Firefox не открывает портал законопроектов Госдумы из-за устаревшей защиты

16 июля 2020 года

Сайт системы обеспечения законодательной деятельности государственной автоматизированной системы «Законотворчество» (СОЗД ГАС «Законотворчество») перестал быть доступен пользователям последней версии браузера Firefox, сообщает CNews со ссылкой на владельца «Эшер II» Филиппа Кулина, который одним из первых обратил внимание на эту проблему:

«О-о-о-оооо! Моя эс-ка-зэ-и!Ламповый шифр ушедшего лета! О-о-о-оооо! Моя эс-ка-зэ-и! Вечный по-ГОСТ для законопроектов!» — шутит интернет-эксперт, разработчик The Tor Project Леонид Евдокимов (на мотив одного из классиков русского рока).

Мы тоже проверили доступность сайта, и получили тот же самый результат:

Сайт «Законотворчества» расположен в домене sozd.duma.gov.ru (Архивная копия от 22 июля 2020 на Wayback Machine) и является частью официального ресурса Госдумы. На нём размещаются законопроекты, которые вносятся на рассмотрение Госдумы, включая ход их рассмотрение в нижней и верхней палатах российского парламента и Президентом России.

Еще в 2018 г разработчики основных веб-бразуеров — Microsoft (Internet Explorer и Edge), Mozilla (Firefox), Apple (Safari) и Google (Chrome) — сообщили, что с 2020 г. перестанут работать с протоколами TLS 1.0 и TLS 1.1. Нечто подобное происходило и в 2015 г. Тогда ведущие разработчики браузеров отказались от использования протокола SSL 3.0 (предшественник TLS) из-за обнаружившихся проблем с безопасностью.

Это связано с ветхостью указанных протоколов: TLS 1.0 появился в 1999 г., а TLS 1.1 — в 2006 г. Оба протокола используют слабые по современным меркам протоколы и алгоритмы. На момент публикации CNews не удалось получить комментарий от Госдумы по данному вопросу.

«Использовать на сегодняшний день протокол TLS 1.0 — это все равно как в 2000 году использовать операционную систему Windows 3.11, — полагает Филипп Кулин. — При этом сайт Госдумы работает на базе веб-сервера Nginx. Чтобы обеспечить поддержку TLS 2.0, его необходимо пересобрать; это может занять максимум полдня».

«Долго думая — что добавить к этой новости, не могу не вспомнить о том, что, например, сайт обращений к Президенту РФ letters.kremlin.ru до сих пор не имеет своего сертификата, — рассуждает ИТ-специалист, генеральный директор АНО „Информационная культура“ и руководитель проектного направления „Открытые данные“ в Счетной палате Иван Бегтин. — Там только относительно недавно стал отзываться https с сертификатом от другого домена. Раньше, для того чтобы, например, губернатору знать о том на что жалуются граждане Президенту, достаточно было договориться с крупнейшими местными провайдерами чтобы перехватывать все отправленные сообщение от граждан направляемые через незащищённый http протокол. Да и сейчас, пока своего сертификата у домена нет, тоже можно, лишь чуть сложнее, но ничего нереального. Тем более что по умолчанию letters.kremlin.ru только http и поддерживает. Но это всё, разумеется, исключительно умозрительная, нереалистичная ситуация. Конечно же, ни один губернатор, по причине высоких моральных качеств и этических принципов, не мог даже задуматься о подобном».