Пока все испражнялись в остроумии с фоточкой магнита и ключей “первый провайдер сдал ключи пользователей на магнитном носителе”, я реально поковырял одним пальцем в будущем российском яронете.

Для понимания большим числом читателей, я упростил техническое описание будущего, что, впрочем, не меняет сути ожидаемой трансформации рунета в яронет.

Начало. Приходит письмо в котором в двух стоках сообщается, что если есть проблемы с доступом к интернет, то необходимо поставить прилагаемый корневой сертификат ( двоичный или текстовый файл ) , который будет выступать дополнительной защитой при подключении к системе контентной фильтрации провайдера (СКФП).

В СКФП реализован принцип “черных списков” формируемых по досудебному принципу: достаточно инициативы надзорных органов и сайт, страница или ресурс перестают открываться в интернет-браузере или программе клиенте.

С ключом, на первый взгляд, появляется простая блокировка соединения - если корневой сертификат доступа не установлен, то доступа к интернет нет в принципе.

Попробуем проигнорировать предложение и попытаемся получить доступ без сертификата провайдера к защищенным SSL-сервисам: онлайн-банкам, почтовым и поисковым серверам, платёжным шлюзам, сайтам, шифрующим соединения.

Попытка получить информацию из сети натыкается на предупреждение о том, что “злоумышленники пытаются похитить ваши данные”, перестает работать механизм обновления программного обеспечения и службы времени.

Если кликнуть по пиктограмме замка в строке адреса, то появятся данные переданные браузеру сервером в процессе установления доверия к соединению, который называется “рукопожание”.

Действительно ли сайт google подкинул нам для сеанса сертификат, который может использоваться для похищения наших секретных данных? Давайте кликнем по ссылке “Данные сертификата”

В первом параграфе отмечен сайт, пытающийся проверить подлинность нашего сертификата: *.google.com (http://google.com/)
а вот во втором появляется действительное название организации, запинавшей в браузер свой ключ на момент установления связи с защищенным, доверенным сервером —  “Content Filtering System / OblCIT”.

Между нами и Google появился посредник, подбирающий под себя сеанс связи и выдающий нам “ключ к интернет”, которые не признаётся ни одним из Сертифицирующих центров, поскольку подписан “левой”, с точки зрения всего остального интернета, организацией, раздающей со своего сервера сомнительные предложения использовать себя в качестве ещё одного звена в цепочке подтверждающей подлинность подключения и предлагающей шифровать в дальнейшем конфиденциальные данные с использованием известного ей набора ключей.

Не совпадают даже алгоритмы, подпись и длина ключа шифрования.

Но делать нечего, устанавливаем сертификат на компьютер, в хранилище “доверенных корневых сертификатов”. Запускаем браузер и проверяем, что получится.

Картинка, вроде, О.К., зеленый замочек в адресной строке на месте, соединение защищено, давайте гляем чем.

И тут, вроде, всё нормально, но кликнем на ссылку “Соединение”.

Печалько, мы теперь прочно сидим на ключе шифрования посредника, который положил себе в карман сертификат Google, ключи шифрования сеанса и на лету распаковывает наши запросы, вероятно пропускает их через систему глубокого анализа трафика ( DPI ), запаковывает ключами Google и отправляет на целевой сервер. С полученным ответами ситуация примерно такая-же: распаковка ключами Google → DPI → Запаковка своими левыми ключами → Отправка нам в качестве поощрения за доверие.

Глянем на “импортозамещение”

Та же унылая картинка.

Так что увы. Все крики о том, что “Что они будут делать с моим зашифрованным трафиком!”, “Мессенждеры применяют шифрование “Точка-Точка” и ключ каждый раз генериться новый!” - это тупо отмазки.

Еще пять минут - и вы сами, скрипя зубами, принесете свои ключики от финансовых, личных или осуждаемых секретов на блюдечке с голубой каёмочкой.