21 июня в системе отслеживания ошибок Bugzilla пользователем "Iakov, son of Isaac" был заведен трек "HARICA: Продолжается выдача и отказ в аннулировании сертификатов TLS для организаций, находящихся под санкциями ЕС".
В адрес HARICA были направлены уведомления о нарушении санкционного режима ЕС, на что греческий УЦ ответил отказом и заявил, что:
"Все выданные сертификаты являются сертификатами с проверкой домена (DV). Как таковые, они содержат исключительно информацию, относящуюся к данному домену, без указания какого-либо физического или юридического лица. Для выдачи таких сертификатов не требуется дополнительная проверка нашей стороны"
УЦ подчеркнул, что готов отозвать сертификаты только по официальному запросу компетентных органов.
Обращенцы в комментариях продолжают настаивать:
🔹Регламент ЕС № 269/2014 запрещает предоставление экономических ресурсов подсанкционным лицам. Услуги УЦ являются таковым ресурсом.
🔹Многие из доменов напрямую упоминаются в санкционных документах.
🔹Другие УЦ (Let's Encrypt, GlobalSign, Actalis) отозвали сертификаты после аналогичных уведомлений.
HARICA заняла твёрдую позицию:
🔹DV-сертификаты проверяют только контроль над доменом, а не организацию-владельца.
🔹Автоматизированная система выдачи сертификатов не включает проверку по санкционным спискам.
🔹Проверка по санкционным спискам проводится только в том случае, если клиент запрашивает бизнес-счет (invoice) на юридическое лицо. Если же клиент оплачивает как физическое лицо и получает обычный чек, проверка не проводится.
🔹Отзыв будет произведен только по требованию регулирующих органов.
Обращенцы не унимаются и сообщают о направленных жалобах в:
🔹ETSI-аудитора HARICA (QMSCERT);
🔹Национальный регулятор Греции (EETT);
🔹ACM и Греческую университетскую сеть (GUnet).
Мы с вами наблюдаем фундаментальное столкновение технических стандартов и юридических норм ЕС. HARICA использует технологическую особенность DV-сертификатов, как щит для уклонения от санкционных обязательств.
Итоговое решение по инциденту может определить важный прецедент: должны ли УЦ нести ответственность за конечных получателей своих услуг, даже если их технические процессы не требуют прямой проверки личности?
✅ Премиальные бренды, которые ты знаешь — без лишних наценок и напрямую от поставщиков. Работаем уже более 5 лет!
⚡ Tom Ford, EA7, Burberry, Premiata, Moncler, Chrome Hearts, Loro Piana, Prada, Brunello Cucinelli, Hugo Boss, LV, Tommy Hilfiger, D&G, Polo Ralph Lauren, Hermes и др.
🚗 Доставка с примеркой по Москве, в другие города России и СНГ — быстро, надёжно и без задержек.
💰 Скидки до -80% в нашем дисконт Telegram-канале.
❤️ Тысячи моделей в наличии, новинки каждый день — без переплат и лишней суеты!
AI - не будущее. Это настоящее вашего бизнеса.
Телеграм-канал "AI для бизнеса" знает все о внедрении и использовании искусственного интеллекта в бизнесе в России и мира. Только со своими подписчиками канал делится:
- как внедрить искусственный интеллект в реальные бизнес-процессы,
- разборами кейсов: как компании сократили затраты на 30-50% с помощью AI,
- лайфхаками по автоматизации рутинных задач,
- новостями мира AI и разборами трендов.
Мне просто рассказывать про лицензию на СКЗИ, т.к. в организациях где раньше работал, я либо сам участвовал в получении лицензии по 313-ПП, в её переоформлении и добавлении новых пунктов, либо она уже была получена до меня.
Рассмотрим процесс лицензирования через призму Цифрового рубля и банков.
Ранее мы с вами выяснили, что лицензия по 313-ПП требуется при осуществлении деятельности, оказании услуг в интересах третьих лиц, а не для собственных нужд. Подписчики выяснили, например, что у Озон Банка в выписке из ЕГРЮЛ отсутствует информация о наличии лицензии ФСБ.
Какие пункты из приложения подходят под Цифровой рубль? Спойлер - практически, как для ДБО, давно это обсуждение велось на форуме КРИПТО-ПРО, Юрию Геннадьевичу отдельная благодарность.
Пройдём по пунктам, которые нужны в лицензии:
🔹8, разработка защищённой системы с использованием СКЗИ - т.к. осуществляется встраивание СКЗИ (входящего в состав Программного модуля Банка России)
🔹12, 13 - монтаж СКЗИ и разработанных защищённых систем
🔹21 - передача СКЗИ, которое клиент использует для подписания информации НЭП, а также построения защищённого канала
🔹25 - услуги по шифрованию информации - выше была передача СКЗИ, а здесь уже услуга по защите каналов связи с использованием TLS-сертификатов, для которых разворачивается отдельный УЦ
🔹28 - изготовление ключей НЭП, а также для защищённых подключений.
Пишите свои комментарии, достаточно ли данного перечня.
На этом фоне интересно, что же там могли взломать в рамках Standoff:
Организаторы смоделировали реальную архитектуру: центральную платформу и банки-посредники.
Нет ни описания стенда, ни отчёта.
Что считалось взломом Цифрового рубля - изменение суммы или получателя платежа, доступ к ключам ЭП, средствам УЦ?
Систему подвели не изощрённые атаки, а базовые ошибки конфигурации: стандартные пароли, отключённая проверка цифровых подписей и отсутствие контроля прав доступа.
Если проверка ЭП была отключена, то какая это реальная архитектура? Не серьёзно это, Standoff.