Сайт Минцифры России: бесплатные TLS-сертификаты обеспечат доступность сайтов

СМЭВ версии 4.0

Минцифры России в целях повышения эффективности межведомственного электронного взаимодействия между ФОИВ, государственными внебюджетными фондами, исполнительными органами государственной власти субъектов РФ, органами местного самоуправления, государственными и муниципальными учреждениями, МФЦ, иными органами и организациями подготовлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства Российской Федерации от 8 сентября 2010 г. № 697».

Проектом постановления предполагается выделение отдельной версии СМЭВ 4.0, представляющий собой единый технологический способ предоставления данных из информационных систем органов и организаций посредством исполнения зарегистрированных запросов к витринам данных, а также взаимная интеграция сервисов СМЭВ и ФГИС «Единая информационная платформа национальной системы управления данными».

Минцифры России хочет обязать браузеры и ОС перейти на национальные сертификаты шифрования.

"Яндекс" уже обещает добавить поддержку сертификатов Национального УЦ, и сообщает, что проблемы безопасного доступа к российским госсайтам на всех платформах с Я.Браузером будут решены.

Действительно, Яндекс.Браузер один из немногих браузеров, поддерживающих криптографические алгоритмы ГОСТ (также ГОСТ поддерживают Internet Explorer, Chromium ГОСТ и сборка Спутника). Но для установки защищённых ГОСТовых соединений на компьютере необходимо наличие отечественного криптопровайдера (CSP) - КриптоПро CSP или ViPNet PKI Client.
Наш канал надеется, что Яндекс понимает, что анонсирует, поскольку есть определенные сомнения, что шифрование будет организовано по алгоритму ГОСТ.

10 крупнейших УЦ по количеству созданных сертификатов за первые два месяца 2022 года
(на основании отчета СМЭВ):
1. Федеральная налоговая служба - 433,9 тыс. (январь - 216 тыс., февраль - 217,9 тыс.)
2. Федеральное казначейство - 339,7 тыс. (январь - 181 тыс., февраль - 158,7 тыс.)
3. КОРУС КОНСАЛТИНГ СНГ - 183,7 тыс. (январь - 74 тыс., февраль - 109,7 тыс.)
4. ТАКСКОМ - 167,5 тыс. (январь - 78 тыс., февраль 89,5 тыс.)
5. Тензор - 148,0 тыс. (январь - 21,5 тыс., февраль - 126,5 тыс.)
6. МОДУМ - 127,6 тыс. (январь - 51 тыс., февраль - 76,6 тыс.)
7. СКБ КОНТУР - 59,9 тыс. (январь - 28 тыс., февраль - 31,9 тыс.)
8. Тинькофф Банк - 55,5 тыс. (январь - 27 тыс, февраль - 28,5 тыс.)
9. Сертум-Про - 53,5 тыс. (январь - 23,7 тыс., февраль - 29,8 тыс.)
10. ЕЭТП - 48,9 тыс. (январь - 21,9 тыс., февраль - 27 тыс.)

Из 1 млн 825,8 тыс. сертификатов, выданных всеми АУЦ в январе-феврале 2022 года (январь 839,5 тыс., февраль - 986,3 тыс.), 1 млн. 618 тыс. выданы первой десяткой удостоверяющих центров.

На портале Госуслуг доступно получение TLS-сертификатов безопасности для аутентификации сайта в интернете при установлении защищенного соединения.
Удостоверяющий центр - Минцифры, отечественный:
CN = Russian Trusted Root CA
O = The Ministry of Digital Development and Communications
C = RU,
используемые алгоритмы (RSA) - импортные.

Список доменов, в отношении которых выпущены сертификаты безопасности, содержит 189 адресов.

Информация об утверждении нормативных правовых актов, регламентирующих работу национального удостоверяющего центра по бесплатной выдаче TLS-сертификатов российским юридическим лицам - отсутствует.

В сегодняшней ситуации многие компании и граждане столкнулись с большими проблемами подписания и доставки документов курьерскими службами, Почтой России и зарубежными электронными сервисами.
Основатели SkyDoc.io открыли для всех бесплатный доступ к сервису быстрого подписания электронных документов с фил. лицами и компаниями, которые работают, в том числе, за рубежом .
Если вам нужно срочно подписать документы:
- с партнерами за рубежом или внутри РФ;
- с головными офисом, находящемся в другой стране;
- с физ.лицом за границей для продолжения сотрудничества;
то вы можете это сделать с помощью SkyDoc.
SkyDoc не просит никакого финансового вознаграждения или обязательств оплаты на ближайшие полгода. Цель - помочь компаниям и людям как можно быстрее выбраться из пикирующего состояния и наладить рабочие процессы. Если подписание документов электронным способом может этому способствовать будем искренне рады - сообщил представитель компании.

Данные СМЭВ о регистрации квалифицированных сертификатов в 2022 году аккредитованными (и не только) удостоверяющими центрами

Актуализирован список доменов, в отношении которых выпущены сертификаты безопасности.
По номером 303 указан адрес портала Госуслуг - *.gosuslugi.ru, но до настоящего времени портал Госуслуг использует сертификат от Sectigo RSA Domain Validation Secure Server CA

ФНС России ведется доработка информационных систем, которая позволит обеспечить выпуск квалифицированных сертификатов ЭП, предназначенной для ее автоматического создания (проверки) в электронном документе, индивидуальным предпринимателям, выполняющим функции операторов информационных систем, в случае принятия соответствующих нормативных правовых актов.

Также ФНС России считает, что обеспечение конфиденциальности ключей ЭП возможно только путем формирования неэкспортируемых ключей ЭП и использования для их записи сертифицированных носителей ключевой информации.

Это всё следует из ответа направленного письмом ФНС России от 02.03.2022 № ПА-3-24/1833@ на вопрос об использовании квалифицированной электронной подписи и получении квалифицированных сертификатов в Удостоверяющем центре ФНС России ИП, имеющим несколько торговых точек

Ответ: Обращение от 01.02.2022 по вопросу применения индивидуальным предпринимателем квалифицированной электронной подписи в государственной информационной системе мониторинга за оборотом товаров, подлежащих обязательной маркировке средствами идентификации [прим., Честный ЗНАК], рассмотрено.
Сообщаем, что Удостоверяющий центр ФНС России осуществляет функции по выпуску квалифицированных сертификатов ключа проверки электронной подписи (далее — квалифицированный сертификат) для индивидуальных предпринимателей в соответствии со статьей 17.3 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи» (далее — Федеральный закон N 63-ФЗ).
Удостоверяющий центр ФНС России (далее — УЦ ФНС России) является аккредитованным удостоверяющим центром и осуществляет свою деятельность, руководствуясь положениями Федерального закона N 63-ФЗ, в соответствии с Порядком реализации ФНС России функций аккредитованного удостоверяющего центра, утвержденным приказом ФНС России от 30.12.2020 N ВД-7-24/982@ (зарегистрирован в Минюсте России 14.05.2021 N 63416) (далее — Порядок).
В соответствии с пунктом 4 части 2 статьи 13 Федерального закона N 63-ФЗ удостоверяющий центр обязан обеспечивать конфиденциальность созданных им ключей электронной подписи.
Обеспечение же конфиденциальности ключей электронной подписи также является обязанностью каждого из участников электронного взаимодействия (п. 1 ч. 1 ст. 10 Федерального закона N 63-ФЗ).
Выполнение указанных требований возможно только путем формирования неэкспортируемых ключей электронной подписи и использования для их записи сертифицированных носителей ключевой информации, в связи с чем их использование в УЦ ФНС России предусмотрено пунктами 16 и 22 Порядка.
Указанные требования согласованы с регулятором в области обеспечения безопасности — ФСБ России.
Необходимо отметить, что в соответствии с пунктом 8 Требований к средствам электронной подписи, утвержденных приказом ФСБ России от 27.12.2011 N 796, средства электронной подписи должны показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает, и создавать соответствующую электронную подпись только после подтверждения ее создания лицом, подписывающим электронный документ.
Соблюсти указанное требование при одновременном применении квалифицированной электронной подписи индивидуального предпринимателя в нескольких точках продаж невозможно.
Вместе с тем указанные требования не применяются в случае автоматического создания (проверки) электронной подписи в информационных системах.
Выпуск УЦ ФНС России квалифицированного сертификата электронной подписи, предназначенной для автоматического создания (проверки) электронной подписи в электронном документе, возможен только в случае, если владельцем указанного сертификата является юридическое лицо — оператор информационной системы (п. 5 ч. 1 ст. 17.2 Федерального закона N 63-ФЗ).
При этом выпуск УЦ ФНС России сертификатов электронной подписи, предназначенной для ее автоматического создания (проверки) в электронном документе, индивидуальным предпринимателям в настоящее время не предусмотрен положениями Федерального закона N 63-ФЗ.

Однако в соответствии с изменениями, внесенными 30.12.2021 в Федеральный закон от 27.12.2019 N 476-ФЗ, при участии в правоотношениях представителя индивидуального предпринимателя допускается применение квалифицированной электронной подписи индивидуального предпринимателя, квалифицированный сертификат которой выпущен аккредитованным после 01.07.2020 удостоверяющим центром, с указанием в качестве владельца сертификата представителя индивидуального предпринимателя (п. 2.6 ст. 3 Федерального закона от 27.12.2019 N 476-ФЗ).
В связи с изложенным для использования квалифицированной электронной подписи индивидуальным предпринимателем в нескольких точках продаж необходимо получение соответствующих квалифицированных сертификатов представителями индивидуального предпринимателя, получить которые можно, обратившись в любой удостоверяющий центр, получивший аккредитацию после 01.07.2020, обеспечивающий выпуск квалифицированных сертификатов физическим лицам.
Перечень аккредитованных удостоверяющих центров размещен на официальном сайте Минцифры России и доступен по следующей ссылке: https://digital.gov.ru/ru/activity/govservices/certification_authority/.
Обращаем внимание, что федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере использования электронной подписи, является Минцифры России (ст. 8 Федерального закона N 63-ФЗ).
В соответствии с абзацем 3 пункта 1 и пунктом 6.6 положения о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации, утвержденного постановлением Правительства Российской Федерации от 02.06.2008 N 418, Минцифры России предоставляет разъяснения по вопросам, отнесенным к его компетенции.
Дополнительно сообщаем, что в настоящее время ФНС России ведется доработка информационных систем, которая позволит обеспечить выпуск квалифицированных сертификатов электронной подписи, предназначенной для ее автоматического создания (проверки) в электронном документе, индивидуальным предпринимателям, выполняющим функции операторов информационных систем, в случае принятия соответствующих нормативных правовых актов.

В промежуточную версию КриптоПро CSP 5.0 R3 (сборка 5.0.12417 Osiris) добавлена поддержка корневых сертификатов:
- ГОСТ-сертификат Минцифры России от 2022 года;
- RSA-сертификат Минцифры России от 2022 года;
- ГОСТ-сертификат НУЦ.

⚡️Новости про ЭЦП от ФНС

Вчера с ФНС прилетел прелюбопытнейший по содержанию и дичайшей глупости по смыслу документ - письмо Управления информационной безопасности, в котором сообщается, что какие-либо документы, кроме паспорта, СНИЛС и ИНН у заявителя требовать запрещается, выдача ЭЦП осуществляется в соответствии с положениями 63-ФЗ, а не НК РФ, ввиду чего выдача ЭЦП не является механизмом проведения мероприятий налогового контроля.

Большего бреда представить себе нельзя, первая мысль автора была, когда он это прочитал, а согласована ли такая позиция с руководством ЦА ФНС? С заместителями, курирующими контрольный блок, АСК НДС-2?

То есть мощнейший инструмент для личной и добровольной явки номиналов в налоговый орган ФНС не считает допустимым для проведения мероприятий налогового контроля.

С одной стороны, такие заявления от информатизаторов выглядят логично, им абсолютно наплевать на разрывы, технички, номиналов и поступления в бюджет, но с другой стороны, взгляд на упорный труд коллег по борьбе с бумажным НДС, площадками, номиналами, должен был им подсказать, что нельзя так просто разбрасываться такими заявлениями и поручениями.

По мнению автора, в той светлой голове, предложившей передать ФНС полномочия по выдаче ЭЦП, конечной целью такой технически сложной задумки было как раз пресечение деятельности компаний с сомнительными финансовыми операциями и поставщиков бумажного НДС путем отказа в выдаче ЭЦП всяким номиналам, за которым они, по задумке авторов законопроекта, должны явиться в налоговую лично, чем не преминули воспользоваться находчивые налоговики, проводя попутно многочасовые допросы и склоняя номиналов к подписанию 34 формы.

Сам факт экстерриториального принципа выдачи ЭЦП и так добавил массу проблем и негатива, когда ЭЦП руководитель компании может получить вообще в любом налоговом органе страны, что страшно неудобно и нелогично, идеально было бы заставить налогоплательщиков получать ЭЦП там, где на учёте стоит ООО или ИП, ну да ладно, все для них, ну так теперь ещё и громкие заявки на победу с намёками о недопустимости проведения мероприятий налогового контроля в ходе оказания услуги по выдаче ЭЦП. А мероприятие тут всегда по сути одно - допрос с пристрастием, статья 90 НК РФ, и вроде как в ней нет оговорки о том, что допрос может проводиться только при определённых причинах явки свидетеля в налоговый орган, однако ЦА ФНС считает иначе, что не может не вызвать приступ грусти.

Вдобавок в письме содержится оговорка о недопустимости компроментации ключей ЭЦП, выданных УЦ ФНС, в отсутствие достаточных оснований, так как такие действия похожи на превышение полномочий, содержат коррупционную составляющую и вообще негативно влияют на имидж ФНС.

Ну тут без комментариев, иногда это вообще единственный путь привести налогоплательщика в чувство, напомнить ему о том, что надо и меру знать.

Вдобавок этим же письмом напомнили, что продолжается эксперЕмент (оригинальная орфография сохранена) по подготовке и подаче заявлений в УЦ ФНС через операторов электронного документооборота, недопустимо терять такие заявки и забивать на их рассмотрение, так как это дискредитирует уже операторов электронного документооборота, согласившихся принять участие в эксперЕменте.

Грустное и вредное письмо, получение которого прочно закрепило в голове автора вопрос - точно ли его текст, смысл и содержание согласованы с руководством ФНС, для которого борьба с этим пластом недобросовестных технических компаний вышла на первый план? Не вредит ли оно репутации и имиджу ЦА ФНС? Не противоречит ли всей кропотливой работе, проводимой контрольным блоком ФНС в этом направлении? Не потворствует ли развязыванию рук всяким номинальным личностям на неправомерное завладение и использование ЭЦП УЦ ФНС в противоправных целях?

В общем, есть над чем поразмыслить...

Интересная позиция канала Налоговый инспектор, который не согласен, что "выдача ЭЦП осуществляется в соответствии с положениями 63-ФЗ, а не НК РФ".

Можем только подтвердить - выдача удостоверяющими центрами квалифицированных сертификатов осуществляется только согласно законодательству об электронной подписи.

Письмо Минцифры России от 18.02.2022 N П15-3584-ОГ "О рассмотрении обращения"

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации рассмотрело обращение и сообщает следующее.

В настоящее время отношения в области использования электронных подписей регулирует Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон N 63-ФЗ) и иные принимаемые в соответствии с ним нормативные правовые акты.

Согласно части 3 статьи 14 Федерального закона N 63-ФЗ, в случае выдачи сертификата ключа проверки электронной подписи юридическому лицу в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности.

В соответствии с пунктом 2.1 статьи 3 Федерального закона от 27 декабря 2019 г. N 476-ФЗ "О внесении изменений в Федеральный закон "Об электронной подписи" и статью 1 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее - Федеральный закон N 476-ФЗ), изменения в часть 3 статьи 14 вступают в силу с 1 марта 2022 года.

При этом, согласно пункту 2.4. статьи 3 Федерального закона N 476-ФЗ, в случае, если от имени юридического лица действует лицо, не являющееся уполномоченным на действия от имени юридического лица без доверенности, для подписания электронного документа допускается также применение квалифицированной электронной подписи юридического лица, квалифицированный сертификат которой выдан удостоверяющим центром, получившим аккредитацию в соответствии с требованиями статьи 16 Федерального закона N 63-ФЗ после 1 июля 2020 года, с указанием в качестве владельца также физического лица, являющегося таким представителем юридического лица. Представление доверенности в электронной форме в машиночитаемом виде в данном случае не требуется.

Руководствуясь пунктом 2.7 статьи 3 Федерального закона N 476-ФЗ такие квалифицированные сертификаты должны иметь срок действия не позднее 31 декабря 2022 года. В случае, если такие квалифицированные сертификаты имеют срок действия после 31 декабря 2022 года, такие квалифицированные сертификаты действуют до 31 декабря 2022 года.

В свою очередь норма пункта 9 статьи 1 Федерального закона N 476-ФЗ, вступающая в силу с 1 марта 2022 г., вносит изменения в часть 3 статьи 14 Федерального закона N 63-ФЗ, в соответствии с которой в случае выдачи сертификата ключа проверки электронной подписи юридическому лицу в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица без доверенности.

На основании вышеизложенного, возможность выдачи после 1 марта 2022 г. аккредитованными удостоверяющими центрами квалифицированных сертификатов с указанием наряду с наименованием юридического лица физического лица, действующего от имени юридического лица на основании доверенности, ограничена положениями пунктов 2.4 и 2.7 статьи 3 Федерального закона N 476-ФЗ, то есть возможна до 31 декабря 2022 г.

Дополнительно обращаем внимание, что в отношении квалифицированных сертификатов действующих в силу пунктов 2.3 - 2.6 статьи 3 Федерального закона 476-ФЗ использование доверенностей в рамках правоотношений между участниками электронного документооборота не предусмотрено.

В то же время статьей 17.5 Федерального закона N 63-ФЗ установлены требования для оформления доверенностей, необходимых для использования квалифицированной электронной подписи указанных в статьях 17.2 и 17.3, так, согласно части 1 указанной статьи, доверенности оформляются в соответствии с требованиями Гражданского кодекса Российской Федерации.

Доверенность представляется в том числе в электронной форме в машиночитаемом виде в соответствии с формами доверенностей, которые могут быть определены и размещены на официальных сайтах операторами государственных и муниципальных информационных систем, для использования которых представляются документы.

Если формы доверенностей не определены и не размещены, применяется форма доверенности, формируемая и размещаемая уполномоченным федеральным органом на едином портале государственных и муниципальных услуг. Указанные формы доверенностей должны соответствовать единым требованиям, устанавливаемым уполномоченным федеральным органом. Полномочия, удостоверенные такими доверенностями, определяются в соответствии с классификатором полномочий, указанным в статье 17.1 Федерального закона N 63-ФЗ.

Во исполнение положений части 1 статьи 17.5 Федерального N 63-ФЗ Минцифры России Приказом от 18 августа 2021 г. N 857 (далее - Приказ) утверждены единые требования к формам доверенностей, необходимых для использования квалифицированной электронной подписи (далее - требования).

С учетом пункта 3 Приказа требования вступают в силу с 1 марта 2022 г. и действуют до 1 марта 2028 г.

Коротко о чем письмо Минцифры:
- до 31.12.2022 сотрудники организаций (не руководители) могут получать сертификаты ЭП юридического лица в аккредитованных УЦ (руководители организаций с 01.01.2022 получают сертификаты только в УЦ ФНС России). Полученные сертификаты сотрудников используются в течение всего срока действия, который ограничен 31.12.2022 года, представление электронной доверенности не является обязательным.

- С 1 марта 2022 года сотрудники организаций могут получать в аккредитованных УЦ сертификаты ЭП физического лица и использовать их для подписания документов от имени юридического лица вместе с электронными доверенностями. Единые требования к формам доверенностей утверждены приказом Минцифры России от 18.08.2021 N 857. Полномочия, удостоверенные электронными доверенностями, определяются в соответствии с классификатором полномочий.

- С 1 января 2023 года сотрудники организаций должны использовать только сертификат ЭП физического лица и прикладывать электронную доверенность.

В общем, ничего нового. Ни о функционировании классификатора полномочий, ни о передаче сведений о созданных доверенностях в ИС ГУЦ информации нет. А ведь эти прикладные вопросы очень волнуют рынок. Позиция регулятора была озвучена на ВКС 1 марта, цитата: "ГУЦ функционирует, классификатор полномочий тоже". Головной УЦ то функционирует, но явно не в рамках норм об электронных доверенностях. А как функционирует классификатор полномочий - сказать ещё сложнее, официальной информации просто нет.

Минюстом России 14.03.2022 № 67725 зарегистрирован приказ Минцифры России от 31.01.2022 № 71 "О внесении изменений в пункт 1.4 перечня угроз безопасности, актуальных при идентификации заявителя - физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре, утвержденного приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 26 ноября 2020 г. № 624".
Изменения вступают в силу с 1 сентября 2022 года.

Приказ Минцифры России от 27.12.2021 № 1393 "О внесении изменений в Порядок формирования, актуализации классификатора полномочий и обеспечения доступа к нему, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 18.08.2021 N 856" возвращен без государственной регистрации, письмо Минюста России от 14.02.2022 № 01/14482-АБ.

#rfc #тлс #гост #криптопро #стандарт #всёпроэдо

Опубликован RFC по протоколу TLS 1.2 с ГОСТ

В качестве RFC 9189 опубликован документ "GOST Cipher Suites for Transport Layer Security (TLS) Protocol Version 1.2", разработанный под руководством заместителя генерального директора КриптоПро Станислава Смышляева, начальника отдела криптографических исследований Евгения Алексеева, а также Дмитрия Белявского.

Документ определяет российские криптонаборы протокола TLS версии 1.2, ранее внесенные в реестр IANA и применяющие стандартизированный на международном уровне режим работы блочных шифров со встроенной сменой ключа CTR-ACPKM. 

В работе над документом принимали участие Лидия Никифорова, а также Екатерина Грибоедова, Григорий Седов и Дмитрий Еремин-Солеников.

Данные криптонаборы уже реализованы в наиболее современной версии КриптоПро CSP 5.0 R2 и готовы для применения как на серверной, так и на клиентской стороне.