Как настроить Яндекс браузер для работы с электронной подписью
Внимание! В данной статье описан процесс настройки ТОЛЬКО для электронных подписей, выданных с использованием криптопровайдера КриптоПРО CSP и для аппаратных ключен (Рутокен ЭЦП, JaCarta ГОСТ и пр.). Если Ваша электронная подпись выдана с использованием иного криптопровайдера (например, Vipnet CSP, Lissi CSP и пр.) дальнейшие настройки могут повредить вашу операционную систему! Для настройки обратитесь в организацию, выдавшую вам электронную подпись!
Установка компонентов для работы с электронной подписью
Также потребуется установить расширение для браузера, его можно установить по ссылке: https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog . Как откроется страница нажмите «Установить», через пару секунд расширение установится.
Выключаем лишнее
Вместе с некоторыми программами (например, Яндекс Браузер) могут установиться дополнительные программы, которые могут помешать нормальной работе с электронной подписью на некоторых сайтах.
Чтобы избежать проблем — рекомендуем удалить такие программы как Менеджер браузеров, Кнопка Яндекс на панели задач, Элементы Яндекс для Internet Explorer. Удаляются они штатными средствами MS Windows — через Панель управления — Программы и компоненты.
Включение настроек для работы с подписью
В открывшемся окне с плагинами необходимо включить нужные нам плагины: КриптоПРО ЭЦП и Расширение для плагина Госуслуг (при необходимости).
После включения плагинов необходимо подключить возможность работы с защищенным соединением TLS по ГОСТ. Для этого заходим в настройки браузера и в разделе «Сеть» поставим галочку «Подключаться к сайтам, использующим шифрование по ГОСТ.» Как указано на рисунках ниже.
После включения этих настроек можно без перезагрузки начинать работать с электронной подписью на нужном нам ресурсе.
Обращаем внимание! Для корректной работы защищенного соединения требуется отключать антивирус на время работы с подписью! Это необходимо при работе на сайта ФНС или на сайте ЕРУЗ (zakupki.gov.ru). А что касается знаменитого антивируса Касперского, то у него надо делать «Выход» (отключение не помогает)!
Обычно настройка Яндекс.Браузера для работы с электронной подписью занимает у наших специалистов 10-15 минут. Вы можете обратиться в нашу платную техническую поддержку за помощью . Стоимость настройки электронной подписи в Яндекс.Браузер обычно стоит 1000 рублей!
КриптоПро для Яндекс Браузера
Из нашей статьи вы узнаете:
Для работы с электронной подписью (ЭП) требуются специальные инструменты — криптографические программы. Их устанавливают на компьютер, с которого происходит обработка цифровых документов. Для генерации и проверки ЭП используется криптопровайдер. Одним из самых популярных является КриптоПро CSP от отечественных разработчиков. Чтобы данный криптопровайдер взаимодействовал с веб-страницей и пользователь мог подписывать файлы в интернете, необходим КриптоПро ЭЦП browser plug-in. Порядок установки зависит от браузера.
Зачем используется КриптоПро в Яндекс Браузере
Плагин осуществляет взаимодействие между браузером и криптопровайдером. Создаёт и проверяет электронную подпись в интернете с помощью КриптоПро CSP. Поддерживает работу со встроенными или установленными в ОС алгоритмами. Позволяет подписывать документы в режиме онлайн, участвовать в электронных торгах, работать на государственных порталах и сервисах.
Как добавить КриптоПро browser plug-in
КриптоПро ЭЦП browser plug-in не требует скачивания со сторонних ресурсов. Процесс интеграции осуществляется в меню браузера. Дополнение доступно для бесплатного скачивания в интернет-магазинах Оперы и Гугл Хром.
Чтобы установить плагин КриптоПро для Яндекс Браузера, требуется выполнить следующие шаги:
Как пользоваться КриптоПро browser plug-in
После установки требуется установить дополнительное расширение и проверить работу CryptoPro browser plug-in. Для этого необходимо:
При успешной проверке на сайте отобразятся сведения о сертификате электронной подписи. Будет указан:
Почему не работает плагин КриптоПро в Яндекс Браузере
Плагин может не работать по следующим причинам
Для корректной работы электронной подписи следует убедиться, что все пункты данного списка выполнены.
Получить актуальную версию КриптоПро CSP можно на официальном сайте разработчика в разделе продукты. На странице представлены пробные дистрибутивы для установки, срок действия которых не превышает 3 месяца. Далее потребуется купить лицензию.
Как настроить Яндекс. Браузер для работы с личным кабинетом ЕИС в сфере закупок
В статье расскажем, как установить и настроить Яндекс.Браузер, а также необходимые компоненты и расширения для комфортной и безопасной работы в Единой информационной системе (ЕИС) в сфере закупок.
Почему именно Яндекс
Единая информационная система в сфере закупок (ЕИС) прекратит поддержку браузера «Internet Explorer» 15 июня 2022 года. Правительство рекомендовало пользователям системы использовать браузеры, которые поддерживают протоколы безопасности с использованием российских криптографических стандартов Transport Layer Security (TLS v. 1.0/1.2, RFC 5246). Такие протоколы реализованы в Яндекс. Браузере и браузере «Спутник». Второй браузер менее стабилен, пользоваться им для доступа в личный кабинет ЕИС в сфере закупок не рекомендуем.
Если у вас нет прав Администратора, обратитесь к системному администратору вашего учреждения и покажите ему эту инструкцию.
Подготовка к установке браузера
Ищите нужные вам закупки по 44-ФЗ и 223-ФЗ на всех основных площадках и анализируйте их с помощью онлайн-сервиса Контур.Закупки.
Чтобы Яндекс.Браузер работал без проблем, рекомендуем удалить все лишние сервисы Яндекса, связанные с изменением или контролем работы браузеров с вашего ПК. Например, «Менеджер браузеров», «Кнопка Яндекс на панели задач», «Элементы Яндекс для Internet Explorer». Чтобы это сделать:
Повторите эти действия, если у вас установлены «Кнопка Яндекс на панели задач» и «Элементы Яндекс для Internet Explorer».
Загрузка и установка Яндекс. Браузера
В целях безопасности и сохранения конфиденциальности данных, мы не рекомендуем оставлять галочку на пункте «Закрепить Алису в панели задач». Алиса имеет доступ не только к статистике браузера, но и к микрофону вашего компьютера. Выбор браузера по умолчанию остаётся за вами.
Устанавливаем компоненты для авторизации в личном кабинете заказчика ЕИС
В выпадающем меню нажмите кнопку «Сделать исключение для этого сайта», чтобы начать загрузку.
Установка дополнения «Расширение для плагина Госуслуг» входа в личный кабинет заказчика ЕИС по 223-ФЗ
На этом установка и настройка Яндекс.Браузер завершена, и вы можете начать им пользоваться.
Мы подготовили чек-лист, который поможет подготовить ваше рабочее место для успешной работы в ЕИС используя Яндекс.Браузер
Как настроить браузер для работы с ЭЦП
Квалифицированная электронная подпись используется в различных сферах для обеспечения юридической значимости действий её владельца. Но пользователи часто сталкиваются с проблемой: браузер не видит электронную подпись.
Разберёмся с тем, как избежать подобную проблему и настроить четыре популярных браузера для работы с электронной подписью.
Что нужно знать перед настройкой
Квалифицированная электронная подпись используется в электронном документообороте и торгах, а также для работы на государственных порталах и регистрации онлайн-кассы.
В большинстве случаев основная работа с подписью происходит в браузере, поэтому перед любыми действиями с сертификатом подписи программа должна быть настроена. Если не провести подготовку браузера, то он не сможет увидеть электронную подпись ни на компьютере, ни на токене.
Настройка браузера подразумевает установку дополнительных плагинов — криптопровайдеров. С их помощью компьютер может совершать криптографические операции, необходимые для работы с электронной подписью.
У браузеров Internet Explorer, Google Chrome, Яндекс.Браузер и Mozilla Firefox интерфейс имеет отличия, поэтому их настройка для работы с электронной подписью различается.
Рассмотрим настройку этих браузеров на основе криптопровайдера КриптоПро CSP.
Установка криптопровайдера
Во время установки нужно следовать подсказкам мастера установки и ввести данные пользователя и организации. Программа также потребует ввести серийный номер для активации лицензии.
Обратите внимание, что установку сертификата необходимо производить в хранилице личных сертификатов.
Важно: ознакомительный период длится 3 месяца, после этого пользователь должен приобрести лицензию. Функции программы во время действия ознакомительного периода не будут ограничены.
Установка дополнительной библиотеки
После скачивания файла, его нужно установить. Для этого следует запустить установочный файл и следовать подсказкам помощника по установке.
Плагин для браузера
Запустите установочный файл и следуйте подсказкам помощника по установке. Активацию плагина нужно осуществлять в каждом браузере отдельно.
Настройка браузеров
Приступать к настройке браузера можно после установки криптопровайдера и библиотеки. Для каждого браузера предусмотрены свои расширения, которые нужно будет установить.
Internet Explorer
Браузер Internet Explorer не требует отдельного включения КриптоПро ЭЦП Browser plug-in.
Google Chrome
В правом верхнем углу в списке активированных расширений должен появиться значок CryptoPro Extension for CAdES Browser Plug-in, что свидетельствует о правильной установке.
Для получения квалифицированной электронной подписи обратитесь в аккредитованный удостоверяющий центр, получивший соответствующее разрешение в Минкомсвязи. Специалисты УЦ «Калуга Астрал» помогут вам выбрать подходящий тариф и расскажут, какие документы вам понадобятся для выпуска электронной подписи.
Чтобы получить электронную подпись:
Исправляем ошибку “Подключение не защищено” при заходе на российские сайты
Описание проблемы
При заходе на различные российские сайты, можно получить ошибку следующего содержания:
Ваше подключение не является закрытым
Злоумышленники могут попытаться украсть ваши данные с (например, пароли, сообщения или кредитные карты).
NET::ERR_CERT_AUTHORITY_INVALID
Причиной данной ошибки является переход российских веб-сайтов на сертификаты, которые были выпущены российским удостоверяющим центром – Национальным удостоверяющим центром Минцифры России (далее НУЦ Минцифры России). Его сертификаты отсутствуют в списке доверенных в большинстве операционных систем и браузеров, в связи с чем и возникает данная ошибка. Исправить данное положение дел можно двумя способами:
Установка сертификатов в Windows
Основные причины ошибки
Рассмотрим настройку этих браузеров на основе криптопровайдера КриптоПро CSP.
https://youtube.com/watch?v=7zs00TYrrmY%3Ffeature%3Doembed
Инструкция по настройке компьютера и браузера спутник для работы на еат березка
Настройка рабочего места для агрегатора торговли Березка — это подготовка самого компьютера и браузера Спутник, работать в котором рекомендует ЕАТ, чтобы не возникало ошибок.
Как включить ssl в яндекс браузере?
Для включения SSL-сертификата в Яндекс.Браузере:
Как внести сертификат в список надежных яндекс?
Выберите раздел «Дополнительные», затем вкладку «Сертификаты», нажмите кнопку «Просмотр сертификатов». В открывшемся окне «Управление сертификатами» выберите вкладку «Ценры сертификации», нажмите кнопку импортировать, выберите сохраненный файл сертификата и нажмите «Открыть».
Как внести сертификат в список надежных?
Установка через Internet Explorer:
Как добавить сайт в исключения яндекс?
Чтобы задать исключение:
Как изменить сертификат?
Чтобы изменить свойства сертификата
Как отключить проверку сертификатов в яндекс браузере?
Открываем Яндекс браузер и переходим в раздел «Настройки» через выпадающее меню. Далее пролистываем в самый низ страницы и нажимаем на кнопку «Настройки прокси-сервера». В появившемся окне переходим в раздел «Безопасность» и устанавливаем ползунок в режим «Средний».
Как подготовиться к сертификации яндекс?
Чтобы подготовиться к сертификации по Яндекс. Директ, изучите обучающие материалы. Это отсылки к разным разделам Помощи по Директу, собранные в одном месте и сгруппированные по тематическим блокам. Помимо расширенного курса, у Яндекса есть базовый курс для новичков.
Как получить сертификат по яндекс метрике?
https://youtube.com/watch?v=joJiRHhFvh0%3Ffeature%3Doembed
Чтобы получить сертификат Яндекс. Метрики, нужно ответить правильно на 80% вопросов каждой из 6 тем: например, могут касаться того, как настроить конверсию, как получить данные из отчета, как правильно настроить сегмент и та далее. Если хотя бы в одной теме будет менее 80% правильных ответов, тест не зачтется.
Какой браузер поддерживает шифрование защищенных соединений?
Нашими сервисами можно пользоваться в браузерах, которые поддерживают шифрование защищенных соединений по ГОСТ 34.10-2001, 28147-89. На данный момент таковыми являются Internet Explorer 8.0 , Safari под Windows 5.1 .
Что входит в состав полной себестоимости?Что входит в состав среднесписочной численности?Что входит в состав воска?Что входит в состав жевательного табака?Что входит в специальный стаж?Что входит в трансмиссию?Что входит в входной контроль?Что входит в Западно Казахстанскую область?Что влияет на географию сельских поселений?Что вместо оао и Зао?
Шаг 1. устанавливаем сертификаты и криптопро csp
Работа в государственных информационных системах, в том числе и в Едином агрегаторе торговли, невозможна без ключа электронной подписи (ЭП) и сертификата. Отдельный дистрибутив получать нет необходимости, все установочные операции ведутся онлайн. Вот как загрузить сертификат на Березке:
1. Скачиваем на официальном сайте Федерального казначейства два сертификата — сертификат удостоверяющего центра ФК и сертификат Головного удостоверяющего центра.
2. Устанавливаем сертификаты на пользовательский компьютер: находим файлы с расширением .cer и в его сведениях выбираем действие «Установить сертификат».
3. В программе импорта выбираем тип хранилища. Система определяет автоматический выбор, но нам это не подходит. Выбираем пункт «Поместить все сертификаты в следующее хранилище». Выбираем хранилище через кнопку «Обзор».
Все готово. Сертификат установлен.
Следующая задача — установить или обновить КриптоПро CSP. Программное обеспечение КриптоПро CSP — это инструмент криптографической защиты информации пользователя. Программу в обязательном порядке устанавливают все, кто осуществляет государственные закупки.
Территориальные отделения ФК предоставляют бесплатные версии КриптоПро CSP и их дистрибутивы государственным и муниципальным заказчикам. Пользователю надлежит установить КриптоПро CSP версии 4.0 (4.0.9842) и выше. Подробная инструкция для скачивания и установки есть на официальном сайте разработчика.
Теперь переходим к настройке рабочего места и браузера Спутник.
Шаг 2. настраиваем браузер спутник
Разработчики рекомендуют работать с Единым агрегатором торговли в браузере Спутник. Дальнейшая инструкция отражает правила настройки этого ресурса для ЕАТ Березка. Если вы работаете с другим браузером, выполняйте все действия по аналогии — команды браузеров отличаются несущественно. Вот как настроить браузер Спутник для госзакупок:
Теперь опишем подробнее каждое действие пользователя.
Шаг 3. формируем список доверенных узлов
Для бесперебойной работы ЕАТ его официальный сайт надлежит включить в список доверенных узлов Спутника. Вот как в Спутнике добавить сайт в зону надежных узлов:
1. Заходим в блок «Сеть» и выбираем действие «Изменить настройки прокси-сервера».
2. В окне свойств переходим в раздел «Безопасность».
Шаг 4. настройка параметров браузера
В той же вкладке «Безопасность» необходимо установить и другие настройки для корректной работы Спутника. Показываем на картинках, какие параметры вам надлежит включить, а какие — отключить.
Теперь настраиваем всплывающие окна. В свойствах браузера Спутник переходим на вкладку «Конфиденциальность». Включаем блокировку всплывающих окон.
Есть и другой вариант — добавить адрес ЕАТ в список исключений в настройках всплывающих окон.
Включаем переопределение автоматической обработки cookie-файлов. Это делается в свойствах — через вкладку «Конфиденциальность» и кнопку «Дополнительно».
Теперь устанавливаем настройки браузера Спутник по умолчанию. Делаем это так:
https://youtube.com/watch?v=GDZcMfzr8bM%3Ffeature%3Doembed
В завершении настройки удаляем временные интернет-файлы, истории обзора и cookie-файлы. Переходим на вкладку «Общие» и выбираем действие «Удалить».
Про поддержку сайтов с национальными сертификатами в Яндекс Браузере
Время на прочтение
Очень много вопросов по этой теме. Оно и понятно: информации мало, противоречивых интерпретаций много. Для нас тема защиты соединений с сайтами близка. Мы пишем на Хабре об этом уже лет восемь. Например, в своё время мы первыми поддержали DNSCrypt прямо в браузере, первыми начали предупреждать о неизвестных корневых сертификатах в системе, первыми включили шифрование трафика для незащищенных Wi-Fi-сетей.
Поэтому сегодня мы расскажем сообществу о происходящем чуть более подробно. Тем, кто очень спешит и хочет получить короткие ответы, достаточно прочитать начало поста. Поехали.
Коротко о главном
Как вы можете знать, ряд российских сайтов уже столкнулись с отзывом выданных TLS-сертификатов. Напомню, что наличие действующего авторитетного сертификата жизненно важно для любого сайта, который работает с данными пользователей. Без сертификата невозможно удостовериться, что данные передаются именно тому сайту, который указан в адресной строке браузера, а не подделке злоумышленников. Как следствие, любой современный браузер не пускает пользователей на сайт, если его сертификат отозван (это нормальное, ожидаемое поведение).
Проблема в том, что российским сайтам всё сложнее получить такой сертификат. Удостоверяющие центры всё чаще отзывают ранее выданные сертификаты и отказывают в их выдаче. Да, сайты могут начать использовать самоподписанные сертификаты. Но к ним нет и не будет никакого доверия со стороны браузеров из-за отсутствия контроля в их выдаче и применении. А значит, проблема с доступом к сайтам никуда не денется.
К чему это может привести? Вот несколько вариантов:
Вряд ли можно назвать какой-либо из этих вариантов приемлемым.
Описание текущего решения
Есть альтернативная инициатива — создать национальные удостоверяющие центры (НУЦ) и поддержать их корневые сертификаты в браузерах. НУЦ смогут выдавать сертификаты тем (и только тем!) сайтам, которые к ним обратятся. Наличие альтернативы позволит не допустить ситуации, при которой пользователи лишатся доступа к онлайн-сервисам.
Первый такой НУЦ уже появился — на базе Госуслуг. Сейчас он работает так:
Конечно же, это решение не заработало бы без поддержки браузеров. Мы признали неполный авторитет сертификатов НУЦ в Яндекс Браузере в версиях для Windows и Android.
Неполный авторитет — это значит, что сертификаты НУЦ будут признаваться только для тех доменов, которые помещены в публичный список на gosuslugi.ru/tls. Если посещаемого сайта нет в этом списке, то попытка применить новый сертификат приведёт к стандартной ошибке и не даст посетить сайт. И нет, нельзя выпустить сертификат по маске так, чтобы покрыть все домены второго уровня (например, все *.ru) — на стороне Браузера такое просто не заработает. Кроме того, все входящие к нам изменения этого списка будут проходить через контроль явных ошибок. Если очень грубо, то это первый шаг к Certificate Transparency, чтобы обеспечить аудируемость процедуры выдачи сертификатов.
Наши планы
Текущее решение, конечно же, требует развития. Основной способ завоевания доверия к центру сертификации — это открытость. И здесь мы планируем несколько вещей.
Прежде всего, хотим организовать рассылку уведомлений в Яндекс Вебмастере тем владельцам сайтов, для которых зафиксирован выпуск сертификатов.
Наша более глобальная инициатива — поддержать стандарт Certificate Transparency (CT) и поднять публичный лог, в который НУЦ будет записывать выпущенные сертификаты. Если посещаемого пользователем сайта не будет в этом логе, то браузер выдаст ошибку ERR_CERTIFICATE_TRANSPARENCY_REQUIRED и не даст его открыть.
Мы хотим, чтобы наш Браузер проверял сертификаты не по одному, а по нескольким независимым друг от друга публичным логам, поэтому призываем других участников рынка присоединиться к инициативе и поднять дополнительные логи по стандарту CT.
Большая просьба: если вы знаете, как сделать лучше, — приходите, советуйте. Хотите покритиковать решения — критикуйте и предлагайте улучшения.
P. S. Пока оформлял этот пост, прилетела новость: центр сертификации DigiCert, обслуживающий около 50 тыс. российских сайтов, ограничил им выдачу сертификатов.
Update. Опубликовали на Гитхабе исходный код, который позволяет добавить поддержку сайтов с национальными сертификатами в любой браузер на основе Chromium.
Update 2. Опубликовали на Гитхабе библиотеку для мобильных приложений (Android и iOS), которая поможет открывать сайты с национальными сертификатами в webview.
«Сбер» для безопасного доступа к сайтам банка после перехода на российские TLS-сертификаты предлагает всем пользователям установить корневой сертификат Russian Trusted Root CA с сайта “Госуслуги” или использовать “Яндекс Браузер”.
«Сбер» пояснил, что скоро только российские сертификаты обеспечат защищённый доступ к сайтам и онлайн-сервисам «Сбера» с любых устройств пользователей. Для этого нужно или использовать браузеры с поддержкой российских сертификатов (“Яндекс Браузер” или “Атом”) или установить сертификаты для своей операционной системы.
«Сбер» предупредил, что скоро большинство сайтов в рунете перейдут на российские TLS-сертификаты и пользователям всё равно придётся выбирать: установить корневой сертификат Russian Trusted Root CA или использовать «Яндекс.Браузер».
Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
«Яндекс Браузер» применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
15 сентября Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK. Также можно установить в системе сертификат Национального удостоверяющего центра Минцифры России — Russian Trusted Root CA.cer.
В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».
В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.
Для ознакомления с проблемой установки и работой корневого сертификата Russian Trusted Root CA есть четыре публикации на Хабре по этой ситуации:
1. “Суверенный, сувенирный, самопровозглашенный”.
2. «Импортозамещение центров сертификации».
3. Про поддержку Certificate Transparency для национальных сертификатов.
4. Про поддержку сайтов с национальными сертификатами в «Яндекс Браузере».
Пояснение «Сбера» по этой ситуации: Мы первые в стране начали перевод своих сайтов на российские сертификаты удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к личному кабинету и другим сервисам «Сбера». Объясняем. Сайты должны иметь сертификат удостоверяющего центра, чтобы гарантировать пользователем бесперебойный и безопасный доступ. Раньше такие «документы» выдавали только иностранные компании, но недавно появилась возможность установить сертификат, созданный Минцифры РФ.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Вы установите «Яндекс браузер» или Russian Trusted Root CA для работы с сервисами «Сбера»?
Еще не решил, но уже задумался
Установлю на одно отдельное устройство для работы только со «Сбером»
Пока (или вообще) ничего не буду ставить
Проголосовали 1988 пользователей.
Воздержались 243 пользователя.
Введение.
Многие люди сталкиваются с вопросами безопасности в Интернете, при обслуживанием своих счетов, денежных накоплений и деловых контактов.
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации, заботясь о сетевой безопасности своих граждан приступило к выпуску цифровые сертификатов. Сертификатами могут пользоваться юридические и физические лица.
Работа цифрового сертификата минцифры сводится к одному основному действию — подтвердить доверенное юридическое или физическое лицо в том, что оно в праве осуществлять действия с помощью коммуникационного устройства и программы установленной на нём.
Сертификат и цифровой ключ(ключ)— синонимы.
Как работает сертификат минцифры.
Основная задача сертификата — защита. Сертификаты многолики, если требуется подтвердить целостность документа или почтового e-mail сообщения, ставим цифровую подпись. Когда проводим денежно-финансовые или бизнес операции, требующие усиленной безопасности при при соединении с сайтом в Интернете, применяем цифровой сертификат, позволяющий шифровать трафик от злоумышленника.
Узнать наличие сертификата и информацию о владельце или организации выдавшей его, можно по начальным символам https, в заголовке URL адреса запроса и иконкой замка рядом.
URL— Uniform Resource Locators — единые указатели ресурсов
Пример соединения с ресурсом Сбербанк Онлайн, при установленном в браузер Yandex сертификате Минцифры РФ.
Браузер Yandex соединение с сайтом «Сбербанк Онлайн».
Пояснение
Защита.
Режим защиты.
Вы находитесь в онлайн-банке на сайте платежной системы. Чтобы сохранить информацию о вашей учетной записи и платежных реквизитах в безопасности, браузер включил более строгий режим безопасности.
Подготовка.
В качестве обозревателя были выбраны самые популярные браузеры в среде Linux: Mozilla Firefox и Yandex.
Браузер Yandex является предпочтительным — рекомендован Минцифры РФ.
Получение сертификат минцифры.
Для получения сертификата необходимо иметь регистрацию на портале Госуслуги.
Порядок получения такой; после прохождения авторизации ищем информацию о сертификатах.
Поиск информации о сертификатах на госуслугах.
Выбираем нужный сертификат.
Переходим в папку сертификатов.
Выбираем нужное, в списке устройств отмечаем «для Linux».
Установка сертификатов минцифры.
Теперь, когда у нас имеются комплект ключей-сертификатов мы можем приступит к их установке. Для понимания процесса, поясним, почему сертификатов два?
Корневой сертификат минцифры требуется для проверки авторизованного центра сертификации гос. или коммерческой организации находящегося на территории РФ, которая выпускает сертификатные ключи. Сертификат представляет из себя часть кода (огрызок), остальная часть находится в центре выпускающего ключи.
Сам алгоритм шифрования представляем из себя сложную математическую хеш генерацию набора цифр, символов и знаков.
Механизм обмена данными, при установленном сертификате, можно представить в виде трубы, внутри которой текут данные. Для того, чтобы иметь возможность открыть кран и получить содержимое, требуется ключ. В приведённом примере в качестве трубы выступает шифрованное соединение, а в качестве крана цифровой ключ.
Проверяет и выдаёт сертификат специальный центр GlobalSign nv-sa.
GlobalSign — старейшая компания, предоставляющая услуги идентификации и безопасности в сетевом окружении.
Когда происходит соединение, «рукопожатие», браузера пользователя и сайта, например сбербанка РФ. Формируется запрос на GlobalSign для проверки валидности сайта, если всё нормально, возвращается ответ verified by: GlobalSign nv-sa (проверено с помощью: GlobalSign nv-sa).
Проверка сертификата сайта.
Загрузка Yandex браузера.
Сам браузер можно установить из репозитория Sisyphus — ветка Branch, с помощью графического менеджера Synaptic.
Sisyphus — репозиторий пакетов свободных программ ALT Linux
Мы же, по условию задачи, остановимся на установке браузера загруженного с сайта госуслуг.
Графический режим установки.
При графическом режиме установки, скачиваемый пакет находится в папке «Загрузка». Используя файловый менеджер, щёлкаем мышкой по названию пакета.
Графическая установка браузера Yandex.
В процессе установки возникает предупреждение, шаг1, это нормально — компания «Базальт СПО» заботится о безопасности своих пользователей.
Консольный режим установки.
Консольный режим установки браузера Yandex, требует соединения с терминалом станции локально или удалённо.
Переходим в папку «Загрузки», устанавливаем браузер.
Все описанные действия выполняются от имени пользователя root
Когда манипуляции с установкой браузера закончатся, в дереве диспетчера задач появится иконка Y.
Вид браузера Yandex в диспетчере задач.
Импорт сертификата в Yandex.
У нас всё готово, остаётся импортировать сертификат минцифры в хранилище браузера Yandex, с помощью следующих действий.
Браузер Yandex в режиме настройки.
Браузер Yandex, настройка сертификата.
Браузер Yandex, проверка сертификата.
Импорт сертификата в Firefox.
Последовательность импорта сертификата в браузер Firefox.
Браузер Mozila, режим настройки.
Браузер Mozila, хранилище сертификатов.
Браузер Mozila, импорт сертификата.
Браузер Mozila, проверка сертификата.
Заключение.
Требования безопасности в открытом информационном пространстве становятся приоритетом, отодвигая на второй план другие задачи. Многие интернет платформы предоставляют свои цифровые площадки для проведения операций в режиме онлайн соединения. Пользователь зная о рисках связанных с передачей сведений финансово — юридического характера прежде всего должен проверять «паспортные данные» сайта в виде наличия замка в URL и сопроводительной записки к нему.
Например, читая «паспорт» известного сайта www.ozon.ru, как описывалось выше, пользователь будет уверен, что свои деньги он перечисляет, при оплате товара, именно продавцу ozon.
Установка и использование сертификата Минцифры РФ формирует дополнительную защиту от злоумышленников, при посещении многих государственных сайтов, порталов и торговых площадок.
На «Госуслугах» опубликованы инструкции по установке отечественных сертификатов безопасности на устройства пользователей — для использования в «Яндекс.Браузере» и браузере «Атом» от VK, но эксперты предупреждают об опасности слежки за всей вашей онлайн-деятельностью, а также о повышенных рисках утечек.
Минцифры объявило о том, что на сайте госуслуг опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей.
«Такие сертификаты обеспечат доступность сайтов в любом браузере пользователям всех операционных систем», – уверяют в министерстве.
Сертификаты доступны также юридическим лицам – владельцам сайтов, также уточняется в сообщении, а использование российского TLS-сертификата обеспечивает доступность ресурса в «Яндекс.Браузере» и браузере «Атом». Необходимость получения таких сертификатов власти объясняют следующим образом:
«В марте зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. При попытке зайти на сайт пользователи видели предупреждение о небезопасности ресурса. Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам».
Однако опрошенные нами эксперты предупредили о серьёзных рисках для пользователей, которые решат установить данные сертификаты на браузерах своих устройств.
По словам блогера и IT-специалиста Ильи Вайцмана, госресурсы сейчас просто переведут на отечественные сертификаты «приказом/распоряжением Правительства — вот и всё».
«Проблема в том, что минцифровский удостоверяющий центр (УЦ) не признается ни одним современным браузером, – поясняет он, – так что для работы со всякими госуслугами-сберами-мосру придется либо ставить «Яндекс-браузер» или «Атом», которые минцифровский УЦ признают, либо импортировать в систему корневой сертификат. Ну а дальше — вопрос доверия к Минцифре и всем нижележащим уровням».
Но при этом пользователи, которые решатся на такую установку, подвергают себя существенным рискам:
«Теоретически, имея доступ к сертификатам, можно реализовать атаку MITM на трафик, которую будет непросто заметить со стороны пользователя. Нечто подобное (принудительную установку сертификата от госконторы) пытались внедрить несколько лет назад в Казахстане для чтения всего трафика. Тогда, насколько я помню, Google и Mozilla просто заблокировали казахский сертификат в своих браузерах».
«Дополнительный «бонус» — Рунет с этими сертификатами станет недоступен для иностранных пользователей, кроме особенно замороченных этим вопросом», – предупреждает Вайцман.
Когда мы спросили у исполнительного директора «Общество защиты интернета» (ОЗИ) Михаила Климарёва, с какой стати пользователей зазывают устанавливать себе госсертификаты, он сказал, что главный вопрос здесь — «почему?».
«Потому что все удостоверяющие центры отказались работать с российскими правительственными организациями, которые находятся под санкциями, включая Сбербанк, – объясняет он. – Всё завязано на крупной международной инфраструктуре, и этих УЦ, которые выдают сертификаты, их немного. По-моему, десяток, а может чуть поменьше. Все они отказались работать с нашими госструктурами. А отправлять незашифрованной банковскую или другую важную информацию очень опасно, потому что её могут перехватывать, и было принято такое вот решение — создавать свои какие-то подписанные сертификаты».
Поскольку УЦ отказались работать с РФ, а власти так и не создали своего удостоверяющего центра, хотя несколько лет пытались это сделать, Минцифры придумало свой механизм. Но все известные браузеры не знают этого удостоверяющего центра, поясняет Климарёв, властям приходится насильным образом этот сертификат устанавливать. Эксперт напомнил, что единственные браузеры, которые разработаны в России, это «Яндекс.Браузер» и «Атом», и они «уже умеют это делать».
Михаил Климарёв заявил, что ОЗИ настоятельно не рекомендует устанавливать госсертификат на какие-то другие браузеры:
«Поскольку вырисовывается ситуация, которую в своё время пытались сделать в Казахстане. То есть если у вас есть такой сертификат, который как бы корневой, вы потенциально можете проводить MITM-атаку. Так что мы рекомендуем не устанавливать данный сертификат в ваши рабочие браузеры».
«Если уж так хочется, а многим — просто необходимо, использовать Сбербанк и «Госуслуги», то лучше пользоваться чистым «Яндекс.Браузером». Но, естественно, его нельзя будет использовать для каких-то других нужд. То есть его в принципе нельзя использовать. Он небезопасный», – отметил исполнительный директор ОЗИ.
«Кстати, если там вкрутят ещё и «криптографию по ГОСТу», то с браузерами будет то еще развлечение, – добавляет Илья Вайцман. – Но пока вроде бы нет. На всяких тендерных площадках уже такую используют, приходится ставить или «Яндекс», или мутанта Chromium-ГОСТ (что чуть-чуть безопаснее, по-моему)».
На вопрос, какие риски теперь могут нести приложения государственных органов и «Сбера», не грозит ли это новыми утечками, Вайцман ответил:
«А чему из них утекать-то? Они только со своим банком работают, а из банков и так течет потоком. Впрочем, если сумеют перехватывать сессии, то может быть неприятно — вся надежда только на подтверждение транзакций через код в SMS. Но оно тоже не всегда используется.
Вообще же вот пишут, что приложение «Сбера» (как минимум) использует классический SSL/TLS. Если так, то неочевидно, что приложение будет работать без «вкрячивания» в телефон минцифровского корневого сертификата. Это может сделать телефон вообще небезопасным. По идее, тогда отдельный телефон для мобильного банкинга заводить надо, с которого ничего хотя бы теоретически чувствительного не делать, даже в мессенджерах не переписываться».
«Ну, то есть может быть у него там внутри прописано всё, и только обновить надо будет, но это неточно. 29 сентября понятно будет», – предполагает он.
Как вариант он предположил, что можно использовать VPN с настраиваемой фильтрацией. «Типа Psiphon (после обновления до v.359 работает). Пускать банковские приложения напрямую, а все остальное заворачивать в VPN. И пускай ловят конский топот», – подытоживавет Илья Вайцман.
Установка корневого сертификата в браузер.
Установка корневого сертификата в браузер стала необходимой в связи с переходом на российские сертификаты в доменной зоне ru. Для безопасности персональных данных, многие сайты государственных учреждений и банков стали переходить на использование сертификатов безопасности от Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.
Если Вы не знаете как установить корневой сертификат или нет возможности по какой то другой причине, рекомендуется использовать яндекс браузер или браузер атом.
Яндекс браузер знаком многим, а вот о браузере атом я услышал впервые.
Что если не устанавливать корневой сертификат от Минцифры РФ ?
Если не устанавливать корневой сертификат от Минцифры РФ, то в последствии при переходе на многие сайты РФ, вы будете предупреждены о не безопасном посещении этих сайтов.
Ваше соединение с ними будет не защищено, а значит не безопасно, в плане сохранности ваших данных.
Далее вы не сможете зайти на сайты Государственных учреждений РФ — госуслуги, налоговая и т.п. Не сможете зайти в личный кабинет онлайн банков.
Будем надеяться, что в будущем, разработчики браузеров по умолчанию будут включать сертификат от Минцифры РФ в браузеры.
Если вы используете браузер не от яндекса и не атом, то сертификат вам придется установить вручную.
Скачиваем корневой сертификат от Минцифры РФ
В этом списке нет операционной системы Linux.
Так как у меня операционная система Linux, я буду устанавливать корневой сертификат в браузер которым пользуюсь.
Для установки сертификата в браузер скачиваем необходимый сертификат на Госуслугах по этой ссылке. На сайте выбираем для скачивания интересующий нас корневой сертификат, самая нижняя ссылка.
Сертификат скачается в виде архива, его нужно распаковать, разархивировать.
После распаковки в папке RootCA_SSL_RSA находится необходимый нам коренной сертификат
в виде файла root_ssl_rsa2022
Устанавливаем коренной сертификат в браузер Mozilla Firefox
В браузере в правом верхнем углу открываем меню — настройки
В окне настроек открываем вкладку Приватность и защита, прокручиваем в самый низ и выбираем — просмотр сертификатов
В окне управления сертификатов, выбираем импорт. В открывшемся окне выбираем ранее скаченный коренной сертификат и нажимаем открыть.
После выбора сертификата и нажатии открыть, в окне загрузки сертификата, поставьте две галочки и нажмите ОК
В результате произойдет импорт коренного сертификата.
Для проверки, установленного корневого сертификата, можно пройти на сервис сбербанка и нажать кнопку проверить.
Если сертификат установлен правильно, то после нажатия на «Проверить» — вы увидите одобрение
Установка сертификатов в браузер Chromium, Google-Chrome и Vivaldi
Так как все три браузера: Chromium, Google-Chrome и Vivaldi основаны на браузере Chromium — установка сертификата в них будет одинакова.
Далее будет показано на примере браузера Chromium, что одинаково и для Google-chrome и для Vivaldi.
Необходимо зайти в настройки браузеров — центр сертификации.
Для этого в браузерах Chrmium и Google-chrome в строке адреса введите путь
Выбрать пункт конфиденциальность и безопасность, далее вкладка центры сертификации.
Для браузера Vivaldi старой версии
Для свежей версии Vivaldi начиная с версии 5.7 и в windows-11 в адресной строке вводите путь
Если у вас Vivaldi и операционная система windows 7 то ваш адрес такой
нажать кнопку прокси, выбрать вкладку содержание и там сертификаты — откроется окно импорта сертификатов.
Выбираем импорт и указываем на скаченный файл — сертификат.
При выборе файла сертификата не забываем выбрать в проводнике «показывать все файлы», чтоб увидеть и выбрать нужный нам файл
После выбора сертификата, нажимаем открыть. В появившемся окне импорта, ставим все галочки и нажимаем ОК
Дополнение от 10 декабря 2022г
Для установки в браузер достаточно двух сертификатов, которые предоставляются по ссылкам корневой и выпускающий сертификаты, предоставленные сайтом сбербанка. Так же они предоставляют свои инструкции для всех версий операционных систем по этой ссылке.
На этом все, если есть, что сказать или поделится опытом — пишите в комментариях.
Обычно настройка Яндекс.Браузера для работы с электронной подписью занимает у наших специалистов 10-15 минут. Вы можете обратиться в нашу платную техническую поддержку за помощью . Стоимость настройки электронной подписи в Яндекс.Браузер обычно стоит 600 рублей!
Если помогла статья — скажите Спасибо автору:
Защита от недоверенных сертификатов
В рамках комплексной защиты Protect Яндекс.Браузер проверяет сертификаты сайтов. Если из-за проблем с сертификатом сайт не может обеспечить безопасное шифрование ваших данных, браузер предупреждает об этом.