Зачем устанавливать сертификат безопасности от Минцифры?

Последние месяцы многие российские пользователи сталкиваются с проблемами либо при оплате заказов в интернет-магазинах или на кассе по QR-кодам, либо при посещении государственных сайтов. Соединение отображается как незащищенное, а сами ресурсы просят установить сертификаты безопасности от Минцифры.

Дело в том, что из-за санкций зарубежные компании отзывают или аннулируют свои сертификаты безопасности, которые узнают все браузеры. Расскажу, что делать в такой ситуации и действительно ли нужно устанавливать сертификаты от Минцифры.

Сертификат безопасности позволяет передавать данные в зашифрованном виде и удостоверяет подлинность сайта. Его наличие на сайте проверяет браузер пользователя. Если сертификат есть и с ним все в порядке, сайт помечается как безопасный. Понять это легко: в левом углу адресной строки появится специальный значок — закрытый замочек.

• Представьте, что вы покупаете билеты онлайн. Если у сайта есть сертификат безопасности, то во время оплаты данные вашей банковской карты будут защищены. Вся информация идет через сервер HTTPS и шифруется с помощью криптографического ключа — ее никто не сможет перехватить.
• Если сертификата безопасности нет, подключение происходит через канал HTTP — все данные находятся в открытом виде. Так к ним могут получить доступ мошенники, да и сам интернет-магазин может оказаться фишинговым. Сертификат безопасности не только защищает сайт, но подтверждает его подлинность.

Сертификаты есть не только на сайтах, но и на устройствах. Это нужно, чтобы все корректно работало. Если документ выпущен доверенным центром, ваш телефон или компьютер с ним уже знаком — пользователю не нужно предпринимать какие-либо действия по его установке.

Сертификаты безопасности часто называют SSL-, TLS- или SSL/TLS-сертификатами. Обе технологии — SSL и TSL — используют для защиты информации. Отличаются они только тем, что TSL основана на уже действующей спецификации SSL 3.0. А сама SSL устарела и редко используется как единственная защита.

Обычно оба сертификата работают в связке. Такая поддержка обеспечивает защиту как новых, так и старых устройств.

SSL-сертификаты выпускают доверенные центры сертификации. Это специальные организации, которые отвечают за качество сервиса и гарантируют надежность. Их не очень много, но они бывают и частными, и государственными. Чем дольше работает центр, тем больше браузеров и устройств доверяют его сертификатам.

В марте 2023 года иностранные центры стали отказывать в продлении сертификатов российским компаниям, которые находятся под санкциями.

Первыми с последствиями такого решения столкнулись клиенты Сбера. У банка был сертификат от бельгийского центра Globalsign, действовавший до 15 февраля 2023 года. В Сбере от него отказались раньше: банк перевел свой сайт на сертификат от Минцифры 26 сентября 2022 года.

Тогда пользователи сайта сталкивались либо с его блокировкой браузером, либо с предупреждением о небезопасности в строке с адресом. Привычного замочка — знака надежности — тоже больше не было. Клиентам советовали установить на их устройства сертификаты Минцифры: самостоятельно загрузить их с госуслуг или скачать браузер, где они уже есть. Например, сертификаты Минцифры по умолчанию встроены в «Яндекс-браузер» и «Атом» от VK.

В декабре 2022 года с проблемами столкнулись россияне, совершающие покупки в магазинах с интернет-эквайрингом от Сбера. При оплате заказа стало появляться предупреждение о том, что для стабильной работы скоро потребуется сертификат Минцифры. «Коммерсант» обнаружил такое уведомление на сайтах «Детского мира», «Леруа Мерлена» и «Делимобиля». Решение проблемы предлагалось то же — обзавестись сертификатом на устройстве.

Представитель Сбера объяснил РБК, что его партнеры вправе самостоятельно выбирать, как будет работать платежное решение с их стороны — на сертификатах Минцифры или международных. Пользователям при этом не обязательно предпринимать дополнительные действия. В Сбере отметили, что объявления в магазинах — это не рекомендации банка, они созданы исключительно по инициативе партнера.

Вслед за Сбером отечественные сертификаты появились на многих государственных ресурсах. Например, на сайте Росреестра. При попытке зайти на него с зарубежного браузера появляется уведомление о том, что издатель сертификата неизвестен и сайт «самоподписан».

Но пока на зарубежные сертификаты перешли не все государственные сайты. Например, сайт Федеральной налоговой службы работает с любого браузера. Дело в том, что организация получила сертификат от некоммерческого центра Let’s Encrypt, который действует с 15 апреля по 14 июля 2023 года.

Минцифры начало выдавать российские сертификаты безопасности 10 марта 2022 года. Владельцы сайтов могут получить их через госуслуги, на это уходит пять рабочих дней. Когда срок действия сертификата закончится, новый можно получить тем же способом.

SSL/TLS-сертификаты выпускаются Национальным удостоверяющим центром. Про него известно не слишком много. Центр запустили на базе ФГАУ НИИ «Восход», об этом сообщили в пресс-релизе института. Он ведет разработку системы по поручению Минцифры и подведомственен ему же.

По каким принципам работает российский удостоверяющий центр, неизвестно. Проходил ли он проверки каких-либо организаций — тоже. Где хранится ключ, непонятно. Во всяком случае публично об этом не сообщали.

Наличие российского сертификата на сайте не означает, что все будет хорошо работать. Если вы зайдете на сайт с помощью любого зарубежного браузера, он пометит ресурс как ненадежный и незащищенный. Чтобы появился замочек, на вашем устройстве тоже должны быть российские сертификаты.

Эксперты в разговоре с РБК спрогнозировали, что смена сертификатов не скажется на безопасности сайтов. По мнению директора департамента информационной безопасности Sitronics Group Александра Дворянского, с точки зрения механизма работы российские и зарубежные документы должны быть идентичны. Такого же мнения придерживается и директор по консалтингу ГК InfoWatch Ирина Зиновкина.

Опрошенные «Роскомсвободой» эксперты придерживаются другой точки зрения: по их мнению, установка отечественных сертификатов на устройства влечет серьезные риски. ИТ-специалист Илья Вайцман и исполнительный директор «Общества защиты интернета» Михаил Климарев отмечают, что теоретически становится возможной MITM-атака на трафик, которую пользователю трудно заметить. Суть MITM-атаки в том, что злоумышленник пропускает весь трафик жертвы через себя. То есть получает доступ ко всем отправляемым данным: логинам, паролям, кодам и прочему.

С ними согласен и соучредитель АНО «Информационная культура» Иван Бегтин. Он также обращает внимание на то, что число корневых сертификатов в Windows, macOS, iOS и Android ограниченно. И за все время в них не появилось российского удостоверяющего центра. По мнению специалиста, это настораживает.

Российские сертификаты также сделают недоступным рунет для иностранных пользователей, кроме тех, кто готов заморачиваться, добавляет Вайцман.

Браузеры разрешают заходить на сайты без сертификатов или с документами, которые они считают ненадежными. Сначала вас предупредят об угрозе безопасности — появится сообщение, что при посещении ресурса мошенники могут попытаться похитить пароли и данные банковских карт.

Вам порекомендуют покинуть ненадежный сайт, а соответствующую кнопку подсветят более ярким цветом. Но у вас будет возможность пропустить предупреждение браузера и все равно зайти на ресурс.

Если перейти на сайт без сертификата, ваше соединение перестанет быть защищенным. После пропуска предупреждения вы переходите с работы по защищенному протоколу HTTPS на незащищенный HTTP. Все данные передаются между сервером и браузером в открытом виде. Например, если вы будете вводить номер банковской карты, его смогут увидеть злоумышленники.

Эксперты «Роскомсвободы» рекомендуют заходить на сайты с российскими сертификатами с «Яндекс-браузера». По словам Михаила Климарева, для других нужд его лучше не использовать, а оставить только для государственных сервисов и Сбера.

Иван Бегтин советует ставить сертификат либо на отдельное и редко используемое устройство, либо на виртуальную операционную систему.

Сертификат от Минцифры на устройстве нужен, только чтобы работать с российскими сайтами. И российские браузеры поддерживают его по умолчанию. Если вы пользуетесь «Яндекс-браузером» или «Атомом», никаких дополнительных действий предпринимать не нужно.

В зарубежные браузеры сертификаты придется установить самостоятельно. Их можно бесплатно скачать с госуслуг для любых устройств: смартфонов на iOS и Android и компьютеров на Windows, macOS и Linux.

Чтобы все корректно работало, потребуется установить два сертификата: корневой и выпускающий. На госуслугах есть инструкции для всех операционных систем. Вот как настроить работу на примере Windows:

1. Скачайте и зайдите в корневой сертификат. В папке «Загрузки» выберите Russian Trusted Root CA.cer и откройте его.
2. Установите корневой сертификат. В окне «Мастер импорта сертификатов» выберите «Текущий пользователь» → «Далее» → «Поместить все сертификаты в следующее хранилище» → «Обзор» → «Доверенные корневые центры сертификации» → «Далее». В окне «Завершение мастера импорта сертификатов» нажмите «Готово» и «Ок».
3. Скачайте и откройте выпускающий сертификат. Процесс тот же, что и с корневым сертификатом.
4. Установите выпускающий сертификат. В окне «Мастер импорта сертификатов» выберите «Текущий пользователь» → «Далее» → «Автоматически выбрать хранилище на основе типа сертификата» → «Далее». В окне завершения вновь нажмите «Готово» и «Ок».
5. Очистите кэш браузера. Это необходимо для корректной работы с сайтами, на которых установлен сертификат Минцифры.