Спецпроекты

Госпортал российских законопроектов остался в интернете «без защиты»

Безопасность Бизнес Интернет Интеграция ИТ в госсекторе

Федеральный портал проектов нормативных правовых актов regulation.gov.ru несколько часов взаимодействовал с пользователями в незащищенном виде, допускавшем перехват данных. В итоге проблема была решена за счет спешного применения бесплатного краткосрочного сертификата шифрования взамен просроченного и вовремя не продленного коммерческого длительного действия.

Просроченная безопасность regulation.gov.ru

Как выяснил CNews, федеральный портал проектов нормативных правовых актов regulation.gov.ru, оператором которого выступает Минэкономразвития, 6 апреля 2021 г. начал взаимодействовать с пользователями в незащищенном режиме.

Предупреждения об этом стали выдавать все основные интернет-браузеры, указывая, что действие SSL/TLS-сертификата безопасности (от англ. Secure Sockets Layer и Transport Layer Security), продлившееся более года, иссекло в 15 часов по московскому времени.

Как известно, подобный сертификат выдается на ограниченный срок и подтверждает принадлежность домена конкретной организации, выступая своего рода электронно-цифровой подписи для сайта. Сертификат используется для безопасной передачи данных в зашифрованном виде по протоколу HTTPS. Если сертификат оказывается недействительным (истек срок его действия или он был отозван центром сертификации), данные между сайтом и пользователями начинают передаваться в незашифрованном виде, а значит могут быть сравнительно легко перехвачены и расшифрованы.

reg600.jpg
Портал regulation.gov.ru с пробуксовкой обновил сертификат безопасности — на бесплатный короткого действия

Истекший сертификат был выдан мировым грандом этого рынка — американской компанией DigiCert.

На момент публикации данного материала представители Минэкономразвитя, которое выступает оператором regulation.gov.ru, объяснить CNews причины возникновения описанной ситуации объяснить не смогли.

Проблему устранили бесплатным сертификатом короткого действия

Более чем через два часа после возникновения проблемы она все же была устранена. Интернет-браузеры стали сообщать, что защищенный статус соединения с сайтом подтвержден сертификатом с трехмесячным сроком действия — до 6 июля 2021 г.

С одной стороны, короткий срок действия сертификата можно считать благом. На рынке безопасности есть приверженцы практики обновления сертификатов как можно чаще, а эксперты Google даже призывают сделать трехмесячный срок в качестве предельного своеобразным стандартом отрасли.

Однако в случае с regulation.gov.ru обращает на себя внимание тот факт, что его администраторы спешно сменили сам тип сертификата, а также удостоверяющий центр. Новый сертификат выдан австрийской организацией ZeroSSL и является бесплатным.

У прошлого удостоверяющего центра, DigiCert бесплатных сертификатов не существует. Стоимость же базовых вариантов годичного действия начинается от $238.

Несколько фактов о regulation.gov.ru

Портал regulation.gov.ru был создан для размещения госорганами информации о подготовке проектов нормативных правовых актов и оценки их регулирующего и фактического воздействия, а также для публикации результатов общественного обсуждения. Пользователями портала являются представители федеральных и региональных органов исполнительной власти, граждане и представители организаций.

Портал создавался и поддерживается в рамках реализации государственной программы России «Информационное общество». Зеленый свет проекту в 2012 г. дал Президент Владимир Путин одним из своих так называемых майских указов. Им был утвержден принцип раскрытия рассматриваемой здесь информации. До этого нормативные правовые акты размещались на сайтах разрабатывавших их ведомств.

В последние годы из известных интеграторов развитием и поддержкой портала занимались «Наумен» и «Техносерв».