Chromium GOST no se instala para reemplazar el navegador habitual en toda la empresa. Tiene otra misión: permitir el acceso a sistemas que requieren GOST TLS, certificados de cliente, firma electrónica cualificada y trabajo con criptografía directamente en el navegador. En esos recursos, Chromium, Chrome o Edge habituales con frecuencia se topan con limitaciones en los algoritmos criptográficos. Como resultado, el sitio o bien no abre la conexión segura, o no permite entrar con certificado, o no puede invocar la firma de un documento.
Chromium GOST es una compilación independiente de Chromium con soporte para algoritmos criptográficos rusos al establecer conexiones seguras. Exteriormente es un navegador familiar con el mismo motor. La diferencia es que, para sitios con cifrado GOST, puede trabajar no solo a través del conjunto TLS estándar de Chromium, sino también a través de la interfaz criptográfica del sistema con un criptoproveedor instalado.
Qué es Chromium GOST en la práctica
En la práctica, Chromium GOST es un navegador especializado para puestos de trabajo donde el sistema web exige soporte de los algoritmos GOST. Normalmente se instala en los puestos donde hay acceso mediante certificado, trabajo con tokens, firma de documentos y una fuerte dependencia de las herramientas criptográficas rusas.
En el propio proyecto se indica claramente que el Chromium habitual usa la biblioteca BoringSSL, y esta no soporta los algoritmos GOST. Chromium GOST resuelve ese problema a través de msspi. Si un sitio admite trabajo por GOST, el navegador puede cambiar el establecimiento de la conexión segura al interfaz del sistema y utilizar el criptoproveedor instalado.
Para el usuario esto se ve como la apertura normal del sitio. Para el administrador la diferencia ya es sustancial: el navegador comienza a depender de qué criptoproveedor esté instalado, qué certificados hay en el sistema, si el token está conectado y si el puesto de trabajo está configurado por completo. Por eso Chromium GOST rara vez se considera de forma aislada de la infraestructura criptográfica.
El propio navegador no cubre toda la tarea. Si en el equipo no está instalado CryptoPro CSP u otro criptoproveedor compatible, si no se ha instalado el certificado raíz de la autoridad certificadora, si falta el controlador del token o la extensión para la firma, el navegador no firmará nada ni arreglará la situación. Resuelve su parte de la tarea: añade soporte de GOST en el navegador.
Dónde las empresas realmente lo necesitan
- Acceso a sistemas en los que ya en la conexión se requieren GOST TLS y certificado de cliente. Aquí se incluyen portales gubernamentales, sistemas informativos departamentales, servicios corporativos con autenticación por certificado y recursos internos que funcionan solo mediante la pila criptográfica rusa.
- Firma de documentos directamente en el navegador. No basta con abrir la página. El puesto debe ver el certificado, poder acceder a la clave privada, interactuar con el criptoproveedor y, si el servicio usa firma web, funcionar correctamente con CryptoPro ECP Browser plug-in. Para muchas empresas esa combinación es la razón principal para instalar Chromium GOST.
- Trabajo con sistemas corporativos internos. En organizaciones grandes a menudo hay servicios web propios con cifrado GOST, autenticación por certificados y requisitos de seguridad que no se pueden sortear con la configuración de un navegador estándar. En esos casos Chromium GOST se incorpora a la suite estándar de programas para ciertos puestos de trabajo.
Por eso en la práctica corporativa casi nunca se considera como el navegador universal para toda la empresa. El navegador habitual permanece para el trabajo cotidiano, y Chromium GOST se usa donde sin soporte de GOST la conexión o la firma simplemente no funcionan.
| Tarea | Por qué Chromium habitual puede no ser suficiente | Qué suele ser necesario además |
|---|---|---|
| Acceso al portal departamental mediante certificado | La pila criptográfica estándar de Chromium no soporta GOST TLS | Chromium GOST, criptoproveedor, certificados de la autoridad certificadora |
| Firma de documentos en la interfaz web | Se necesita acceso al certificado y la invocación de funciones de firma electrónica desde el navegador | CryptoPro CSP, Browser plug-in, controlador del token |
| Trabajo con portal interno con cifrado GOST | Un navegador estándar no establecerá la conexión segura requerida | Chromium GOST y un criptoproveedor configurado |
| Puestos de trabajo en Linux o macOS para firma y acceso mediante firma electrónica cualificada | Se necesita una compilación de navegador compatible y una integración funcional con las herramientas criptográficas | Chromium GOST, CSP, extensión de firma, certificados |
Cómo funciona Chromium GOST técnicamente
La principal diferencia comienza en el nivel de establecimiento de la conexión segura. En el Chromium habitual la biblioteca BoringSSL se encarga de TLS. Para la mayoría de sitios eso es suficiente. Pero no soporta los algoritmos GOST. Por eso Chromium GOST añade otra vía de trabajo: a través del interfaz del sistema msspi y del criptoproveedor instalado.
La lógica es la siguiente. Al iniciarse, el navegador comprueba si el sistema puede trabajar con GOST mediante msspi. Si puede, al conectarse a un sitio el navegador envía no solo los identificadores estándar de algoritmos, sino también las variantes GOST. Si el servidor sabe trabajar por GOST, responde en consecuencia, y el navegador cambia la conexión al mecanismo del sistema. Tras una conexión exitosa, el sitio se recuerda como recurso con soporte GOST, y las siguientes conexiones a él se hacen de la misma forma.
Para el servicio de TI esto significa algo simple: Chromium GOST hace falta solo donde en el servidor realmente hay soporte GOST. Si el sitio funciona con TLS habitual sin algoritmos rusos, la compilación adicional no cambia nada. No hace que todos los sitios sean más seguros ni añade valor donde la tarea ya la resuelve el navegador estándar.
De ahí surgen también problemas típicos en los puestos de trabajo. Si el servidor está mal configurado, si el criptoproveedor está obsoleto, si faltan certificados o la extensión de firma funciona con errores, el usuario observa síntomas sencillos: el sitio no se abre, el certificado no aparece, la firma no se invoca, no se encuentra el contenedor de la clave privada. En estos casos el fallo puede estar en cualquier punto de la cadena, no solo en el navegador.
Por qué un solo navegador generalmente no es suficiente
Esta es una de las fallas más comunes al implantarlo. Parece que basta instalar Chromium GOST y el puesto de trabajo queda listo. En la práctica, el navegador solo resuelve el soporte de conexiones GOST. Para trabajar con firma cualificada casi siempre se necesita además un criptoproveedor, con frecuencia CryptoPro CSP, y para firmar en el navegador también el Browser plug-in.
Después vienen el resto de elementos obligatorios: controladores de Rutoken o JaCarta, certificados raíz e intermedios de las autoridades certificadoras, acceso al contenedor de la clave privada, permisos para extensiones, políticas de grupo y comprobación de compatibilidad con el sistema web concreto. Si falla aunque sea un elemento, el usuario suele pensar que el problema está en el navegador, aunque no siempre sea así.
Por eso en una explotación corporativa normal Chromium GOST se despliega como parte de un paquete preparado para los puestos de trabajo. Se incluye en la imagen del puesto o en un conjunto centralizado de instalación, y no se entrega simplemente como otro navegador con la petición de que cada uno lo instale y configure manualmente. Cuantos más certificados, tokens, sistemas antiguos y sistemas operativos diferentes haya en la empresa, más importante es este enfoque.
Desde el punto de vista del mantenimiento es un componente especializado habitual. Hay que actualizarlo, comprobarlo tras las versiones, probarlo junto a CryptoPro CSP, extensiones y portales concretos. Tratarlo como un navegador corriente para la navegación diaria en el entorno corporativo normalmente resulta incómodo.
Cuándo las empresas no lo necesitan
Si la organización trabaja solo con servicios web habituales, correo, CRM, portales internos sin GOST TLS y sitios sin autenticación por certificado, Chromium GOST normalmente no hace falta. En esas condiciones basta con un navegador corporativo estándar con las políticas de seguridad y certificados adecuados.
Tampoco es indispensable donde la tarea ya la resuelve otro navegador soportado con soporte GOST. En la práctica la cuestión rara vez es si se necesita exactamente Chromium GOST a toda costa, y más bien es: qué navegador en la infraestructura concreta se integra mejor con el CSP, el plugin, los certificados y el soporte corporativo.
Por eso la decisión suele ser de uso concreto. Si sin ese navegador no es posible acceder al sistema necesario o firmar un documento, se instala. Si todo funciona con el navegador corporativo estándar, la compilación adicional no es necesaria.
Conclusión
Chromium GOST para las empresas rusas no es un navegador para todas las situaciones, sino una herramienta para un conjunto concreto de tareas. Se usa donde Chromium habitual no alcanza con GOST TLS, certificados de cliente y firma web.
Lo esencial es que Chromium GOST casi nunca funciona de forma aislada. Hace falta en conjunto con el criptoproveedor, el plugin de firma, los controladores de tokens y los certificados de las autoridades certificadoras. Por eso no tiene mucho sentido discutirlo como un navegador más. Para la empresa es parte de un puesto de trabajo configurado.
Si la empresa necesita un navegador universal para el trabajo diario, Chromium GOST puede resultar superfluo. Si se requiere acceso a sistemas con GOST TLS y firma electrónica cualificada, sin una compilación así o un análogo cercano normalmente no se puede prescindir.
En breve
- Chromium GOST es una compilación de Chromium con soporte de algoritmos GOST para conexiones seguras
- Hace falta donde el sistema web exige GOST TLS, certificado de cliente o trabajo con firma electrónica cualificada
- El Chromium habitual usa BoringSSL y por sí solo no cubre estas tareas
- Para funcionar plenamente suelen ser necesarios CryptoPro CSP, Browser plug-in, certificados de autoridad certificadora y controladores de tokens
- En las empresas Chromium GOST suele instalarse en parte de los puestos de trabajo, no como sustituto del navegador principal para todos los empleados
