Por qué Rusia está creando sus propios certificados TLS y necesita que sus ciudadanos no usen Chrome

Los organismos certificadores de países que han impuesto sanciones económicas a Rusia no pueden procesar los pagos para la renovación de certificados TLS, por lo que los navegadores marcan las webs rusas con certificados caducados como inseguras

Rusia busca alternativas para renovar los certificados de seguridad emitidos por autoridades certificadores de países que han tomado medidas contra Rusia por la invasión de Ucrania.
Rusia busca alternativas para renovar los certificados de seguridad emitidos por autoridades certificadores de países que han tomado medidas contra Rusia por la invasión de Ucrania. FOTO: La Razón (Custom Credit) cortesía de Yuri Samoilov.

Entre las crecientes dificultades que Rusia está encontrando como consecuencia de las sanciones impuestas tras el inicio de la invasión de Ucrania se añaden los problemas para acceder a sitios web. El motivo reside en la imposibilidad de renovar los certificados raíz de seguridad TLS, más comúnmente referido como SSL, al no poder procesar pagos con autoridades certificadoras de los países que participan en las medidas contra Rusia, según informa Bleeping Computer.

Por ese motivo, Rusia ha creado su propia autoridad certificadora (CA) para emitir certificados TLS con los que las webs rusas eviten ser marcadas por los navegadores como inseguras. Un certificado TLS (Transport Layer Security o seguridad de la capa de transporte) es un protocolo de seguridad que confirma al navegador que el dominio al que se conecta pertenece a una entidad verificada y permite la encriptación de la comunicación entre las dos máquinas. Los navegadores identifican una conexión segura en una web con el icono del candado en la barra de direcciones de web y cuando no encuentra un certificado TLS válido advierten al usuario que la conexión no es segura. Navegadores como Google Chrome, Safari, Microsoft Edge y Mozilla Firefox muestran avisos a página completa previniendo contra continuar la navegación en ese sitio.

Tal y como explica el portal de servicios públicos ruso Gosuslugi en el que se puede solicitar el certificado TLS ruso, éste “reemplazará al certificado de valores extranjero si es revocado o caduca. El Ministerio de Desarrollo Digital proporcionará un análogo doméstico gratuito. El servicio se proporciona a personas jurídicas – propietarios de sitios previa solicitud dentro de los 5 días hábiles”.

Sin embargo, para que los navegadores más usados admitan el nuevo certificado TLS éste debe pasar un proceso de validación por varias compañías que puede prolongarse en el tiempo y también estar condicionado por las actuales sanciones contra Rusia.

Por ese motivo, las autoridades rusas solicitan a los usuarios que usen el navegador ruso Yandex o el plug-in Atom Browser, que lo reconocen como confiable, y abandonen opciones tan populares como Google Chrome, Safari, Microsoft Edge y Mozilla Firefox. Algunas webs que ya están funcionando con el certificado de seguridad TLS ruso son las del Banco Central Ruso, Sberbank y VTB.

Los usuarios que naveguen desde Rusia y no quieran cambiar a Yandex tienen la opción de agregar manualmente el nuevo certificado TLS, pero también existen riesgos de seguridad. Por ejemplo, que Rusia aproveche su certificado para interceptar el tráfico HTTPS o realizar ciberataques del tipo “man in the middle”. Esto podría llevar a que el certificado raíz emitido por Rusia se agregue a la lista de revocación de certificadores de los navegadores y no pueda accederse de forma segura a las webs rusas.