Добавить ГОСТ SSL/TLS-сертификат

Как добавить ГОСТ-сертификат как основной (тогда у вас будет один сертификат) или дополнительный (будут сразу два сертификата: международный и ГОСТ)

Что такое ГОСТ-сертификат и зачем он нужен

ГОСТ-сертификат — это разновидность SSL/TLS-сертификата, который основан на российских алгоритмах шифрования, а не зарубежных. Его выдают аккредитованные удостоверяющие центры Минцифры. Такие сертификаты внедрили, чтобы убрать зависимость от иностранных центров сертификации.

В целом, сертификаты нужны, чтобы пользователь мог открыть с вашим ресурсом TLS-соединение. Это безопасное соединение, при котором:

  • Данные передаются в зашифрованном виде, поэтому защищены от кражи (перехватить можно, но прочитать нельзя)

  • Пользователь уверен, что подключается именно к вашему ресурсу, а не к поддельному (фишинговому) сайту

  • Данные передаются целостно – можно быть уверенным, что никто из посредников на сети не изменил данные (например, не подменил файл, который пользователь хотел скачать, на вирус)

Большая часть ресурсов в интернете общаются через TLS – это стандарт. Если TLS-соединение установить не удаётся (для чего, напоминаем, нужен SSL/TLS-сертификат), браузер обычно предупреждает «осторожно, небезопасное соединение» или вообще отказывается открыть страницу.

Без российских сертификатов страна целиком зависит от иностранных CA (Certification Authorities – удостоверяющих центров, то есть органов, которые выдают сертификаты). В случае санкций или политических решений они могут:

  • Отказать в продлении сертификатов для российских компаний

  • Отозвать уже выданные сертификаты

  • Фактически выключить часть критически важных сервисов, сделав их недоступными для пользователей и приложений (браузеры и клиенты не примут недоверенные сертификаты и будут блокировать соединение)

Пример: в 2022 году Сбер попал под санкции. У него был SSL/TLS-сертификат от бельгийского центра GlobalSign, срок действия истекал в феврале 2023 года. Продлить его банк не мог — иностранный центр отказал бы из-за санкций. Чтобы клиенты продолжали пользоваться сервисом без перебоев, Сбер перевёл сайт на ГОСТ-сертификат ещё осенью 2022 года.

Именно поэтому регуляторы (ФСТЭК, ФСБ, Минцифра) требуют от банков, госсектора и критической инфраструктуры использовать ГОСТ-сертификаты. Также по умолчанию они поддерживаются российским Яндекс.Браузером.

Как наша система защиты использует ваши сертификаты и ключи

Система использует ваш SSL/TLS-сертификат (ГОСТ или международный) и приватный ключ, чтобы установить с клиентом TLS-соединение, принять запрос и расшифровать его. В расшифрованном трафике мы видим, какие запросы пришли от нелигитимных ботов – такие запросы блокируем и не пускаем на ваш ресурс.

Если у меня два сертификата, как система понимает, какой использовать?

На основании того, какие алгоритмы шифрования поддерживает клиент, отправивший запрос. Если он:

  • Поддерживает ГОСТ — система выберет ГОСТ-сертификат

  • Поддерживает международные алгоритмы – система выберет международный сертификат

  • Поддерживает и то, и другое – система выберет сертификат, который указан как более приоритетный на стороне клиента

Загрузить ГОСТ-сертификат как основной

  1. Перейдите в настройки вашего ресурса.

    Gost ssltls certificate 1

  2. Откройте вкладку SSL-сертификаты и нажмите Загрузить сертификат.

    Gost ssltls certificate 2

  3. Вставьте цепочку сертификатов в формате PEM и приватный ключ. Нажмите Сохранить.

    Gost ssltls certificate 3

Готово! Вы добавили ГОСТ-сертификат как основной. Теперь наша система защиты будет использовать его для расшифровки трафика к вашим ресурсам.

Загрузить ГОСТ-сертификат как дополнительный

  1. Загрузите основной международный сертификат через настройки ресурса.

  2. Напишите в нашу техподдержку с просьбой добавить ГОСТ-сертификат как дополнительный. Приложите к письму сам сертификат и приватный ключ. Имейл поддержки: cybert@servicepipe.ru.

  3. Мы добавим его вручную и уведомим вас, когда он начнёт работать.

С этого момента у вас будут активны оба сертификата: международный и ГОСТ.