Разговоры о запрете TLS 1.3

Давайте попробуем разобраться хорошая ли идея запретить TLS 1.3 и к чему это может привести.

Вообще повсеместное шифрование это конечно головная боль для системных администраторов перед которыми частенько ставят задачи заблокировать те или иные ресурсы в конторах. Но это только одна грань и хотя шифрование не является безопасностью, а является конфиденциальностью тем не менее она является частью безопасности, например в отношении передачи данных.

ЗАПРЕТ НА ТЕРРИТОРИИ РФ

Цитата с CNews:

Минцифра подготовила поправки к закону «Об информации, информационных технологиях и защите информации» о запрете использования на территории России протоколов шифрования, позволяющих скрыть имя интернет-страницы.

Итак, что же подразумевается под запретом на территории России? Одному богу известно, но если взять расположение серверов и домены, то наверное имеется ввиду, что под запрет попадают ресурсы чьи сервера находятся на территории России и/или домены в зоне .ru и .рф. Получается если ваш сервер где нибуть на территории Европы и в другом домене, то вы не обязаны отключать TLS.

ПОНИЖЕНИЕ TLS

Цитата с VZ:

«Если заблокируют протокол в TLS 1.3, то все ресурсы автоматически перейдут на протокол предыдущего поколения TLS 1.2. Ничего страшного не случится», – отмечает эксперт.

Сильное заявление, но я не представляю как можно заблокировать протокол шифрования. Конечно можно попробовать отличить TLS 1.3 от TLS 1.2 например проверкой той же eSNI, но какой смысл? Ведь TLS настраивается на серверах, а серверы могут находится за пределами территории страны. Можно конечно браузеры заставить блокировать сайты, которые находятся в пределах страны и используют TLS 1.3 сговорившись с разработчиками браузеров и операционных систем, но почему тогда нельзя сделать свои корневые сертификаты и договорится, чтобы они же включили их по-умолчанию в хранилище сертификатов и таким образом получить легитимную возможность блокировать любые ресурсы в сети интернет по доменному адресу? Что даст возможность блокировать исключительно российские сайты? В чем выгода? Получается, что если Facebook и в Vkontakte резко начнут критиковать власть, то будет заблокирован только Vkontakte? И вообще как будет работать автоматическое понижение TLS 1.3 до 1.2, если при обнаружении использования TLS 1.3 сервер будет заблокирован? Если администратор сервера получив предупреждение побежал вручную понижать уровень шифрования трафика, то это отнюдь не автоматика.

ПОСЛЕДСТВИЯ

Что происходит, когда понижают уровень безопасности в банках? Правильно — ее грабят. Что будет с страной, которая понижает свой уровень безопасности? Правильно — ее … Вообщем пойдет волна взломов и утечек данных. И в этот раз пострадает не народ, а конторы в том числе и государственный сектор поскольку народ в большинстве своем использует ресурсы иностранные, которые находятся вне территории страны и преимущественно в домене .com, а значит блокировать себя не станут поскольку не попадают под закон. Да и кто станет в здравом уме…

ВЫВОДЫ

Как всегда пытаясь заблокировать что-то стреляем себе в ноги. Нагадили из-за бугра — заблокировали себя от бугра. Ефремов убил — виновата вся страна. Вот так и живем. С таким же успехом можем просто отложить в сторонку ядерный арсенал.