Зачем устанавливать сертификат безопасности от Минцифры?

38
Аватар автора

Николай

спросил в Сообществе

Не могу зайти на сайт Сбера: браузер предупреждает, что он небезопасен. Пишут, что если установить российские сертификаты безопасности, то все будет нормально. Так ли это?

А еще про эти сертификаты писали в рассылке от госуслуг. Они действительно нужны? Для чего?

Вот такое письмо от госуслуг я получил в апреле 2023 года
Вот такое письмо от госуслуг я получил в апреле 2023 года
Аватар автора

Саша Кириллова

скачала «Яндекс-браузер»

Страница автора

Последние месяцы многие российские пользователи сталкиваются с проблемами либо при оплате заказов в интернет-магазинах или на кассе по QR-кодам, либо при посещении государственных сайтов. Соединение отображается как незащищенное, а сами ресурсы просят установить сертификаты безопасности от Минцифры.

Дело в том, что из-за санкций зарубежные компании отзывают или аннулируют свои сертификаты безопасности, которые узнают все браузеры. Расскажу, что делать в такой ситуации и действительно ли нужно устанавливать сертификаты от Минцифры.

Что это за сертификаты безопасности и зачем они нужны

Сертификат безопасности позволяет передавать данные в зашифрованном виде и удостоверяет подлинность сайта. Его наличие на сайте проверяет браузер пользователя. Если сертификат есть и с ним все в порядке, сайт помечается как безопасный. Понять это легко: в левом углу адресной строки появится специальный значок — закрытый замочек.

  • Представьте, что вы покупаете билеты онлайн. Если у сайта есть сертификат безопасности, то во время оплаты данные вашей банковской карты будут защищены. Вся информация идет через сервер HTTPS и шифруется с помощью криптографического ключа — ее никто не сможет перехватить.
  • Если сертификата безопасности нет, подключение происходит через канал HTTP — все данные находятся в открытом виде. Так к ним могут получить доступ мошенники, да и сам интернет-магазин может оказаться фишинговым. Сертификат безопасности не только защищает сайт, но подтверждает его подлинность.

Сертификаты есть не только на сайтах, но и на устройствах. Это нужно, чтобы все корректно работало. Если документ выпущен доверенным центром, ваш телефон или компьютер с ним уже знаком — пользователю не нужно предпринимать какие-либо действия по его установке.

Сертификаты безопасности часто называют SSL-, TLS- или SSL/TLS-сертификатами. Обе технологии — SSL и TSL — используют для защиты информации. Отличаются они только тем, что TSL основана на уже действующей спецификации SSL 3.0. А сама SSL устарела и редко используется как единственная защита.

Обычно оба сертификата работают в связке. Такая поддержка обеспечивает защиту как новых, так и старых устройств.

SSL-сертификаты выпускают доверенные центры сертификации. Это специальные организации, которые отвечают за качество сервиса и гарантируют надежность. Их не очень много, но они бывают и частными, и государственными. Чем дольше работает центр, тем больше браузеров и устройств доверяют его сертификатам.

Почему сайты просят устанавливать российские сертификаты

В марте 2023 года иностранные центры стали отказывать в продлении сертификатов российским компаниям, которые находятся под санкциями.

Первыми с последствиями такого решения столкнулись клиенты Сбера. У банка был сертификат от бельгийского центра Globalsign, действовавший до 15 февраля 2023 года. В Сбере от него отказались раньше: банк перевел свой сайт на сертификат от Минцифры 26 сентября 2022 года.

Тогда пользователи сайта сталкивались либо с его блокировкой браузером, либо с предупреждением о небезопасности в строке с адресом. Привычного замочка — знака надежности — тоже больше не было. Клиентам советовали установить на их устройства сертификаты Минцифры: самостоятельно загрузить их с госуслуг или скачать браузер, где они уже есть. Например, сертификаты Минцифры по умолчанию встроены в «Яндекс-браузер» и «Атом» от VK.

В декабре 2022 года с проблемами столкнулись россияне, совершающие покупки в магазинах с интернет-эквайрингом от Сбера. При оплате заказа стало появляться предупреждение о том, что для стабильной работы скоро потребуется сертификат Минцифры. «Коммерсант» обнаружил такое уведомление на сайтах «Детского мира», «Леруа Мерлена» и «Делимобиля». Решение проблемы предлагалось то же — обзавестись сертификатом на устройстве.

Представитель Сбера объяснил РБК, что его партнеры вправе самостоятельно выбирать, как будет работать платежное решение с их стороны — на сертификатах Минцифры или международных. Пользователям при этом не обязательно предпринимать дополнительные действия. В Сбере отметили, что объявления в магазинах — это не рекомендации банка, они созданы исключительно по инициативе партнера.

Вслед за Сбером отечественные сертификаты появились на многих государственных ресурсах. Например, на сайте Росреестра. При попытке зайти на него с зарубежного браузера появляется уведомление о том, что издатель сертификата неизвестен и сайт «самоподписан».

Но пока на зарубежные сертификаты перешли не все государственные сайты. Например, сайт Федеральной налоговой службы работает с любого браузера. Дело в том, что организация получила сертификат от некоммерческого центра Let’s Encrypt, который действует с 15 апреля по 14 июля 2023 года.

Предупреждение Safari о сайте Росреестра
Предупреждение Safari о сайте Росреестра
Информация о сертификате на сайте ФНС
Информация о сертификате на сайте ФНС

Что известно про сертификаты Минцифры

Минцифры начало выдавать российские сертификаты безопасности 10 марта 2022 года. Владельцы сайтов могут получить их через госуслуги, на это уходит пять рабочих дней. Когда срок действия сертификата закончится, новый можно получить тем же способом.

SSL/TLS-сертификаты выпускаются Национальным удостоверяющим центром. Про него известно не слишком много. Центр запустили на базе ФГАУ НИИ «Восход», об этом сообщили в пресс-релизе института. Он ведет разработку системы по поручению Минцифры и подведомственен ему же.

По каким принципам работает российский удостоверяющий центр, неизвестно. Проходил ли он проверки каких-либо организаций — тоже. Где хранится ключ, непонятно. Во всяком случае публично об этом не сообщали.

Наличие российского сертификата на сайте не означает, что все будет хорошо работать. Если вы зайдете на сайт с помощью любого зарубежного браузера, он пометит ресурс как ненадежный и незащищенный. Чтобы появился замочек, на вашем устройстве тоже должны быть российские сертификаты.

Эксперты в разговоре с РБК спрогнозировали, что смена сертификатов не скажется на безопасности сайтов. По мнению директора департамента информационной безопасности Sitronics Group Александра Дворянского, с точки зрения механизма работы российские и зарубежные документы должны быть идентичны. Такого же мнения придерживается и директор по консалтингу ГК InfoWatch Ирина Зиновкина.

Опрошенные «Роскомсвободой» эксперты придерживаются другой точки зрения: по их мнению, установка отечественных сертификатов на устройства влечет серьезные риски. ИТ-специалист Илья Вайцман и исполнительный директор «Общества защиты интернета» Михаил Климарев отмечают, что теоретически становится возможной MITM-атака на трафик, которую пользователю трудно заметить. Суть MITM-атаки в том, что злоумышленник пропускает весь трафик жертвы через себя. То есть получает доступ ко всем отправляемым данным: логинам, паролям, кодам и прочему.

С ними согласен и соучредитель АНО «Информационная культура» Иван Бегтин. Он также обращает внимание на то, что число корневых сертификатов в Windows, macOS, iOS и Android ограниченно. И за все время в них не появилось российского удостоверяющего центра. По мнению специалиста, это настораживает.

Российские сертификаты также сделают недоступным рунет для иностранных пользователей, кроме тех, кто готов заморачиваться, добавляет Вайцман.

Что будет, если заходить на сайты без сертификатов

Браузеры разрешают заходить на сайты без сертификатов или с документами, которые они считают ненадежными. Сначала вас предупредят об угрозе безопасности — появится сообщение, что при посещении ресурса мошенники могут попытаться похитить пароли и данные банковских карт.

Вам порекомендуют покинуть ненадежный сайт, а соответствующую кнопку подсветят более ярким цветом. Но у вас будет возможность пропустить предупреждение браузера и все равно зайти на ресурс.

Такую плашку показывает браузер Firefox, если зайти на сайт Росреестра
Такую плашку показывает браузер Firefox, если зайти на сайт Росреестра

Если перейти на сайт без сертификата, ваше соединение перестанет быть защищенным. После пропуска предупреждения вы переходите с работы по защищенному протоколу HTTPS на незащищенный HTTP. Все данные передаются между сервером и браузером в открытом виде. Например, если вы будете вводить номер банковской карты, его смогут увидеть злоумышленники.

Эксперты «Роскомсвободы» рекомендуют заходить на сайты с российскими сертификатами с «Яндекс-браузера». По словам Михаила Климарева, для других нужд его лучше не использовать, а оставить только для государственных сервисов и Сбера.

Иван Бегтин советует ставить сертификат либо на отдельное и редко используемое устройство, либо на виртуальную операционную систему.

Как установить сертификаты от Минцифры

Сертификат от Минцифры на устройстве нужен, только чтобы работать с российскими сайтами. И российские браузеры поддерживают его по умолчанию. Если вы пользуетесь «Яндекс-браузером» или «Атомом», никаких дополнительных действий предпринимать не нужно.

В зарубежные браузеры сертификаты придется установить самостоятельно. Их можно бесплатно скачать с госуслуг для любых устройств: смартфонов на iOS и Android и компьютеров на Windows, macOS и Linux.

Чтобы все корректно работало, потребуется установить два сертификата: корневой и выпускающий. На госуслугах есть инструкции для всех операционных систем. Вот как настроить работу на примере Windows:

  1. Скачайте и зайдите в корневой сертификат. В папке «Загрузки» выберите Russian Trusted Root CA.cer и откройте его.
  2. Установите корневой сертификат. В окне «Мастер импорта сертификатов» выберите «Текущий пользователь» → «Далее» → «Поместить все сертификаты в следующее хранилище» → «Обзор» → «Доверенные корневые центры сертификации» → «Далее». В окне «Завершение мастера импорта сертификатов» нажмите «Готово» и «Ок».
  3. Скачайте и откройте выпускающий сертификат. Процесс тот же, что и с корневым сертификатом.
  4. Установите выпускающий сертификат. В окне «Мастер импорта сертификатов» выберите «Текущий пользователь» → «Далее» → «Автоматически выбрать хранилище на основе типа сертификата» → «Далее». В окне завершения вновь нажмите «Готово» и «Ок».
  5. Очистите кэш браузера. Это необходимо для корректной работы с сайтами, на которых установлен сертификат Минцифры.
Саша КирилловаСталкивались с проблемами из-за сертификатов безопасности? Расскажите о них:
  • IwanНе ставил и проблем с доступом никуда нет. А тот факт, что их установку так навязывают, считаю подозрительной.7
  • NБез сертификатов не могла в свой Квик зайти, пришлось установить.1
  • Vladimir K-chА не проще ли отдельный условный Атом поставить и заходить на сайты, требующие сертификаты, исключительно с него, а для другого не пользовать?8
  • really niceО да, попасть на nalog.ru по КЭП - это квест не для слабонервных. Мало того, что самопальных сертификатов надо добавить кучу, так они еще их перевыпускают каждый год, и требуют все сертификаты за все время.7
  • IwanVladimir, яндекс браузер именно для этого и пришлось поставить. Хорошо, что он не требует установки в системное хранилище, а работает через свое.6
  • Vladimir K-chIwan, неприятно, что такое требуют, но установка отдельного браузера и правда выглядит компромиссным решением.3
  • Дмитрий Соколов> После пропуска предупреждения вы переходите с работы по защищенному протоколу HTTPS на незащищенный HTTP Лютейшая чушь. Просто далее всё работает без цепочки доверия, как с любым самоподписным сертификатом. Никто не откатывается на plaintext.10
  • При этом>Если перейти на сайт без сертификата, ваше соединение перестанет быть защищенным. А если поставить сертификат, то вообще все ваши соединения перестанут быть защищёнными от Минцифры, РКН, ФСБ и т.д., я правильно понимаю?31
  • SergeyПри, в теории да7
  • ЮиПХром не открывал сайт Росреестра, установила Яндекс-браузер, зашла, а он и говорит: сайт подозрительный, хотите продолжить на свой страх и риск? (вольный пересказ).1
  • Boris Köln"Вся информация идет через сервер HTTPS". Глупость. "После пропуска предупреждения вы переходите с работы по защищенному протоколу HTTPS на незащищенный HTTP" Нет, вы продолжаете использовать HTTPS. Можно ли, чтобы статьи писал человек, хоть немного разбирающийся в теме? Хоть чуть умнее "пользователя Яндекс-браузера".8
  • ДмитрийIwan, Яндекс браузер устанавливается легко, а вот удалить его целая история, я помню, его чуть ли не как вирус удалял, а он появлялся вновь и вновь )) очень навязчивое ПО5
  • IwanДмитрий, удаляется стандартными средствами без всяких проблем. Возможно, когда-то давно было иначе, но сейчас никаких сложностей нет.2
  • ДмитрийIwan, да я запомнил его иным ) но снова устанавливать страшно4
  • Sergey AveryanovПри, я в кибербезопасности не сильно шарю, но вроде бы издатель сертификата может легко и непринужденно проводить атаку Man-in-the-middle со всеми ее неприятными последствиями (а это не только перехват данных, но и их поделка). И если издателем сертификата является ветвь российской власти, то да, любой полицай может получить эту возможность. Спасти тут может только то, что это все таки целевая атака, а значит чтобы стать ее жертвой надо представлять хоть какой-то интерес для полицаев.5
  • Serega KesovНе смог пополнить баланс в приложении букмекера, просили установить сертификат. Я скачал его на андроид на начальном этапе установки нужно разблокировать экран у меня цифровой код, и в экране разблокировки мне написали что этот файл будет полностью мониторить мой смартфон, короче полная слежка, и при этом будет передавть все данные о моих действиях куда то. Мне это надо? Я не стал устанавливать сертификат, отменил установку и удалил скачанный корневой файл с телефона.0
  • Дмитрий СоколовАлександр, охххх, непрошибаемый аргумент «а я видел». Во-первых, сайт Сбера *намеренно* сделали доступным без TLS, это никак нельзя сделать случайно, там тупо даже разные порты (80 и 443). Сертификат там тоже пока ещё действительный, кстати, но сайт специально перенаправляет трафик в plaintext (САМ САЙТ, не браузер, ни один идиот такой дырявый браузер не сделает). Во-вторых, возможно (возможно), где-нибудь выскочило предупреждение о редиректе на plaintext. Т.е., простыми словами, всё вообще наоборот: сам сайт просит перейти с HTTPS на HTTP, а браузер этому странному небезопасному решению сопротивляется и уточняет у пользователя. Это абсолютно другое предупреждение, не имеющее отношения к недействительности сертификата. Если у сертификата нет цепочки доверия, то он просто будет работать как self-signed, а небезопасным это соединение можно рассматривать исключительно с точки зрения потенциальных MiTM-атак с *подменой* сертификата. Не с переходом на HTTP автоматически, это чушью было и чушью осталось, повторяю. Шифрованным соединение останется.7
  • MelonicАлес, будто эта метка это что-то плохое. Мне Роскомсвобода не раз помогали обойти дурацкую цензуру VPN.3
  • MelonicАлес, других законных источников нет. По новому закону с 1 марта вся информация о настройке ВПН для обхода цензуры запрещена Роскомнадзором. Теперь только иноагенты.1
  • MelonicАлес, и кто именно тебе помог развалить страну? Может развалили советский союз патриоты своей Родины, которые понимали что идеология госатеизма и отсталой плановой экономики это в целом нежизноспособная идея? Даже Китай это понял и вовремя поменял курс на рынок, а СССР нет.1
  • Алес ГребеньMelonic, кто вам это сказал что не жизнеспособен?0
  • Алес ГребеньMelonic, во первых прочитайте что такое иноагент. А во вторых сделайте выводы почему вы назвали только их.0
  • Алес ГребеньMelonic, точней закон про иноагента.0
  • MelonicАлес, потому что других нормальных источников по обходу цензуры и блокировок нет, либо они уже заблокированы. Видимо у нас признают всех кто пишет неудобное Роскомнадзору иноагентами.2
  • MelonicАлес, причем тут сертификация? Я говорю что в целом в России нельзя писать информацию об обходе блокировок и цензуры, даже если якобы есть нормальные источники ("С 1 декабря 2023 года вступит в силу право Роскомнадзора ограничивать доступ к любым сайтам, где есть информация о способах обхода блокировки ресурсов"). А многие люди, кто пишут про подобное, часто признаются иноагентами, для т.н "признания" даже факта иноагенства даже не нужно получать иностранных денег, главное не понравиться власти. Недавно например Минюст объявил иноагентом 19-летнего парня, заявившего на себя «по приколу», даже не проверив человека. Не верю я в правдивость этой маркировки.2
  • Udi ErzaКто знает, как удалить этот сертификат из Я.Браузера? В списке используемых не могу его найти, но все проверки проходят(1
  • Мама ПапаInnokentii, не для вас уже отвечаю, а для тех, кто может вам ненароком поверить НУЦ - центр, который выпускает сертификаты - контора невероятно мутная. О нём известно по сути только то, что он есть и что он госовский. А технология корневого сертификата действительно позволяет ему расшифровать весь ваш трафик и посмотреть, куда вы ходите и зачем. Без сертификата гос видит только то, что вы зашли, например, ютуб, а с сертификатом - весь список видео, которые вы смотрите, комментарии, которые вы пишете и в принципе может увидеть всё, что видите в интернете вы. Я не говорю, что это будет обязательно, но каждый решает сам, устраивает ли его хотя бы в теории такая возможность2
  • Никита ЯрковойПод словом "безопасность" имеется ввиду безопасность от всего, кроме mitm от наших любимых ркн, ФСБ и прочих?1
  • Сергей АгибаловГоспода, если вас захотят прослушать, то прослушает ЛЮБОЙ удостоверяющий центр. Почему господин автор доверяет западным компаниям и не доверяет Российским компаниям? И приводит реплики иноагентов западных НКО? Вот какие вопросы должны возникнуть у думающих людей. А вся суть в том что Российские компании обезопасили себя от прослушки западных компаний, которые владеют корневыми сертификатами и ключами шифрования. Также пару реплик по тексту. - Где хранится ключ, непонятно. А может Вам еще сказать пароль от ключа? - Климарев отмечают, что теоретически становится возможной MITM-атака на трафик, которую пользователю трудно заметить. Это и вранье и правда, кратко говоря - передернутая информация. Такую атаку можно совершить с ЛЮБОГО удостоверяющего центра, если завладеть ключем шифрования. Но автору еще не рассказали, где он лежит. Странно... правда? - После пропуска предупреждения вы переходите с работы по защищенному протоколу HTTPS на незащищенный HTTP. Это просто вранье.0