由于西方国家制裁，导致主流CA机构不再为俄罗斯提供服务，大量俄罗斯网站陷入证书无法更新的困境；俄罗斯数字发展部创建国家CA机构，为网站提供免费替代方案，使用国内证书+国产浏览器解决无法访问的问题；

俄罗斯媒体发布了一份包含198个域名的清单，据称这些域名已经收到使用国内TLS证书的通知，但目前还没有强制推行。

俄罗斯已经建立本国的受信任TLS证书颁发（CA）机构，希望解决西方各国制裁下，国内网站因证书无法续订而引发的访问难题。

西方各国及企业实施的这一轮制裁，导致俄罗斯网站无法更新现有TLS证书，而目前主流浏览器都会阻止用户访问证书过期的网站。

TLS证书可以帮助浏览器确定目标域为经过验证的实体，并确保用户与服务器之间的信息交换受到加密保护。

TLS证书工作原理

根据制裁内容，西方各国的证书颁发机构不再为俄罗斯提供付费服务，大量俄罗斯网站陷入证书无法更新的困境。

一旦证书过期，谷歌Chrome、苹果Safari、微软Edge以及Mozilla Firefox等主流浏览器都将全屏显示“当前页面不安全”的警告，使得一部分用户不再继续访问。

国内替代

为此，俄罗斯政府决定在国内设立证书颁发机构，专门负责TLS证书的独立颁发与更新。

俄罗斯公共服务门户网站Gosuslugi显示，“被撤销或已过期的外国安全证书将被替换。数字发展部将为网站提供免费的国内替代方案。在提交申请后，各法人实体（即网站所有者）将在5个工作日内获得服务。”

俄政府宣布提供国内证书

新的证书颁发机构（CA）还需要面对一个难题，即如何取得浏览器的信任。这需要通过各家浏览器厂商的审查，整个周期恐怕会拖得很长。

目前，唯一接纳俄罗斯新CA的浏览器，只有俄罗斯的Yandex浏览器与Atom产品。俄政府呼吁民众尽可能用这些产品，来替代Chrome、Firefox及Edge等主流浏览器。

已经开始使用俄罗斯国内证书的网站，包括俄罗斯联邦储蓄银行（Sberbank）、俄罗斯外贸银行（VTB）及俄罗斯中央银行等。

符合条件的网站所有者会收到如上通知

俄罗斯媒体发布了一份包含198个域名的清单，据称这些域名已经收到使用国内TLS证书的通知，但目前还没有强制推行。

手动信任的安全风险

使用Chrome、Firefox等浏览器的用户，可以手动添加新的国内根证书，继续正常浏览拥有本国颁发证书的俄罗斯网站。

有人担心俄罗斯可能会滥用其根证书，借此实施HTTPS流量拦截与中间人攻击。针对这一情况，一旦发现此类滥用行为，新的根证书将被列入证书废止列表（CRL）。

俄罗斯受信根CA证书

列入证书废止列表后，这些证书将在实质上失效，导致各网站继续被Chrome、Edge及Firefox等主流浏览器阻止访问。

最近，俄罗斯先后采取一系列措施，意在减轻西方制裁对本国经济造成的影响。很多人认为，俄罗斯之前与全球互联网断开的实验终于有了用武之地，目前正是与互联网切断联系、转向“国内大局域网”的好时机。

针对这些传闻，俄罗斯数字技术部向国内媒体发布了一份声明，明确否认了“脱离全球互联网体系”的说法。

声明：本文相关资讯来自安全内参，版权归作者所有，转载目的在于传递更多信息。如有侵权，请联系本站删除。