Накануне клиенты Сбербанка заметили, что при попытке зайти на сайт или в личный кабинет, браузеры показывают ошибку с текстом, мол, сайт может украсть личные данные. Российские же браузеры — «Атом» и «Яндекс.Браузер» — ошибку не выдают. Разбираемся, что произошло, насколько безопасно изменение, введенное банком, и что делать, если не хочется пользоваться российскими браузерами.
Что произошло
Еще в начале сентября сообщалось, что Сбер переводит свой сайт на сертификат шифрования, который выпустил Национальный удостоверяющий центр Минцифры России. Действие прошлого TLS-сертификата истечет только 28 сентября, но компания уже решила подключить отечественный аналог. Пользователи заметили накануне, что на части устройств при открытии сайта пользователи получают предупреждение о том, что он не защищен и может украсть личные данные, поэтому многие браузеры его по умолчанию блокируют.
«Зарубежные удостоверяющие центры отказываются продлевать TLS-сертификаты для компаний под блокирующими санкциями США, опасаясь вторичных санкций. Также возникает риск отзыва уже выданных сертификатов, как было весной с сайтами некоторых банков. В таких условиях переход на отечественный удостоверяющий центр выглядит единственным решением, чтобы сохранить возможность безопасного обмена информацией в Сети», — объясняет технический директор финансового маркетплейса Банки.ру Кирилл Новоселов.
Что такое TLS-сертификат и безопасна ли российская версия
Механизм TLS-сертификатов позволяет клиенту проверить подлинность ресурса. В основе такой проверки — доверие к удостоверяющему центру (УЦ), который своей электронной подписью связывает доменное имя ресурса и его открытый ключ. Таким образом, при соединении клиент может проверить предъявителя сертификата и убедиться, что он тот, за кого себя выдает, то есть действительно владеет доменным именем, поясняет Кирилл Новоселов.
«Инфраструктура открытых ключей (PKI) — это глобальная инфраструктура, состоящая из множества УЦ, которые подтверждают подлинность друг друга, так называемая цепочка доверия. Последнее звено в этой цепочке — корневой сертификат, который изначально хранится на устройствах пользователей. Когда вы устанавливаете корневой сертификат от НУЦ Минцифры России, то доверяете тому, как российский удостоверяющий центр соблюдает требования безопасности в процессе выпуска сертификатов», — рассказывает эксперт.
Он поясняет, что сертификат, который теперь использует Сбербанк, безопасен, так как шифрование данных не связано с проверкой подлинности ресурса: «В современных версиях протокола TLS для защиты информационных сообщений используются алгоритмы с сеансовыми ключами. Это значит, что каждое соединение защищено индивидуально сгенерированными ключами, прочитать или подменить сообщения при передаче технически невозможно. Конечно, шифрование имеет смысл только в том случае, когда пройдена проверка подлинности ресурса. Иначе пользователь может обмениваться зашифрованным трафиком со злоумышленником, выдающим себя за искомый ресурс».
В будущем, как предполагает технический директор Банки.ру, вероятно, появится больше компаний, которые перейдут на отечественный сертификат. Это зависит от двух факторов — ограничений иностранных удостоверяющих центров и тактики развития суверенного российского Интернета. «Вполне возможно, что решение Сбера подтолкнет как пользователей, так и владельцев ресурсов к более активным действиям. Первых — к переходу на российские браузеры, в которые сертификат НУЦ уже встроен. Вторых — к выпуску сертификатов, подписанных НУЦ Минцифры, и готовности отказать в доступе пользователям, которые отечественному УЦ не доверяют», — добавляет Кирилл Новоселов.
Как установить российские сертификаты на любое устройство
Во все зарубежные браузеры не встроены российские сертификаты, поэтому они по умолчанию их блокируют. Это не значит, что сайт крупного банка стал небезопасным, поэтому проще всего установить российские сертификаты себе на устройство. Если вы пользуетесь российскими браузерами, такими как «Яндекс.Браузер» или «Атом», то ничего делать не нужно. В них уже встроен сертификат, подписанный НУЦ Минцифры.
Для остальных браузеров или устройств нужно воспользоваться порталом «Госуслуги». Там же даны подробные инструкции о том, как установить сертификат в зависимости от операционной системы компьютера или смартфона. Процедуру придется проходить для каждого своего устройства на Windows, iOS и MacOS, Android.
