俄羅斯擬自發憑證以繞過歐美制裁

為繞過西方國家的網路制裁措施，俄羅斯計畫建立自有TLS數位憑證發放機構（Certificate Authority，CA），以確保網站及應用程式的持續運作。

近日西方國家的網路及軟體業者紛紛跟進政府制裁令，對俄羅斯企業停止服務。即使主要憑證發放機構如Symantec、Verisign、DigiCert等尚未宣佈暫停服務，但在政府及支付業者將俄羅斯或白俄列入制裁名單後，這些公司也因無法收到款項不能更新發出的TLS/SSL憑證，使用這些憑證的網站也將在憑證過期後，不被瀏覽器驗證。這會讓用戶在造訪這些網站時接到瀏覽器的明顯警告，或是勸導離開。

為免網站存取遭西方國家阻斷，俄羅斯數年前就已計畫成立國營數位憑證發放中心，以因應敵國衝突時確保資訊的傳輸。本周俄羅斯數位發展部公布將成立國有CA，以獨立發放數位憑證。

網站說明，俄羅斯數位發展部將提供合法實體免費的國內數位憑證，一旦外國的憑證被撤消或到期，新憑證將取而代之。新憑證申請5天內即可提供。

因應各國的經濟制裁，俄羅斯政府揚言將提供必要資源支援國內企業營運。俄羅斯正在草擬《俄羅斯聯邦民法典》（Civil Code of Russian Federation）的修正案，允許在國家利益前提下，企業單方面取得資訊軟體的授權，即使未獲得原廠同意，也廢除補償付費的要求。

此外，在《數位經濟國家計畫》下，俄國也打造並已測試能在必要時，讓俄國網路獨立於全球體系之外運行的RuNet架構，包括自建DNS伺服器以掌控所有境內流量。本周有白俄媒體報導俄羅斯計畫讓所有網站都加入.ru網域，並需移除網站上所有源自外國的Javascript程式碼，以利嚴加控管甚至鎖國。但遭俄國政府否認。

美國政府還警告，俄羅斯政府可能為了籌措財源而唆使駭客發動勒索軟體攻擊。