Сайт

На сайте https6: Ответы на вопросы журналистов • Президент России

23.12.2022

Содержание

Ответы на вопросы журналистов • Президент России

В.Путин: Добрый вечер!

Пожалуйста, какие вопросы есть?

Л.Самсония: Здравствуйте, Владимир Владимирович!

Лана Самсония, Интерфакс.

Я бы хотела спросить про результаты трёхстороннего саммита. Вы уже назвали встречу полезной, создающей атмосферу для дальнейших договорённостей. Было принято совместное заявление, но часть, как Вы сами сказали, была из этого заявления изъята. Если возможно, расскажите, о чём не удалось договориться сторонам и насколько результаты этой встречи коррелируются с результатами встречи, которая прошла в Праге без участия России.

Смотрите также

Трёхсторонние переговоры с Президентом Азербайджана и Премьер-министром Армении

31 октября 2022 года

Встреча с Президентом Азербайджана Ильхамом Алиевым

31 октября 2022 года

Встреча с Премьер-министром Армении Николом Пашиняном

31 октября 2022 года

В. Путин: Что касается встречи в Праге без участия России, почему без участия – для нас понятно, и никому объяснять не нужно: наши европейские партнёры проводят свою политику таким образом, чтобы пытаться Россию исключить из всяких форматов. Ясно совершенно, что это в некоторых ситуациях абсолютно нереалистично, невозможно – так, как, например, в этом случае. Но мы со своей стороны всегда приветствуем любые усилия, направленные на урегулирование. Поэтому, что касается того, как это коррелируется, – коррелируется вполне естественным образом, и мы поддерживаем всё, что направлено на снижение противостояния и на урегулирование, как я уже об этом сказал.

Что касается вопросов, которые не удалось согласовать, – можно ли об этом сказать? Можно. Но не нужно. Потому что, если они до сих пор не урегулированы, то, на мой взгляд, не нужно заострять на них внимание прессы, общественности, а нужно просто спокойно, в закрытом режиме добиваться согласования. Это очень тонкие вещи, чувствительные для обеих сторон, и я не считаю себя вправе их выпячивать без согласования с партнёрами.

К.Панюшкин: Добрый день. Константин Панюшкин, Первый канал.

Скажите, пожалуйста, какова всё-таки судьба наших миротворцев в регионе? Первое.

Второе. Не очень много сегодня говорили о делимитации границы, когда и как она будет организована?

И третье. Об этом немного есть заявлений, но всё же – какова судьба мирного договора Армении и Азербайджана?

В.Путин: Что касается миротворцев, то это прописано в нашем совместном заявлении в ноябре 2020 года, когда был прекращён конфликт. Здесь добавить нечего.

По мирному договору – его пока нет. Здесь пока преждевременно говорить об основных составляющих этого документа, поскольку всё-таки это предмет компромиссов наверняка, которые должны быть достигнуты с обеих сторон при посредничестве, если обе договаривающиеся стороны захотят, в том числе и нашей страны.

Демаркация, делимитация границы – это важнейший вопрос, Вы правы абсолютно, с этим согласен. Мы сегодня, действительно, много об этом говорили.

Есть некоторые предпосылки того, что в целом путь найден. Если внимательно прочитать и сегодняшнее заявление, то Вы там найдёте предварительные оценки, предварительные – если не договорённости, то предпосылки того, что эти договорённости могут быть достигнуты.

Повторяю, много говорили об этом: мы готовы предоставить имеющиеся в нашем распоряжении карты ещё Генерального штаба Советской армии. Это самые точные карты, как мы понимаем. И готовы на этой базе, обсуждая с обеими сторонами, двигаться. Мы договорились о том, что эти контакты, эти переговоры, эти консультации будут продолжены.

Что-то ещё?

К.Панюшкин: Вы сказали, по миротворцам добавить нечего. Просто Пашинян накануне поездки в Россию говорил о том, что он хотел бы продлить мандат с пяти лет сразу, может быть, даже до двадцати. Он предлагал это Вам? Как это обсуждалось?

В.Путин: Мы об этом говорили. Но для этого нужны наши совместные договорённости.

Вы знаете, это же будет зависеть от других вопросов, которые Вы сейчас тоже задали: от возможного заключения мирного договора и вопроса о демаркации и делимитации границ.

Если эти вопросы будут решены, тогда вопрос о миротворцах по-другому будет стоять. Если не решены или решены в каком-то объёме, тогда от этого зависит и судьба нашего миротворческого контингента. Но в любом случае и одна, и другая стороны выразили слова благодарности России за ту работу, которую мы там проводим.

Пожалуйста.

П.Зарубин: Добрый вечер! Павел Зарубин, телеканал «Россия».

В.Путин: Добрый вечер.

П.Зарубин: Одна из главных мировых тем – это приостановка участия России в зерновой сделке. И конечно, уже поднялся новый мощный хор из голосов лидеров западных стран. Они все обвиняют Россию в провоцировании мирового голода. Байден вообще назвал решение России возмутительным.

Да, мы уже слышали заявление Министерства обороны России, но можно Вас спросить: всё-таки почему Россия такое решение приняла? Как Вы относитесь к этим обвинениям в срыве договорённостей?

Ведь ООН и Турция заявили о том, что они будут продолжать выпуск судов, и что тогда дальше? Как вообще этот процесс дальше, на Ваш взгляд, может происходить?

Спасибо.

В.Путин: Весь этот процесс вывоза зерна с территории Украины был организован под предлогом обеспечить интересы беднейших стран. Мы на это пошли именно в интересах беднейших стран.

Я сейчас данные последних часов и последних дней не помню, но в целом это выглядит так: [около] 34 процентов зерна попадает в Турцию; 35, чуть побольше, – в страны Евросоюза. И только 3–4 процента, по данным Минсельхоза, – может быть, иногда бывало чуть побольше, – до 5 процентов, эта цифра колеблется, потому что больше вывозят туда-сюда, – только 3–4, ну, может быть, 5 процентов, шло в пользу так называемых беднейших стран по классификации ООН. Послушайте: разве для этого мы всё делали?

Но дело даже не в этом. А дело в том, что та атака, которая была предпринята, – безуспешная, но тем не менее она была предпринята, – со стороны Украины по кораблям Черноморского флота – надо отдать должное нашим морякам и поблагодарить их, конечно, за то, что они оказались на высоте положения, отразили все атаки, – но эти беспилотники – и подводные, и воздушные – частично шли в коридоре, по которому вывозится зерно с Украины.

Таким образом они создали угрозу и для наших кораблей, которые должны обеспечить безопасность вывоза зерна, и для гражданских судов, которые этим занимаются. А мы же обязались обеспечить эту безопасность.

Но если, Вы меня извините за простоту выражения, Украина долбанёт по этим судам? Виноватыми будем мы, так же как все сейчас трещат по поводу того, что делает Россия, не вспоминая о том, чем это вызвано, а вызвано это созданием угрозы для этого гуманитарного коридора.

Я не видел в окончательном виде заявление Министерства обороны, но примерно знаю, Министр обороны нашел возможность мне сегодня в ходе дня доложить свою позицию, я с ней согласился. Он справедливо говорит: они угрозу создают и для наших кораблей, и для гражданских судов. А мы же должны обеспечить безопасность гражданских судов.

Поэтому мы не говорим о том, что мы прекращаем своё участие в этой операции, нет. Мы говорим о том, что мы приостанавливаем.

Одним из организаторов этой работы был Генеральный секретарь Организации Объединённых Наций, и сотрудники ООН принимают активное участие в этой работе, за что мы им благодарны, безусловно.

Но пусть тогда они проведут работу с Украиной, и Украина должна гарантировать, что угроз для гражданских судов и для судов обеспечения России создаваться не будет.

Послушайте, я не знаю, Минобороны давало это или нет, но это же не шутки – эти подводные аппараты шесть метров длиной, по-моему, 500 тонн там взрывчатки. Попадёт – там ни от зерна, ни от корабля ничего не останется. А виноваты будем мы.

Поэтому Минобороны России правильно ставит вопрос о том, чтобы провести дополнительную работу с Организацией Объединённых Наций, а те в свою очередь – с Украиной, с тем чтобы Украина гарантировала безопасность этого коридора. Ничего здесь необычного я не вижу, это вопрос согласования позиций, работы и обязательств – в данном случае со стороны украинских партнёров.

А.Христенко: Александр Христенко, канал «Россия».

Владимир Владимирович, мобилизация в России была объявлена Вашим указом. Министр обороны Шойгу объявил о её завершении. Стоит ли нам ждать Вашего указа и по этому поводу?

В. Путин: Да нет, я думаю, с юридической точки зрения… Да, конечно, это было сделано моим указом, потому что по-другому по закону и невозможно. Но это было сделано по предложению Министерства обороны, это естественно, а сейчас Министерство обороны предложило мобилизационные мероприятия завершить.

Я с юристами, кстати, поговорю. Даже, откровенно говоря, не задумывался над этим. С юристами поговорю, нужно ли указом объявлять о том, что она завершена. Но она завершена. Точка поставлена. Министерство обороны первоначально вообще гораздо меньшую цифру называло, но потом в конце концов пришли к выводу, что нужна мобилизация 300 тысяч. Обращаю внимание на то, что было сказано Министром обороны при докладе: 41 тысяча находится в боевых порядках Вооружённых Сил. Это значит, что 260, точнее, 259 тысяч – часть из них находится в войсках, в составе группировки, но участие в боевых действиях не принимает, а проводит слаживание, а остальная часть находится на полигонах. То есть почти 260 тысяч человек вообще не участвуют в боевых действиях, а проходят подготовку. Так или иначе, в той или иной степени. На этом мобилизация завершена.

И.Руднева: Добрый вечер. Илона Руднева, РИА «Новости».

Недавно Вы предложили создать газовый хаб в Турции, [Президент] Эрдоган эту идею поддержал. Есть ли новости сейчас по этому вопросу? На какой стадии процесс находится? Может быть, есть возможные покупатели газа?

Спасибо.

В.Путин: Покупатели газа всегда есть. В мире этот продукт очень востребован. Это самый экологически чистый углеводород и идеальный первичный источник энергии для переходного периода к «зелёной» энергетике, идеальный. Меньше всего выбросов от его использования. Поэтому я думаю – не думаю, я знаю, что потребителей много и желающих приобрести российский газ тоже много.

Что касается выбора Турции как возможного хаба для поставок в данном случае в Европу, то, мне кажется, понятно, почему мы это делаем, почему мы это предложили. Потому что работать напрямую с европейскими партнёрами очень сложно. Кроме того, мы ещё знаем трагические события, связанные с подрывом газопроводов.

Европейцы, как часто это бывает, как почти всегда бывает, рот закрыли, молчат, как будто так оно и надо, несмотря на то что это реально в корне подрывает их интересы. Больше того, кто-то ещё наглости набирался думать, что это Россия сама взорвала. Такую бредятину трудно себе представить, что кто-то додумался, но, тем не менее, придумывают всякую такую чушь.

Мне сегодня Миллер доложил с утра, что они обследовали – допустили, кстати, «Газпром» к обследованию места взрыва. Две воронки – три и пять метров глубиной – может быть, уже «Газпром» дал эту информацию, я не знаю. Вырвало трубу длиной 40 метров. Разрыв составляет, всего трубы разошлись на 259 метров, по-моему. А этот кусок трубы, который был вырван, его изогнуло на 90 градусов и отбросило на 40 метров в сторону, как раз в сторону «Северного потока – 2», который тоже оказался повреждённым, видимо, и этим взрывом, и осколками, остатками этой трубы. Так что это очевидный теракт.

Нам трудно это контролировать, потому что это же всё в особой экономической зоне Дании, Швеции, потом дальше Германии.

С Турцией в этом смысле нам проще работать. Во-первых, потому что Президент Эрдоган – человек слова: если мы с ним договариваемся о чём-то – может быть, трудно договориться, но, если договариваемся, мы стараемся исполнять. Первое. И второе – нам легче контролировать акваторию Чёрного моря.

Поэтому это вполне реалистичный проект, и мы довольно быстро сможем это сделать. А желающих заключить контракты будет достаточно. В этом нет никаких сомнений.

Посмотрим, что будет происходить этой зимой, следующей зимой. Но уверен, контракты будут заключены. Сомнений нет никаких. В конце концов мы и европейские страны можем использовать как транзитные для поставок в другие регионы мира. Но я не сомневаюсь, что и в Европе найдётся немало желающих.

Что ещё? Пожалуйста, Андрей.

А.Колесников: Газета «Коммерсантъ».

Владимир Владимирович, Вы добиваетесь мирного договора для Армении и Азербайджана, но я бы хотел спросить, как насчёт собственной страны?

Вы не раз говорили про то, что Россия готова к переговорам с Украиной, но Владимир Зеленский, например, своим указом запретил себе разговаривать с Вами, да и точек соприкосновения, пересечения, на которых можно было бы договориться, на мой взгляд, вообще не просматривается.

Всё-таки, с Вашей точки зрения, что Россия конкретно могла бы на таких переговорах предложить Украине из того, на чём можно договориться?

Спасибо.

В.Путин: Для того чтобы начать предлагать на переговорах, нужно, чтобы они состоялись, и заранее выкладывать на стол свою переговорную позицию не всегда целесообразно, для того чтобы добиться своих национальных целей. Иногда это нужно делать в последний раз, либо выставляя такие требования, которые дипломаты называют запросными, и потом постепенно двигаться к общему знаменателю, который удовлетворил бы обе стороны.

Но для того, чтобы добиваться договорённостей, нужно сесть за стол переговоров и договариваться. Вот мы с ними в Стамбуле договорились, они взяли потом и всё выбросили в корзину, а сейчас вообще сами себе, как Вы правильно заметили, запретили с нами о чём-то говорить. Как мы можем сейчас обсуждать возможные договорённости, если с той стороны нет даже желания с нами разговаривать?

Мы подождём, может быть, созреют какие-то необходимые условия, а наша добрая воля известна, она никаким изменениям и сомнениям не подлежит.

Что ещё? Пожалуйста.

П.Зарубин: После теракта на Крымском мосту Вы сказали, что в случае повторения подобных терактов ответ России будет соразмерным. Являются ли сегодняшние массированные удары по территории Украины ответом на недавние события в Севастополе?

Спасибо.

В.Путин: Отчасти так и есть. Но это не всё, что мы могли бы сделать.

Пожалуйста.

А.Юнашев: Здравствуйте. Александр Юнашев, Life.

Владимир Владимирович, в продолжение [вопроса о] возможных или невозможных мирных переговорах с Зеленским. Вас несколько раз спрашивали, поедете ли Вы на G20, где, возможно, будет Зеленский. Вы несколько раз говорили, что решение ещё не принято. Может быть, уже принято?

И что с Таиландом? На саммит АТЭС поедете?

Спасибо.

В.Путин: Нет, пока эти решения не приняты.

Но поскольку мы уже всё дальше и дальше отходим от темы сегодняшних переговоров и от предмета сегодняшних переговоров, то, мне кажется, на этом можно бы и завершить.

Большое вам спасибо.

Темы

  • Внешняя политика
  • СМИ

Статус материала

Опубликован в разделах: Новости, Выступления и стенограммы

Дата публикации:

Ссылка на материал: kremlin.ru/d/69730

Текстовая версия

Новости ∙ Документы ∙ Президент России

Уточнён порядок подтверждения ФНС факта мобилизации гражданина в целях предоставления ему кредитных каникул

2022-11-18 Отдел редакции официального сайта Президента России

23 истребительному авиационному Таллинскому полку присвоено почётное наименование гвардейского

2022-11-17 Отдел редакции официального сайта Президента России

Балийская декларация лидеров «Группы двадцати»

2022-11-16 Отдел редакции официального сайта Президента России

Ряду российских городов присвоено почётное звание «Город трудовой доблести»

2022-11-15 Отдел редакции официального сайта Президента России

Мелитополю присвоено почётное звание «Город воинской славы»

2022-11-15 Отдел редакции официального сайта Президента России

Мариуполю присвоено почётное звание «Город воинской славы»

2022-11-15 Отдел редакции официального сайта Президента России

Указ о внесении изменений в Положение о порядке прохождения военной службы

2022-11-14 Отдел редакции официального сайта Президента России

Указ о порядке согласования с федеральными органами публичной власти вопросов осуществления публичной власти в Запорожской и Херсонской областях

2022-11-14 Отдел редакции официального сайта Президента России

Подписан Указ о награждении орденом Мужества Кирилла Стремоусова (посмертно)

2022-11-09 Отдел редакции официального сайта Президента России

Указ об утверждении Основ государственной политики по сохранению и укреплению традиционных российских духовно-нравственных ценностей

2022-11-09 Отдел редакции официального сайта Президента России

Утверждён перечень хозобществ, являющихся производителями оборудования для ТЭК и оказывающих услуги по его сервисному обслуживанию, являющихся производителями и поставщиками тепловой и электроэнергии, осуществляющих переработку нефти, нефтяного сырья и производство продуктов их переработки

2022-11-09 Отдел редакции официального сайта Президента России

Указ о праздновании 100-летия Международного детского центра «Артек»

2022-11-09 Отдел редакции официального сайта Президента России

277 бомбардировочному авиационному Млавскому полку присвоено почётное наименование «гвардейский»

2022-11-09 Отдел редакции официального сайта Президента России

Подписан Указ о присвоении звания Героя России протоиерею Михаилу Васильеву (посмертно)

2022-11-10 Отдел редакции официального сайта Президента России

Внесено изменение в статью 14 закона о розничных рынках

2022-11-14 Отдел редакции официального сайта Президента России

В законодательство о территориях опережающего социально-экономического развития внесено изменение в целях ускорения запуска программы «Дальневосточный квартал»

2022-11-14 Отдел редакции официального сайта Президента России

Подписан закон, направленный на реализацию концепции единого налогового платежа

2022-11-14 Отдел редакции официального сайта Президента России

Приостановление действия закона о базовой стоимости необходимого социального набора продлено до 1 января 2026 года

2022-11-14 Отдел редакции официального сайта Президента России

Внесены изменения в закон о накопительно-ипотечной системе жилищного обеспечения военнослужащих

2022-11-14 Отдел редакции официального сайта Президента России

В закон о мобилизационной подготовке и мобилизации внесены изменения

2022-11-14 Отдел редакции официального сайта Президента России

Стандарт только для HTTPS — Стандарт только для HTTPS

Американцы ожидают, что правительственные веб-сайты будут безопасными, а их взаимодействие с этими веб-сайтами — конфиденциальным.

Этот сайт содержит веб-версию меморандума Административно-бюджетного управления Белого дома M-15-13, «Политика, требующая безопасных соединений через федеральные веб-сайты и веб-службы» , а также технические рекомендации и передовой опыт. для оказания помощи в его реализации.

Цель

Настоящий Меморандум требует, чтобы все общедоступные федеральные веб-сайты и веб-службы [1] предоставляли услуги только через защищенное соединение. Самая надежная защита конфиденциальности и целостности, доступная в настоящее время для общедоступных веб-соединений, — это безопасный протокол передачи гипертекста (HTTPS).

Этот Меморандум расширяет материал предыдущего руководства Управления управления и бюджета (OMB), содержащийся в M-05-04, и относится к материалу в M-08-23. В нем содержится руководство для агентств по переходу на HTTPS и крайний срок, к которому агентства должны выполнить требования.

Справочная информация

Незашифрованный протокол HTTP не защищает данные от перехвата или изменения, которые могут подвергнуть пользователей прослушиванию, отслеживанию и изменению полученных данных. Большинство федеральных веб-сайтов используют HTTP в качестве основного протокола для связи через общедоступный Интернет. Незашифрованные HTTP-соединения создают уязвимость конфиденциальности и раскрывают потенциально конфиденциальную информацию о пользователях незашифрованных федеральных веб-сайтов и служб. Данные, отправляемые по протоколу HTTP, могут быть перехвачены, манипулированы и выданы за другое лицо. Эти данные могут включать идентификатор браузера, содержимое веб-сайта, условия поиска и другую информацию, предоставленную пользователем.

Чтобы решить эти проблемы, многие коммерческие организации внедрили HTTPS или реализовали политики только HTTPS для защиты посетителей своих веб-сайтов и служб. Такой же защиты заслуживают пользователи федеральных веб-сайтов и сервисов. Частные и безопасные соединения становятся основой Интернета, что выражается в политике органов стандартизации Интернета, популярных веб-браузеров и интернет-сообщества практиков. Федеральное правительство должно адаптироваться к этому меняющемуся ландшафту и извлечь выгоду, начав преобразование сейчас. Упреждающие инвестиции на федеральном уровне будут способствовать более быстрому внедрению в Интернете и продвижению более высоких стандартов конфиденциальности для всех пользователей сети.

Все действия в Интернете должны считаться частными и конфиденциальными.

Стандарт HTTPS-Only устранит противоречивые, субъективные определения между агентствами в отношении того, какой контент или действия в Интернете являются конфиденциальными по своей природе, и создаст более строгий стандарт конфиденциальности для всего правительства.

Федеральные веб-сайты, которые не переходят на HTTPS, не будут соответствовать методам обеспечения конфиденциальности и безопасности, используемым коммерческими организациями, а также текущим и будущим интернет-стандартам. Это делает американцев уязвимыми перед известными угрозами и может снизить их доверие к своему правительству. Хотя некоторые федеральные веб-сайты в настоящее время используют HTTPS, последовательной политики в этой области не существует. Мандат только на HTTPS обеспечит общественность стабильным и конфиденциальным просмотром и сделает федеральное правительство лидером в области интернет-безопасности.

Что делает HTTPS

HTTPS проверяет подлинность веб-сайта или веб-службы для подключающегося клиента и шифрует почти всю информацию, передаваемую между веб-сайтом или службой и пользователем. Защищенная информация включает файлы cookie, сведения об агенте пользователя, URL-адреса, отправку форм и параметры строки запроса. HTTPS предназначен для предотвращения чтения или изменения этой информации во время передачи.

HTTPS представляет собой комбинацию HTTP и безопасности транспортного уровня (TLS). TLS — это сетевой протокол, который устанавливает зашифрованное соединение с аутентифицированным узлом через ненадежную сеть.

Браузеры и другие HTTPS-клиенты настроены на доверие к набору центров сертификации [2], которые могут выдавать криптографически подписанные сертификаты от имени владельцев веб-сервисов. Эти сертификаты сообщают клиенту, что узел веб-службы продемонстрировал право собственности на домен центру сертификации во время выдачи сертификата. Это предотвращает маскировку неизвестных или ненадежных веб-сайтов под федеральный веб-сайт или службу.

Чего не делает HTTPS

HTTPS имеет несколько важных ограничений. IP-адреса и имена доменов назначения не шифруются во время связи. Даже зашифрованный трафик может косвенно раскрывать некоторую информацию, например время, проведенное на сайте, или размер запрошенных ресурсов или предоставленной информации.

HTTPS гарантирует только целостность соединения между двумя системами, а не сами системы. Он не предназначен для защиты веб-сервера от взлома или компрометации, а также для предотвращения раскрытия веб-службой информации о пользователе во время ее нормальной работы. Точно так же, если система пользователя скомпрометирована злоумышленником, эта система может быть изменена таким образом, чтобы ее будущие соединения HTTPS находились под контролем злоумышленника. Гарантии HTTPS также могут быть ослаблены или устранены скомпрометированными или злонамеренными центрами сертификации.

Проблемы и соображения

Производительность сайта: Несмотря на то, что шифрование увеличивает вычислительную нагрузку, современное программное и аппаратное обеспечение может справиться с этой нагрузкой без существенного вредного воздействия на производительность или задержку сервера. Веб-сайты с сетями доставки контента или серверным программным обеспечением, поддерживающим протоколы SPDY или HTTP/2, для которых требуется HTTPS в некоторых основных браузерах, могут значительно улучшить производительность своих сайтов в результате перехода на HTTPS.

Server Name Indication: Расширение Server Name Indication для TLS позволяет более эффективно использовать IP-адреса при обслуживании нескольких доменов. Однако эти технологии не поддерживаются некоторыми устаревшими клиентами. Владельцы веб-сервисов должны оценить возможность использования этой технологии для повышения производительности и эффективности.

Смешанный контент: Веб-сайты, обслуживаемые через HTTPS, должны гарантировать, что все внешние ресурсы (изображения, сценарии, шрифты, фреймы и т. д.) также загружаются через безопасное соединение. Современные браузеры отказываются загружать многие небезопасные ресурсы, на которые ссылается защищенный веб-сайт. При переносе существующих веб-сайтов может потребоваться сочетание автоматических и ручных действий по обновлению, замене или удалению ссылок на небезопасные ресурсы. Для некоторых веб-сайтов это может быть наиболее трудоемким аспектом процесса миграции.

API и службы: Веб-службы, которые обслуживают в основном небраузерных клиентов, таких как веб-API, могут потребовать более постепенной и практической стратегии миграции, поскольку не все клиенты могут быть настроены для соединений HTTPS или успешно следовать редиректам.

Планирование изменений: Протоколы и веб-стандарты регулярно совершенствуются, и могут появляться уязвимости в системе безопасности, которые требуют немедленного внимания. Федеральные веб-сайты и службы должны развертывать HTTPS таким образом, чтобы можно было быстро обновлять сертификаты, варианты шифрования (включая прямую секретность), версии протокола и другие элементы конфигурации. Агентства должны следить за https.cio.gov и другими общедоступными ресурсами, чтобы быть в курсе последних передовых практик.

Строгая транспортная безопасность: Веб-сайты и службы, доступные через HTTPS, должны включить HTTP Strict Transport Security (HSTS), чтобы браузеры, соответствующие требованиям, предполагали использование HTTPS в будущем. Это уменьшает количество небезопасных перенаправлений и защищает пользователей от атак, которые пытаются перевести соединения на обычный HTTP. После того, как HSTS будет установлен, домены могут быть отправлены в «список предварительной загрузки», используемый всеми основными браузерами, чтобы обеспечить постоянное действие политики HSTS.

Безопасность системы доменных имен (DNSSEC): Новая политика, изложенная в этом Меморандуме, не отменяет и не противоречит M-08-23 «Защита инфраструктуры системы доменных имен федерального правительства». После завершения разрешения DNS DNSSEC не гарантирует конфиденциальность или целостность связи между клиентом и IP-адресом назначения. HTTPS обеспечивает эту дополнительную безопасность.

Экономически эффективное внедрение

Внедрение стандарта только для HTTPS не обходится без затрат. Значительное количество федеральных веб-сайтов уже внедрили HTTPS. Целью этой политики является увеличение этого принятия.

Административное и финансовое бремя универсального внедрения HTTPS на всех федеральных веб-сайтах включает время разработки, финансовые затраты на приобретение сертификата и административное бремя обслуживания с течением времени. Бремя разработки будет существенно различаться в зависимости от размера и технической инфраструктуры сайта. Сроки соблюдения, изложенные в этом Меморандуме, обеспечивают достаточную гибкость для планирования проекта и распределения ресурсов.

OMB подтверждает, что ощутимые выгоды для американского общества перевешивают затраты для налогоплательщиков. Даже небольшое количество неофициальных или вредоносных веб-сайтов, выдающих себя за федеральные службы, или небольшое количество перехватов сообщений с официальными сайтами правительства США могут привести к значительным потерям для граждан.

Техническая помощь по телефону https.cio.gov поможет в рентабельной реализации этой политики.

Руководящие принципы

В целях содействия эффективному и действенному развертыванию HTTPS сроки соблюдения требований, указанные ниже, являются разумными и практичными.

Этот Меморандум требует, чтобы федеральные агентства развернули HTTPS на своих доменах, используя следующие рекомендации.

  • Недавно разработанные веб-сайты и службы во всех доменах или поддоменах федеральных агентств должны придерживаться этой политики при запуске.
  • Для существующих веб-сайтов и служб агентства должны определить приоритет развертывания с помощью анализа рисков. Веб-службы, включающие обмен информацией, позволяющей установить личность (PII), содержимое которых однозначно носит конфиденциальный характер или содержимое которых получает высокий уровень трафика, должны получить приоритет и мигрировать как можно скорее.
  • Агентства должны сделать все существующие веб-сайты и службы доступными через безопасное соединение [3] (только HTTPS, с HSTS) до 31 декабря 2016 г.
  • Использование HTTPS рекомендуется во внутренних сетях [4], но не является обязательным.

Для контроля за соблюдением агентством требований была создана общедоступная информационная панель на сайте pulse.cio.gov.

Сноски

⬑ 1. Общедоступные веб-сайты и услуги определяются здесь как онлайн-ресурсы и услуги, доступные через HTTP или HTTPS в общедоступном Интернете, которые полностью или частично поддерживаются федеральным правительством и управляются агентством, подрядчиком. или другой организации от имени агентства. Они представляют правительственную информацию или предоставляют услуги общественности или определенной группе пользователей и поддерживают выполнение миссии агентства. Это определение включает в себя все веб-взаимодействия, независимо от того, зарегистрирован ли посетитель или анонимно.

⬑ 2. В контексте HTTPS в Интернете центр сертификации — это сторонняя организация или компания, которым браузеры и операционные системы доверяют выпуск цифровых сертификатов от имени владельцев доменов.

⬑ 3. Разрешение HTTP-соединений с единственной целью перенаправления клиентов на HTTPS-соединения допустимо и рекомендуется. Заголовки HSTS должны указывать максимальный возраст не менее 1 года.

⬑ 4. «Интранет» здесь определяется как компьютерная сеть, недоступная напрямую через общедоступный Интернет.

Стандарт только для HTTPS — Руководство по соответствию ), чтобы убедиться в этом.

Это относится ко всем общедоступным доменам и поддоменам, управляемым федеральным правительством, независимо от суффикса домена, если они доступны через HTTP/HTTPS в общедоступном Интернете.

На этой странице представлены рекомендации Административно-бюджетного управления Белого дома по внедрению для агентств, поскольку агентства управляют своим переходом на HTTPS.

  • Контрольный список соответствия и передовой практики
  • Опции для соответствия требованиям HSTS
  • Часто задаваемые вопросы о соответствии
    • На какие протоколы распространяется M-15-13?
    • Нужно ли отключать порт 80?
    • Если на моем сервере полностью отключен обычный HTTP, нужен ли мне HSTS?
    • Что насчет сетевых служб, которые на самом деле не обслуживают веб-контент?
    • Что включает в себя «все домены или поддомены федеральных агентств»?
    • Как насчет доменов, которые используются только для перенаправления посетителей на другие веб-сайты?
    • Должны ли домены, которые перенаправляют на другие внешние домены, выполнять внутреннее перенаправление на HTTPS перед внешним перенаправлением?
    • Что делать с доменами, которые технически являются общедоступными, но на практике используются только для внутренних целей?
    • Что происходит с посетителями, использующими браузеры, не поддерживающие HSTS, например старые версии Internet Explorer?
    • Этот сайт перенаправляет пользователей на HTTPS. Почему Pulse говорит, что не использует HTTPS?
    • Требуются ли федеральные службы отзыва сертификатов (CRL, OCSP) для перехода на HTTPS?
    • Что делать, если я использую сертификат, выданный на федеральном уровне, например, федеральной PKI или министерства обороны, для своей веб-службы?

Контрольный список соответствия и передовой практики

Каждый общедоступный веб-сайт или веб-служба, управляемая агентством , должен :

  • Предоставлять услуги через HTTPS.
  • Автоматически перенаправлять HTTP-запросы на HTTPS или полностью отключать HTTP.
  • Наличие политики HSTS с помощью одного из двух подходов, описанных ниже.

Каждый общедоступный веб-сайт или веб-служба, которыми управляет агентство, следует :

  • Следуйте передовым техническим практикам в отношении качества TLS, как показано на https.cio.gov и измерено с помощью pulse.cio.gov.
  • Устраните все проблемы со смешанным содержимым, возникающие в процессе миграции.
  • Оцените целесообразность отказа от поддержки устаревших клиентов и использования современных стандартов, таких как индикация имени сервера.

Опции для соответствия требованиям HSTS

Существует большое количество федеральных сайтов и веб-сервисов. Чтобы упростить процесс перехода федерального правительства на HTTPS, агентствам рекомендуется использовать предварительную загрузку HSTS.

Предварительная загрузка помечает целые домены как HTTPS-только и позволяет браузерам строго и автоматически применять это правило для каждого поддомена. Во многих доменах .gov уже реализована предварительная загрузка HSTS, как и в большом количестве веб-сервисов частного сектора.

Как правило, агентства должны использовать один из двух подходов для каждого домена, чтобы убедиться, что политика HSTS установлена ​​для всех общедоступных веб-сайтов.

При любом подходе веб-службы, используемые небраузерными клиентами (например, API), должны по-прежнему индивидуально применять HTTPS, поскольку HSTS не поддерживается небраузерными клиентами.

1. Полная предварительная загрузка HSTS родительского домена (предпочтительно)

  • Родительский домен (например, https://agency.gov ) имеет политику HSTS, которая включает субдомены и имеет максимальный возраст не менее 1 год, как этот:
 Строгая транспортная безопасность: max-age=31536000; включать поддомены; предварительная загрузка
 
  • Домен успешно отправлен и добавлен в список предварительной загрузки HSTS.
  • Для отдельных поддоменов веб-сайтов по-прежнему рекомендуется устанавливать собственные политики HSTS.

Предварительная загрузка родительского домена HSTS позволяет агентствам избежать инвентаризации и настройки политики HSTS для каждого отдельного поддомена. Однако этот подход также автоматически включает всех 9В этом домене присутствует 0006 поддоменов, включая поддомены интрасети. Все поддомены должны будут поддерживать HTTPS, чтобы оставаться доступными для использования в основных браузерах.

2. Соответствие для каждого отдельного поддомена

  • Родительский домен и каждый из его общедоступных поддоменов должны установить политику HSTS с максимальным возрастом не менее 1 года, например:
 Строгая транспортная безопасность: max-age=31536000
 

Этот подход позволяет агентствам гибко фокусироваться только на общедоступных поддоменах, но может потребовать значительно больше работы для добавления заголовка политики HSTS к каждому отдельному веб-сайту.

Часто задаваемые вопросы о соответствии

Ответы на другие распространенные вопросы о соответствии приведены ниже.

На какие протоколы распространяется M-15-13?

M-15-13 требует безопасных соединений для веб-сайтов и веб-сервисов , что означает только HTTP-протоколы . Сюда входят все федеральные веб-сайты, а также федеральные API на основе HTTP.

M-15-13 не касается использования DNS или DNSSEC, FTP или SFTP или любого другого сетевого протокола, отличного от HTTP.

Нужно ли отключать порт 80?

М-15-13 состояния:

Разрешение HTTP-соединений с единственной целью перенаправления клиентов на HTTPS-соединения допустимо и рекомендуется.

Агентства могут использовать порт 80 исключительно для перенаправления клиентов на безопасное соединение.

HTTP-перенаправления должны использовать код ответа из числа 300, который может надежно заставить HTTP-клиенты выполнять перенаправления на HTTPS URI, например 301 или 302.

Использование кодов ошибок 400 или 500 не удовлетворяет этому требованию.

Обратите внимание, что несмотря на то, что подключения к порту 80 небезопасны даже для перенаправления, использование HSTS заставит поддерживающих HTTP-клиентов автоматически перенаправлять себя с порта 80 на порт 443, не пытаясь подключиться к порту 80 по сети.

HSTS снижает влияние подключений через порт 80 на безопасность, позволяя агентствам гибко продолжать перенаправлять устаревших клиентов или клиентов, которые еще не получили политику HSTS для целевого домена.

Если простой HTTP полностью отключен на моем сервере, нужен ли мне HSTS?

Да. Отключение поддержки HTTP недостаточно для предотвращения атак, которые понижают веб-браузеры до простого HTTP.

Во время атаки не имеет значения, отключил ли «настоящий» сервер HTTP. Если клиента можно уговорить инициировать обычное HTTP-соединение — например, когда пользователь щелкает ссылку http:// или вводит URL-адрес в своем браузере вручную — тогда локальный злоумышленник может ответить на эту попытку подключения из своего собственного сервер и установить собственное соединение.

HSTS специально предписывает веб-браузерам никогда не инициировать обычные HTTP-соединения. Если пользователь щелкает ссылку http:// или вводит URL-адрес http:// , HSTS заставляет браузер сначала переписать URL-адрес, чтобы использовать https:// , прежде чем инициировать соединение.

По этой причине HSTS необходим для эффективного предотвращения атак на более ранние версии, даже если обычные HTTP-соединения не поддерживаются на сервере.

Как насчет сетевых служб, которые на самом деле не обслуживают веб-контент?

M-15-13 охватывает любую общедоступную сетевую службу, которая отвечает на запросы HTTPS или HTTP. Сюда входят сетевые службы, которые не обслуживают контент, а возвращают только заголовки HTTP или пустой или несущественный контент.

Сюда также входят службы, которые отвечают на запросы HTTPS или HTTP на нестандартных портах (порты, отличные от 80 или 443), независимо от того, включены ли эти службы во внешние проверки, предоставляемые агентствам.

Сетевые сервисы, которые не отвечают на запросы HTTPS или HTTP, не входят в сферу действия M-15-13.

Что включает в себя «все домены или поддомены федеральных агентств»?

Домены и поддомены, в контексте M-15-13, относятся к именам хостов, которые общедоступны через HTTP или HTTPS.

Домен относится к именам хостов, которые могут быть зарегистрированы напрямую. Некоторые примеры включают gsa. gov , whitehouse.gov , dodig.mil или fs.fed.us .

Субдомен относится к любому имени хоста, являющемуся дочерним элементом регистрируемого домена, и может иметь любую длину. Некоторые примеры включают www.gsa.gov , planthardiness.ars.usda.gov , www.fia.fs.fed.us или www.usar.army.mil .

Федеральные домены не все заканчиваются на .gov , .mil или .fed.us . Некоторые могут заканчиваться на .com , .org , .us или другими суффиксами. Любой федеральный домен покрывается M-15-13.

Как насчет доменов, которые используются только для перенаправления посетителей на другие веб-сайты?

Эти домены должны включать порт 443 и использовать правильно настроенный HTTPS.

Они должны соответствовать всем тем же требованиям и рекомендациям, что и домены, используемые для размещения веб-сайтов и API, включая HSTS и предварительную загрузку.

Должны ли домены, перенаправляющие на другие внешние домены, выполнять внутреннее перенаправление на HTTPS перед внешним перенаправлением?

Обычно нет, но практически требуется для предзагрузки домена второго уровня.

Например, М-15-13 не требует переадресации с http://example.gov:80 на https://example.gov:443 перед перенаправлением на https://another-example.gov:443 . Однако это позволяет подключающемуся клиенту видеть и кэшировать заголовок HSTS на example.gov , который иначе он может не увидеть.

Однако выполнение внутреннего перенаправления сначала требуется для автоматической предварительной загрузки доменов второго уровня, поэтому эта практика рекомендуется для доменов второго уровня.

Как насчет доменов, которые технически являются общедоступными, но на практике используются только для внутренних целей?

M-15-13 включает все домены и поддомены, которые общедоступны через HTTP/HTTPS, независимо от операционной практики агентства.

Что происходит с посетителями, использующими браузеры, не поддерживающие HSTS, например старые версии Internet Explorer?

Браузеры, которые не поддерживают HSTS, просто не подвержены влиянию HSTS, поэтому его включение не повредит.

Этот сайт перенаправляет пользователей на HTTPS. Почему Pulse говорит, что не использует HTTPS?

Pulse ищет перенаправления на стороне сервера, используя соответствующий код ответа HTTP. Сайты, использующие перенаправления на стороне клиента, такие как тег или JavaScript, не будут рассматриваться как перенаправления. Чтобы выполнить требование M-15-13 по обеспечению HTTPS, агентства должны использовать перенаправления на стороне сервера (или, в качестве альтернативы, вообще отключить доступ по HTTP).

Сайты, которые доступны как на корневом домене ( http://agency.gov ), так и на их поддоменах www ( http://www.agency.gov ), должны выполнять перенаправление на HTTPS в обоих случаях. Перенаправление одного, но не другого, также может привести к тому, что Pulse укажет, что домен не использует HTTPS.

Требуются ли федеральные службы отзыва сертификатов (CRL, OCSP) для перехода на HTTPS?

Нет. Этот очень узкий класс служб, которые предоставляют информацию CRL и OCSP для проверки статуса отзыва сертификатов, используемых для других соединений HTTPS, должен соответствовать передовым практикам в этой области и их соответствующим спецификациям.

Для CRL в RFC 5280 сказано:

 ЦС НЕ ДОЛЖНЫ включать в расширения URI, указывающие https, ldaps или аналогичные схемы. Центры сертификации, которые включают https URI в одно из этих расширений, ДОЛЖНЫ гарантировать, что сертификат сервера может быть проверен без использования информации, на которую указывает URI. Доверяющие стороны, которые выбирают проверку сертификата сервера при получении информации, на которую указывает URI https в расширениях cRLDistributionPoints, authorInfoAccess или subjectInfoAccess, ДОЛЖНЫ быть готовы к тому, что это может привести к неограниченной рекурсии. 
 

Для OCSP в RFC 6960 сказано:

 Если конфиденциальность является требованием, транзакции OCSP, которыми обмениваются с использованием HTTP, МОГУТ быть защищены с использованием либо безопасности транспортного уровня/уровня защищенных сокетов (TLS/SSL), либо какого-либо другого протокола более низкого уровня.
 

Агентствам рекомендуется использовать службы OCSP и CRL через имена хостов, специально зарезервированные для этих служб, чтобы другая связанная информация и функции могли предоставляться безопасно и конфиденциально.

Что делать, если я использую сертификат, выданный на федеральном уровне, например, федеральной PKI или министерства обороны, для своей веб-службы?

Нет никаких ограничений на приемлемые органы сертификации, которые могут использовать агентства для выполнения требований M-15-13.

Однако M-15-13 требует от агентств не только перенаправления HTTP-трафика на HTTPS. Также требуется, чтобы агентства включили HTTP Strict Transport Security (HSTS), как описано выше. HSTS обеспечивает постоянное использование HTTPS и защищает пользователей от нескольких распространенных уязвимостей.

Одним из важных эффектов HSTS является то, что он отключает возможность для пользователей просматривать предупреждения о сертификатах в поддерживаемых браузерах. Это означает, что агентства не могут указывать пользователям щелкать предупреждения сертификата , чтобы использовать их веб-службу, при этом также соблюдая M-15-13.

Это также соответствует передовым методам обеспечения безопасности, поскольку указание пользователям щелкать по предупреждениям о сертификатах противоречит сути HTTPS и подвергает пользователей потенциальным сетевым атакам.

На практике для развертывания HSTS с использованием сертификатов, выданных на федеральном уровне, агентству, вероятно, потребуется разделить свои веб-службы по имени хоста в зависимости от их ожидаемой аудитории:

  • Сертификаты, выпущенные на федеральном уровне, могут быть полезны для веб-служб, пользователи которых могут постоянно доверять выдавшему их федеральному центру сертификации (ЦС).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *