRL) и обеспечение доступа к ним.
  • Хранение ключей электронных подписей: в некоторых случаях — обеспечение восстановления ключей (key escrow) для корпоративных нужд.
  • Техническая поддержка и консультирование: помощь пользователям в установке и использовании сертификатов.

Классификация центров сертификации

По типу аккредитации

В Российской Федерации выделяют три основных типа центров сертификации в соответствии с законодательством:

  • Аккредитованные удостоверяющие центры (УЦ): прошедшие добровольную аккредитацию в Минцифры России. Выдают квалифицированные сертификаты, которые имеют юридическую силу наравне с собственноручной подписью. Аккредитация подтверждается каждые 5 лет.
  • Неаккредитованные удостоверяющие центры: не проходили процедуру аккредитации, но могут выдавать неквалифицированные и простые сертификаты. Их деятельность регулируется общими нормами законодательства.
  • Доверенные центры сертификации: в международной практике — центры, включённые в списки доверенных корневых сертификатов операционных систем и браузеров (например, программа Mozilla CA Certificate Program).

По сфере деятельности

  • Корпоративные центры сертификации: создаются внутри организаций для обеспечения внутреннего электронного документооборота, аутентификации сотрудников и защиты корпоративных ресурсов.
  • Публичные центры сертификации: предоставляют услуги широкому кругу лиц и организаций, выпускают сертификаты для веб-сайтов (SSL/TLS), электронной почты (S/MIME), кода (code signing) и электронных документов.
  • Государственные центры сертификации: создаются органами власти для обеспечения электронного взаимодействия в государственных информационных системах (например, Единая система идентификации и аутентификацииЕСИА).

По типу выдаваемых сертификатов

  • SSL/TLS-сертификаты: для защиты соединений между веб-сервером и браузером (доменные, организационные, с расширенной проверкой — EV).
  • Сертификаты электронной подписи: для подписания электронных документов (физических и юридических лиц).
  • Сертификаты для электронной почты: для шифрования и подписания сообщений (S/MIME).
  • Сертификаты для кода: для подписания программного обеспечения (code signing).
  • Квалифицированные сертификаты: в России — для использования в государственных информационных системах (Госуслуги, ФНС, Росреестр).

Устройство и технология

Центр сертификации функционирует на основе инфраструктуры открытых ключей (PKI). Основные компоненты:

  • Корневой центр сертификации (Root CA): самый верхний уровень иерархии. Его сертификат является самоподписанным и служит корнем доверия для всех нижестоящих сертификатов.
  • Промежуточные центры сертификации (Intermediate CA): выпускают сертификаты от имени корневого центра, что позволяет распределять нагрузку и повышать безопасность.
  • Серверы управления сертификатами: программное обеспечение (например, Microsoft Active Directory Certificate Services, OpenSSL, EJBCA), которое автоматизирует процессы выпуска, продления и отзыва сертификатов.
  • Хранилища ключей: защищённые аппаратные модули (HSM) или программные средства для генерации и хранения закрытых ключей.
  • Списки отзыва сертификатов (CRL) и протокол OCSP: механизмы проверки статуса сертификата в реальном времени.

Процесс получения сертификата

Типовая процедура получения сертификата в центре сертификации включает следующие этапы:

  1. Подача заявки: заявитель предоставляет документы, удостоверяющие личность (для физических лиц) или регистрационные данные (для юридических лиц).
  2. Верификация данных: центр сертификации проверяет подлинность предоставленных сведений. Для квалифицированных сертификатов требуется личное присутствие заявителя или использование усиленной неквалифицированной подписи через Единую систему идентификации и аутентификации (ЕСИА).
  3. Генерация ключей: может выполняться как на стороне центра сертификации (с последующей выдачей на защищённом носителе), так и на стороне пользователя (с использованием криптопровайдера).
  4. Выпуск сертификата: создание и подписание сертификата ключа проверки электронной подписи.
  5. Выдача сертификата: передача пользователю в электронном виде или на физическом носителе (токен, смарт-карта, флеш-накопитель).

Применение

Центры сертификации используются в различных сферах:

  • Электронный документооборот: подписание договоров, счетов, актов, отчётности в системах ЭДО (например, «Диадок», «СБИС», «1С-ЭДО»).
  • Государственные услуги: получение доступа к порталу «Госуслуги», подача налоговой отчётности, регистрация юридических лиц, участие в электронных торгах.
  • Банковская сфера: подписание платёжных поручений, кредитных договоров, открытие счетов онлайн.
  • Защита веб-сайтов: установка SSL/TLS-сертификатов для обеспечения безопасного соединения по протоколу HTTPS.
  • Подписание программного обеспечения: подтверждение авторства и целостности кода, предотвращение распространения вредоносного ПО.
  • Электронная почта: шифрование и подписание сообщений для защиты конфиденциальной переписки.

Критика и проблемы

Деятельность центров сертификации подвергается критике по нескольким причинам:

  • Уязвимости безопасности: в истории известны случаи компрометации корневых сертификатов (например, инцидент с DigiNotar в 2011 году, когда злоумышленники получили возможность выпускать поддельные сертификаты для популярных сайтов).
  • Централизация доверия: модель PKI основана на доверии к ограниченному числу центров сертификации, что создаёт единые точки отказа. Компрометация одного центра может поставить под угрозу безопасность миллионов пользователей.
  • Стоимость услуг: получение квалифицированных сертификатов, особенно с расширенной проверкой (EV), может быть дорогостоящим для малого бизнеса и частных лиц.
  • Бюрократические процедуры: в России процесс получения квалифицированного сертификата требует личного присутствия или сложной электронной идентификации, что создаёт неудобства для пользователей.
  • Проблемы с отзывом сертификатов: не все браузеры и операционные системы корректно обрабатывают списки отзыва, что может позволить использовать скомпрометированные сертификаты.

Правовое регулирование в России

В Российской Федерации деятельность центров сертификации регулируется:

  • Федеральным законом № 63-ФЗ «Об электронной подписи» (2011 год) — определяет виды электронных подписей, требования к удостоверяющим центрам и порядок аккредитации.
  • Приказом Минцифры России № 796 от 18 ноября 2021 года — устанавливает требования к аккредитации удостоверяющих центров.
  • Постановлением Правительства РФ № 1119 от 1 ноября 2012 года — утверждает правила аккредитации удостоверяющих центров.
  • Федеральным законом № 152-ФЗ «О персональных данных» — регулирует обработку персональных данных, которые могут содержаться в сертификатах.

Аккредитованные удостоверяющие центры обязаны обеспечивать защиту информации, вести реестр сертификатов, предоставлять доступ к спискам отзыва и соблюдать требования к криптографической защите. Надзор за деятельностью центров осуществляет Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и Федеральная служба безопасности (ФСБ России).

Интересные факты

  • Крупнейший в мире центр сертификации — компания DigiCert, которая в 2017 году поглотила Symantec CA (ранее VeriSign). По состоянию на 2024 год DigiCert выпускает более 3 миллионов сертификатов в год.
  • В России насчитывается более 200 аккредитованных удостоверяющих центров (данные Минцифры на 2024 год). Крупнейшие из них — «Контур», «Такском», «Астрал-М», «Сбербанк-АСТ».
  • Первый в мире сертификат SSL был выпущен в 1995 году компанией VeriSign для интернет-магазина Netscape.
  • В 2023 году в России вступили в силу изменения, требующие обязательного использования квалифицированных сертификатов для всех государственных информационных систем.

Источники

  1. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (с изменениями и дополнениями).
  2. Приказ Минцифры России от 18.11.2021 № 796 «Об утверждении требований к аккредитации удостоверяющих центров».
  3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении Правил аккредитации удостоверяющих центров».
  4. «Криптография с открытым ключом» — Уитфилд Диффи, Мартин Хеллман, 1976.
  5. «Инфраструктура открытых ключей (PKI): теория и практика» — Карл Адамс, Стив Ллойд, 2002.
  6. «Безопасность электронных подписей и центров сертификации» — Брюс Шнайер, 2004.
  7. Данные Минцифры России о реестре аккредитованных удостоверяющих центров (2024).
  8. «DigiNotar: крах доверия» — отчёт Comodo CA, 2011.
  9. «The SSL/TLS Certificate Market» — Netcraft, 2023.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →