Что такое SSL-прокси
SSL-прокси – это сервер, который пропускает через себя весь интернет-трафик пользователя (пользователей), одновременно с этим подменяя TLS-сертификат.
Подобный механизм пытались внедрить в 2016 году в Республике Казахстан.
В сентябре 2022 года Сбер перевёл свой основной сайт на российские TLS-сертификаты — чтобы сохранить безопасный доступ к привычным услугам для более чем 100 млн клиентов. Также им рекомендуется установить отечественные TLS-сертификаты на десктопные и мобильные устройства. Переход на отечественные сертификаты станет приоритетом для многих компаний в условиях зарубежных санкций, убеждены эксперты рынка.
Переход на отечественные сертификаты
Весной 2022 года ряд зарубежных удостоверяющих центров приостановили выпуск новых SSL-сертификатов для РФ. Отечественные SSL-сертификаты имеют некоторые ограничения. Но, возможно, их установка скоро станет рекомендованной для российских государственных организаций и компаний. В этой статье мы расскажем о текущей ситуации на рынке и дадим рекомендации, какие сертификаты установить на сайт в 2024 году, чтобы обеспечить безопасность его посетителей.
Число доменов с сертификатом безопасности Минцифры
Всё больше российских онлайн–сервисов, сайтов и банков переходят на сертификаты безопасности Минцифры. Это должно гарантировать защиту от мошеннических сайтов, но механизм применим только для интернет–браузеров, разработанных в России.
С марта 2022 года пользователи скачали корневой сертификат Минцифры 16 млн раз. Количество доменов, на которые выпущены сертификаты безопасности, достигло почти 16 тыс., сообщили ДП в министерстве. Всё это должно помочь сохранить доступность сайтов для рядовых пользователей Всемирной сети.
Сроки действия TLS-сертификатов
В конце 2022 года и начале 2023 года истекают сроки действия TLS-сертификатов российских сайтов, выданных зарубежными сертифицирующими центрами. Например, уже 28 сентября истёк сертификат главной страницы Сбербанка, а в январе истечёт срок действия сертификата Госуслуг.
После истечения срока действия сертификата сайты перестанут открываться в браузерах иностранной разработки, включая Google Chrome, Microsoft Edge, Mozilla Firefox и Opera.
Рекомендации для пользователей
В качестве способа решения этой проблемы Минцифры РФ предлагает пользователям установить TLS-сертификат с сайта Госуслуг либо воспользоваться браузером российской разработки: Яндекс.Браузер или Атом.
Мы рекомендуем выбрать второй вариант. Устанавливать любые TLS-сертификаты небезопасно.
Рекомендации для доступа к сайтам с российскими сертификатами аналогичны как для проживающих в России, так и для зарубежных пользователей. Важно знать, что, устанавливая на свое устройство сертификат безопасности Минцифры, клиент не лишается уже установленных глобальных сертификатов и сможет без проблем заходить на зарубежные интернет-ресурсы.
Чтобы избежать проблем с доступом к сайтам, использующим российские сертификаты, проще использовать российские браузеры, например Атом или Яндекс.Браузер. В других браузерах придется установить корневой сертификат, инструкции для пользователей сейчас широко доступны в интернете, — добавляет Игорь Ходюков.
Не могу зайти на сайт Сбера: браузер предупреждает, что он небезопасен. Пишут, что если установить российские сертификаты безопасности, то все будет нормально. это?
А еще про эти сертификаты писали в рассылке от госуслуг. Они действительно нужны? Для чего?
Вот такое письмо от госуслуг я получил в апреле 2023 года
Последние месяцы многие российские пользователи сталкиваются с проблемами либо при оплате заказов в интернет-магазинах или на кассе по либо при посещении государственных сайтов. Соединение отображается как незащищенное, а сами ресурсы просят установить сертификаты безопасности от Минцифры.
Дело в том, что санкций зарубежные компании отзывают или аннулируют свои сертификаты безопасности, которые узнают все браузеры. Расскажу, что делать в такой ситуации и нужно устанавливать сертификаты от Минцифры.
Что это за сертификаты безопасности и зачем они нужны
Сертификат безопасности позволяет передавать данные в зашифрованном виде и удостоверяет подлинность сайта. Его наличие на сайте проверяет браузер пользователя. Если сертификат есть и с ним все в порядке, сайт помечается как безопасный. Понять это легко: в левом углу адресной строки появится специальный значок — закрытый замочек.
Сертификаты есть не только на сайтах, но и на устройствах. Это нужно, чтобы все корректно работало. Если документ выпущен доверенным центром, ваш телефон или компьютер с ним уже знаком — пользователю не нужно предпринимать действия по его установке.
Сертификаты безопасности часто называют SSL-, TLS- или Обе технологии — SSL и TSL — используют для защиты информации. Отличаются они только тем, что TSL основана на уже действующей спецификации SSL 3.0. А сама SSL устарела и редко используется как единственная защита.
Обычно оба сертификата работают в связке. Такая поддержка обеспечивает защиту как новых, так и старых устройств.
SSL-сертификаты выпускают доверенные центры сертификации. Это специальные организации, которые отвечают за качество сервиса и гарантируют надежность. Их не очень много, но они бывают и частными, и государственными. Чем дольше работает центр, тем больше браузеров и устройств доверяют его сертификатам.
Почему сайты просят устанавливать российские сертификаты
Ситуация с заблокированными сертификатами глобальных центров сертификации привела к тому, что российские сайты начали использовать сертификаты от Минцифры. Чтобы пользователи могли продолжать пользоваться услугами этих сайтов, им приходится устанавливать дополнительные сертификаты. Сертификаты от Минцифры позволяют безопасно обмениваться данными на этих ресурсах и убедиться в подлинности сайта.
## Иностранные центры отказывают в продлении сертификатов
В марте 2023 года иностранные центры стали отказывать в продлении сертификатов российским компаниям, которые находятся под санкциями.
## Проблемы с интернет-эквайрингом от Сбера
В декабре 2022 года с проблемами столкнулись россияне, совершающие покупки в магазинах с интернет-эквайрингом от Сбера. При оплате заказа стало появляться предупреждение о том, что для стабильной работы скоро потребуется сертификат Минцифры.
Коммерсант обнаружил такое уведомление на сайтах Детского мира, Леруа Мерлена и Делимобиля. Решение проблемы предлагалось — обзавестись сертификатом на устройстве.
Представитель Сбера объяснил РБК, что его партнеры вправе самостоятельно выбирать, как будет работать платежное решение с их стороны — на сертификатах Минцифры или международных. Пользователям при этом не обязательно предпринимать дополнительные действия.
В Сбере отметили, что объявления в магазинах — это не рекомендации банка, они созданы исключительно по инициативе партнера.
## Появление отечественных сертификатов на государственных ресурсах
Вслед за Сбером отечественные сертификаты появились на многих государственных ресурсах. Например, на сайте Росреестра. При попытке зайти на него с зарубежного браузера появляется уведомление о том, что издатель сертификата неизвестен и сайт самоподписан.
Однако пока не все государственные сайты перешли на зарубежные сертификаты. Например, сайт Федеральной налоговой службы работает с любого браузера. Дело в том, что организация получила сертификат от некоммерческого центра Let’s Encrypt, который действует с 15 апреля по 14 июля 2023 года.
## Проблема безопасности с российскими сертификатами
### Предупреждения и информация о сертификатах
Предупреждение Safari о сайте Росреестра:
Информация о сертификате на сайте ФНС:
### Информация о сертификатах Минцифры
Минцифры начало выдачу российских сертификатов безопасности 10 марта 2022 года. Владельцы сайтов могут получить их через госуслуги за пять рабочих дней. Когда срок действия сертификата заканчивается, можно получить новый способом, организованным Минцифры.
SSL/TLS-сертификаты выпускаются Национальным удостоверяющим центром, который был создан на базе ФГАУ НИИ Восход. Он занимается разработкой системы по поручению Минцифры и подчинен этому ведомству.
Правила функционирования российского удостоверяющего центра неизвестны, а также неизвестно, как проводятся проверки организаций и где хранятся ключи. Публичных данных об этих вопросах не поступало.
Наличие российского сертификата на сайте не гарантирует, что он будет нормально работать. Зарубежные браузеры могут пометить ресурс как ненадежный и незащищенный. Для отображения замка безопасности на сайте на устройстве также должны быть установлены российские сертификаты.
Эксперты в разговоре с РБК спрогнозировали, что смена сертификатов не скажется на безопасности сайтов. По мнению директора департамента информационной безопасности Sitronics Group Александра Дворянского, с точки зрения механизма работы российские и зарубежные документы должны быть идентичны. Мнения придерживается и директор по консалтингу ГК InfoWatch Ирина Зиновкина.
С ними согласен и соучредитель АНО Информационная культура Иван Бегтин. Он также обращает внимание на то, что число корневых сертификатов в Windows, macOS, iOS и Android ограниченно. И за все время в них не появилось российского удостоверяющего центра. По мнению специалиста, это настораживает.
Российские сертификаты также сделают недоступным рунет для иностранных пользователей, кроме тех, кто готов заморачиваться, добавляет Вайцман.
Что будет, если заходить на сайты без сертификатов
Браузеры разрешают заходить на сайты без сертификатов или с документами, которые они считают ненадежными. Сначала вас предупредят об угрозе безопасности — появится сообщение, что при посещении ресурса мошенники могут попытаться похитить пароли и данные банковских карт.
Вам порекомендуют покинуть ненадежный сайт, а соответствующую кнопку подсветят более ярким цветом. Но у вас будет возможность пропустить предупреждение браузера и все равно зайти на ресурс.
Защита информации на сайтах
| Браузер | Сообщения без сертификатов |
|---|---|
| Firefox | Плашка о том, что сайт ненадежный |
| Chrome | Предупреждение о небезопасности при вводе данных |
| Safari | Подсветка URL в красный цвет при ненадежном сертификате |
Как установить сертификаты от Минцифры
Чтобы все корректно работало, потребуется установить два сертификата: корневой и выпускающий. На госуслугах есть инструкции для всех операционных систем.
Вот как настроить работу на примере Windows:
- Скачайте корневой сертификат
- Скачайте сертификат удостоверяющего центра
- Откройте Панель управления → Добавить или удалить программы → Сертификаты
- Установите оба сертификата
Альтернативный способ — установка корневого сертификата.
Если вы привыкли использовать другие браузеры или столкнулись с проблемами в работе со сторонними программами, вы можете установить российский корневой сертификат в вашу операционную систему и продолжить использовать привычный браузер
Сертификаты для Android
Установите корневой сертификат
Очистите кэш браузера на устройстве, с которого осуществляется доступ. Это необходимо для корректной работы с ресурсами, защищёнными сертификатами безопасности Минцифры
Сертификаты для iOS
Это инструкция по установке сертификатов на устройства с системой iOS
Установите конфигурационный файл, содержащий корневой и выпускающий сертификаты
Сертификаты для Windows
Это инструкция по установке сертификатов для для устройств с операционной системой Windows. Важно: для корректной работы нужно два сертификата — корневой и выпускающий
Установите выпускающий сертификат
Очистите кеш вашего браузера
Очистите кеш браузера на устройстве, с которого осуществляется доступ. Это необходимо для корректной работы с ресурсами, защищёнными сертификатами безопасности Минцифры
Сертификаты для MacOS
Это инструкция по установке сертификатов для владельцев ноутбуков и компьютеров Apple
Установите конфигурационный файл, содержащий корневой и выпускающий сертификаты
Повторите действия для второго сертификата
Очистите кеш вашего браузера Очистите кеш браузера на устройстве, с которого осуществляется доступ. Это необходимо для корректной работы с ресурсами, защищёнными сертификатами безопасности Минцифры
Сертификаты для Linux
Это инструкция по установке сертификатов для владельцев устройств с операционной системой Linux. Важно: для корректной работы нужно два сертификата — корневой и выпускающий. Процедура установки сертификатов зависит от браузера
Red Hat Enterprise Linux
Очистите кеш вашего браузера Очистите кеш браузера на устройстве, с которого осуществляется доступ. Это необходимо для корректной работы с ресурсами, защищёнными сертификатами безопасности Минцифры
Зачем нужны сертификаты?
Иностранные компании начали отзывать сертификаты безопасности у российских сайтов, без которых ваши личные данные недостаточно защищены. Доступ к некоторым сайтам может быть ограничен, а установка российских сертификатов гарантирует безопасный доступ ко всем сайтам с любых устройств.
Сертификаты нужны только для сайтов «Цифра банк»?
Нет, сертификаты Национального удостоверяющего центра Минцифры России будут внедрены на большинство российских сайтов. Для обеспечения безопасного доступа к сайтам, может установить сертификаты либо использовать Яндекс Браузер.
Нужно ли устанавливать сертификаты, чтобы работало мобильное приложение?
Нет, не нужно. Актуальная версия мобильного приложения имеет встроенные сертификаты, поэтому пользоваться им абсолютно безопасно.
После установки сертификатов безопасности на устройство сайты всё равно открываются с ошибкой. Что делать?
Если у вас Android Такие браузеры, как Opera, FireFox, MIUI и ряд других, могут некорректно работать с сайтами, даже если сертификаты безопасности НУЦ Минцифры России установлены. Чтобы избежать проблем, рекомендуем использовать Яндекс Браузер или после установки сертификатов перейти на другой браузер.
Если я поставил сертификаты на телефон, достаточно ли этого?
Для непрерывного и безопасного доступа необходимо установить сертификаты на все устройства, на которых вы планируете посещать российские сайты или пользоваться сервисами «Цифра банк».
Вы сами решаете, когда начать инвестировать
Для открытия брокерского счета онлайн вам понадобится только паспорт. Если у вас остались вопросы, наши менеджеры с радостью на них ответят
Закажите бесплатную персональную консультацию по нашим продуктам и услугам
Как следить за состоянием счета?
Оперативно отслеживайте состояние брокерского счета, вносите и выводите средства с помощью нашего приложения
Какие сертификаты установить на сайт в такой ситуации
Можно установить на сайт одновременно два сертификата.
Однако здесь есть нюанс: без дополнительной настройки выбора сертификата в зависимости от браузера клиента возможна ситуация, при которой будет включатся рандомно то один, то другой сертификат, часто выдавая клиентам оповещения о небезопасности ресурса. Сертификаты должны уметь определять параметры клиентского подключения и включаться только в тех вариантах, когда подходят.
Не устанавливайте российский TLS-сертификат!
Подводя итоги, отметим: не устанавливайте российский TLS-сертификат. Установив его, вы откроете свой трафик для любых злоумышленников, будь то частные хакеры или государственные «антитеррористические» службы.
Вместо этого воспользуйтесь одним из двух российских браузеров, поддерживающих TLS-сертификаты Russian Trusted Root CA. Это «Яндекс.Браузер» и «Атом». При этом используйте их только для доступа к сайтам, которые недоступны в привычных браузерах.
Если вам всё-таки нужно установить этот TLS-сертификат, вы сможете защитить себя, используя VPN – VPN создаёт туннель, в котором дополнительно шифруется весь трафик. Так что никакие хакеры или государственные службы не смогут прочитать вашу интернет-активность.
Зачем нужны TLS-сертификаты
Практически все современные сайты используют для работы протокол HTTPS. Он подразумевает передачу шифрованного трафика, который даже в случае перехвата невозможно «прочитать». Использование протокола HTTPS увеличивает вашу конфиденциальность и приватность.
Протокол HTTPS подразумевает, что сайт будет отправлять информацию в зашифрованном виде, а браузер будет её расшифровывать – и наоборот, браузер будет передавать информацию в зашифрованном виде, а сайт будет её расшифровывать. Чтобы этот механизм начал работать, сайт и браузер должны создать совместный одноразовый ключ шифрования («пароль» для расшифровки трафика) и обменяться им.
Но браузер по умолчанию не доверяет серверу. В конце концов, мошенники могут создать сайт, который станет имитировать интернет-магазин или онлайн-банк, и таким образом начать похищать деньги у пользователей. Чтобы браузер начал доверять серверу, тот должен предоставить сертификат, выданный авторизованным центром сертификации.
У каждого браузера есть список авторизованных центров сертификации, которым он доверяет. Это могут быть DigiCert, Let’s Encrypt, GlobalSign и другие. Если браузер определяет, что TLS-сертификат выдан удостоверяющим центром из списка авторизованных, он его принимает и устанавливает защищённое соединение.
Подлинники сайтов
Сертификат безопасности сайта — это цифровой документ, который подтверждает, что соединение между пользователем и веб–сайтом защищено шифрованием, объясняет руководитель департамента информационной безопасности "Имба ИТ" Сергей Беспалов. Шифрование обеспечивает безопасность передачи данных между пользователем и сервером. В том числе и таких деликатных, как личная информация или банковские данные. Сертификат также подтверждает подлинность веб–сайта, гарантируя пользователям, что они связываются именно с тем ресурсом, который они ожидают.
"Если по–простому, то сертификат позволяет удостовериться в том, что пользователь зашёл на подлинный сайт, а не поддельный, созданный с целью перехватить его данные", — поясняет в свою очередь руководитель отдела разработки компании — разработчика российского веб–сервера Angie Валентин Бартенев.
Чтобы удостовериться, что предъявленному сайтом сертификату можно доверять, он подписывается ещё одним сертификатом — удостоверяющего центра. Сертификат удостоверяющего центра в свою очередь может быть подписан сертификатом другого удостоверяющего центра и т. д. Последний сертификат в такой цепочке называется "корневым". Он выпускается одним из крупных известных удостоверяющих центров, рассказал Егор Леднев, директор по сервисам компании RooX.
"Таких корневых сертификатов относительно немного, производители операционных систем и браузеров доверяют им и включают в свои дистрибутивы. Благодаря этому браузеры могут проверять подлинность сайта и предупреждать пользователя, если с сертификатом что–то не так", — говорит он.
По данным Reg.ru и GlobalSign, в 2020 году Россия занимала девятое место в мире по количеству пользователей SSL–сертификатов. При этом львиная доля практически из полутора миллионов сертификатов приходилась на зарубежные удостоверяющие центры. В нынешних условиях они вполне могут отозвать свои сертификаты для российских компаний в связи с санкциями. Чтобы компенсировать возможные риски, компании начали переходить к российским провайдерам.
IT–предприниматель, венчурный инвестор, основатель ГК Itglobal.com Дмитрий Гачко говорит, что SSL–сертификат предотвращает перехват и манипулирование данными. Браузер пользователя проверяет наличие этого сертификата на веб–сайте. Если сертификат присутствует и действителен, веб–сайт считается безопасным. Пользователь может определить это по значку в виде закрытого замка в левой части адресной строки браузера.
Россия – страна с высоким уровнем государственного контроля
Также стоит учесть, что Российская Федерация – это страна с высоким уровнем государственного контроля.
С 2018 года в России действует так называемый «пакет Яровой», в рамках которого интернет-провайдеры обязаны хранить копии интернет-трафика пользователей в течение 6 месяцев. В целях соблюдения этого закона у провайдеров хранится переписка пользователей в мессенджерах, социальных сетях, по электронной почте, а также аудиозаписи звонков.
Поскольку крупнейшие сайты использовали зарубежные TLS-сертификаты, эта информация хранилась в зашифрованном виде. Формально российские правоохранительные органы могли получить к ней доступ, однако «прочитать» её не удавалось.
Если вы будете пользоваться российским TLS-сертификатом, часть вашего трафика всё-таки смогут прочитать. Но не весь.
Какие сертификационные центры остались в России
Единственный удостоверяющий центр, который продолжает выпускать платные SSL-сертификаты для российского рынка, — GlobalSign. Владельцы доменов, зарегистрированных в RU-CENTER, могут получить этот сертификат, зарекомендовавший себя как надежный. Подробнее о видах сертификатов GlobalSign и условиях оформления можно узнать здесь.
Кроме этого, российским пользователям по-прежнему доступна возможность получить бесплатный сертификат Let’s Encrypt — международного центра сертификации, работающего на некоммерческой основе. Такие сертификаты действуют только 90 дней. Их главный минус — компания Let’s Encrypt не несет обязательств перед пользователями. Если сертификат взломают, владелец сайта не получит никаких компенсаций.
У бесплатных сертификатов есть и другие особенности, о которых мы подробно рассказывали в статье «Когда бесплатное дороже платного. Почему лучше заплатить за SSL-сертификат».
Пока в России есть только два аналога зарубежным сертификатам: сертификаты Минцифры и «Технического центра Интернет» (ТЦИ). Несмотря на динамичное развитие, у этих сертификатов пока сохраняются некоторые ограничения.
Скоро для покупок в интернете или посещения государственных сайтов потребуется сертификат Минцифры. На сайте «Госуслуг» говорится, что он заменит иностранный SSL-сертификат в случае его отзыва или окончания срока действия.
Установка сертификатов Минцифры пока обязательна только для государственных структур. Но некоторые крупные компании, такие как «Сбер», тоже решили заблаговременно перейти на этот вид сертификатов. Это нужно им, чтобы не зависеть от зарубежных удостоверяющих центров и обеспечивать безопасность данных клиентов с помощью российских технологий. Организации могут получить сертификат Минцифры через «Госуслуги».
Сертификаты Минцифры по умолчанию установлены только в российские браузеры — «Яндекс Браузер» и Atom. Договориться об их установке в международные браузеры, такие как Google Chrome, Safari, Firefox или Opera, в ближайшее время вряд ли получится из-за санкций. Не будет российских сертификатов и на устройствах с популярными операционными системами: Windows, Android, iOS и macOS.
Таким образом, если на сайте будет установлен сертификат Минцифры, и пользователь зайдет на сайт через браузер, в котором разработчиком уже установлен корневой сертификат российского удостоверяющего центра, никакие дополнительные действия не потребуются.
Но возможен и другой вариант: пользователь будет применять зарубежное ПО, например устройство на базе Android и Google Chrome. Тогда он увидит предупреждение о том, что данные передаются по незащищенному протоколу HTTP и переходить на сайт небезопасно. Убрать такое предупреждение пользователь может, если добавит сертификат от Минцифры на свое устройство.
Сертификаты ТЦИ
Импортозамещение в области информационной безопасности в 2024 году, скорее всего, будет стремительно развиваться. На платформе ТЦИ государство планирует создать удостоверяющий центр, который будет выпускать SSL-сертификаты.
Как и в других удостоверяющих центрах, в ТЦИ можно будет оформить сертификаты на 90 и 365 дней; для одного домена или для домена и всех его поддоменов (wildcard-сертификаты); на базе распространенного криптоалгоритма ECDSA. Но кроме этого, будут выпускаться и сертификаты на базе российского криптоалгоритма семейства ГОСТ 34.10.
Со временем установка сертификатов от ТЦИ, скорее всего, будет рекомендованной или обязательной для государственных веб-ресурсов, а возможно, и для бизнеса.
Сейчас ТЦИ работает над тем, чтобы выпущенные им сертификаты были установлены в «Яндекс Браузер» и Atom.
Безопасное соединение
До недавнего времени владельцы российских веб-ресурсов — сайтов в домене .ru — без проблем получали и продлевали сертификаты в зарубежных удостоверяющих центрах. Однако в начале марта в связи с усилением наложенных на Россию санкций некоторые иностранные центры сертификации начали массово отзывать сертификаты безопасности у сайтов крупных российских компаний, в том числе финансового сектора, и отказывать в выдаче новых. Так, например, американский провайдер DigiCert отозвал сертификат у Центробанка, а южноамериканский Thawte — у ВТБ. Таким образом, из-за санкционного давления принимать подобные меры стали не только игроки рынка США. Вскоре появилась информация, что с Рунетом отказались работать, помимо упомянутых выше, такие удостоверяющие центры, как GeoTrust, Sectigo (Comodo) и Rapid. Между тем TLS-сертификаты используются для бесперебойной работы сайтов во всем мире, поэтому их наличие критически важно.
TLS-сертификат (Transport Layer Security) — это цифровая подпись, то есть набор правил, обеспечивающих работу криптографического протокола HTTPS (HyperText Transfer Protocol Secure). Он необходим интернет-пользователям для безопасного доступа к веб-ресурсам. Данные, которыми обмениваются клиентское устройство и сервер, где расположен соответствующий веб-сайт, подвергаются шифрованию. Благодаря этому эти данные не могут быть перехвачены извне: например, со стороны интернет-провайдера или администратора локальной сети Wi-Fi.
Таким образом, сайты, использующие HTTPS-протокол, считаются доверенными, а информация, которую пользователь передает этому ресурсу, скрыта от чужих глаз механизмом шифрования. Такие сайты — в сравнении с теми, что используют протокол незащищенного обмена данными HTTP, — легко узнать по букве «S» в URL-адресе сайта и изображению замка в адресной строке браузера.
«Большинство пользователей зачастую даже не замечают, что пользуются TLS-сертификатами, — комментирует Игорь Ходюков, директор департамента информационной безопасности и специальных проектов компании МТС. — Сертификаты распространяются максимально незаметно, они предустанавливаются вместе с операционной системой, браузерами и другим ПО».
Когда веб-ресурс лишается сертификата безопасности, он теряет возможность обмениваться с клиентами данными в защищенном режиме.
Интернет-браузеры блокируют пользователям доступ к ним, предупреждая о том, что сертификат недействителен, а соединение недостоверное. Для посещения такого сайта пользователю чаще всего предлагается совершить дополнительные специальные действия: «все равно перейти» — предполагается, что таким образом он принимает все риски на себя.
Минцифры России отреагировало на эту проблему оперативно: был создан Национальный удостоверяющий центр (НУЦ) Минцифры, приняты нормативно-правовые акты, регулирующие его работу. Выдача российских сертификатов безопасности отечественным компаниям — владельцам веб-ресурсов и пользователям — частным лицам запущена на портале «Госуслуги». В ведомстве прогнозируют, что совсем скоро российские TLS-сертификаты будут внедрены на большинстве ресурсов домена .ru. Одним из первых в стране перевод своих онлайн-сервисов на отечественные TLS-сертификаты начал «Сбер».
Элегантный вариант
По мере истечения сроков действия сертификатов, которые обычно длятся 1–2 года, нужно будет их обновлять. Но сейчас, когда западные удостоверяющие центры перестают работать с клиентами из России, это сделать невозможно.
Дмитрий Гачко отмечает, что Минцифры быстро отработало, когда год назад выпустило свой корневой сертификат. "Проблема в том, что быстрое решение не всегда оптимально, так как маловероятно, что Минцифры удастся найти общий язык со многими разработчиками ОС, смартфонов и браузеров и убедить их включить такой сертификат в перечень доверенных. В результате любой сайт с подобным сертификатом будет восприниматься всеми остальными как неполноценный и подозрительный, что весьма нежелательно", — при этом подчёркивает он.
Сергей Беспалов говорит, что сертификаты в первую очередь отозвали у компаний, которые находятся под санкциями. В результате личная информация может быть недостаточно защищена, что приводит к появлению предупреждений о небезопасности при попытке посещения этих ресурсов. Установка российских сертификатов обеспечивает безопасный доступ ко всем сайтам с любых устройств и защиту данных.
Он обратил внимание, что для полноценного функционирования цепочки доверия между пользователем и сервером необходимо, чтобы браузер пользователя доверял сертификатам, выданным Минцифры. "Этого, к сожалению, по умолчанию не происходит, так как разработчики популярных браузеров не включили корневой сертификат Минцифры в список доверенных. В результате пользователи вынуждены либо вручную устанавливать данный сертификат на свои устройства, либо использовать браузеры, разработанные в России", — признаёт эксперт.
Валентин Бертенев в свою очередь замечает, что само по себе наличие того или иного сертификата не является гарантией безопасности и подлинности. "Безопасность обеспечивается цепочкой доверия: один сертификат удостоверяет подлинность другого сертификата и так по цепочке, пока не дойдёт до корневых сертификатов, которым вы доверяете безусловно. В данном случае речь идёт о сертификате Минцифры. То есть если вы доверяете Минцифры, то, значит, вы доверяете и сайту, сертификат которого, был удостоверен сертификатом от Минцифры".
Установка сертификата пользователем в данном случае означает добавление его в тот самый список корневых сертификатов, которым пользователь безусловно доверяет. Если сам сайт будет предлагать пользователю установить такой сертификат, то это компрометирует всю идею сертификатов. Ведь и сайт злоумышленников точно так же может попросить пользователя добавить свой сертификат в список доверенных. И таким образом выдать себя за онлайн–банк или какой–то другой критичный сервис, украсть данные пользователя. Поэтому установка сертификатов должна происходить только из заведомо безопасных, подлинных источников.
Отечественные сертификаты как необходимое условие безопасности
По мнению министра цифрового развития, связи и массовых коммуникаций Максута Шадаева, перевод веб-ресурсов «Сбера» на сертификаты НУЦ — хороший пример для всего рынка, стимулирующий российские организации к снижению зависимости от зарубежных компаний. Выпуск российских сертификатов безопасности включен правительством России в план первоочередных действий по обеспечению развития российской экономики в условиях внешнего санкционного давления.
Одним словом, отечественные сертификаты критически необходимы для корректной работы банковских приложений и сайтов, дистанционного оказания услуг. Вслед за «первопроходцами», очевидно, на сертификаты Минцифры станут переключаться и другие организации.
«В вопросе перехода владельцы сайтов, конечно же, ориентируются на исполнение требований по защите информации и в том числе персональных данных. Переход рекомендован для российских организаций критической информационной инфраструктуры, например банковского и телекоммуникационного секторов, — комментирует Игорь Ходюков. — Компаниям необходимо учитывать также функциональность сайта, количество и локацию его аудитории, способы информационного обмена с ней. Учитывая текущие риски по отзыву зарубежных сертификатов, приоритетом для многих становится использование российских».
Выбирай своё
"В прошлом году зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. Минцифры предоставляет бесплатный отечественный аналог таких сертификатов. Переход на российские TLS–сертификаты обеспечивает независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам", — утверждают в Минцифры.
В августе сервис "Парковки Санкт–Петербурга" также рекомендовал своим пользователям с осени 2023 года установить сертификат безопасности Минцифры.
"Обязанности по установке таких сертификатов нет. Это возможность, которую Минцифры предлагает тем, кто хочет перейти на отечественные сертификаты. Обратиться за выпуском сертификата может любая российская организация. Компании могут получить сертификат безопасности для своего домена, подав заявку на “Госуслугах”. Пользователям для получения защищённого доступа ко всем сайтам и онлайн–сервисам мы рекомендуем применять браузеры с поддержкой российских сертификатов: “Яндекс.Браузер” или “Атом”", — подчёркивают в министерстве.
Между тем у обычных пользователей внезапно выскакивающее от имени банка предупреждение о том, что "скоро для оплаты потребуется сертификат Минцифры", вызывает скорее панику, так как широкой информационной кампании о происходящем до сих пор не развернули ни сами банки, ни государственные структуры. А встречаются подобные предупреждения в последнее время всё чаще и чаще, особенно при попытке совершить перевод денежных средств.
Что будет, если всё-таки установить российский TLS-сертификат
TLS-сертификаты нужны для того, чтобы обеспечивать вашу информационную безопасность. Они участвуют в шифровании трафика. Поэтому перехваченный трафик не может быть прочитан злоумышленниками: максимум информации, который смогут получить хакеры, разбирая перехваченные данные – это домен сайта. Например, www.sberbank.ru. Даже в случае перехвата трафика они не смогут узнать, сколько денег у вас на счетах, и, тем более, не смогут ими распорядиться.
Однако при установке TLS-сертификата на компьютер вы уменьшаете защиту данных. Хотя трафик по-прежнему шифруется, злоумышленники при определённых обстоятельствах смогут выдать себя за любой сайт или создать SSL-прокси. Тогда они смогут легко расшифровать ваш трафик – и получить полный доступ к вашим данным:
Проще говоря, устанавливая TLS-сертификат, вы рискуете сделать свою интернет-активность абсолютно прозрачной – особенно в том случае, если будет создан SSL-прокси.
Первый опыт использования российских TLS
26 сентября «Сбер» сообщил, что начал переводить на российские TLS-сертификаты свои сайты, рабочие ресурсы и системы, в том числе главный сайт sberbank.ru и мобильные приложения «СберБанк Онлайн» и «СберБизнес». Компания действовала превентивно: несмотря на то, что сайты «Сбера» оставались защищенными сертификатами зарубежного удостоверяющего центра (УЦ), никто не давал гарантии, что завтра этот УЦ не прервет их действие.
«Мы первые в стране начали перевод своих сайтов на сертификаты российских удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к «Личному кабинету» и другим сервисам «Сбера». Установка сертификатов — это необходимое решение, которое позволяет пользователю установить безопасное соединение между сторонами процесса. В таком случае информация между устройством пользователя и сайтом будет передаваться по защищенному протоколу шифрования HTTPS. А это значит, что полностью отсутствует возможность утечки информации. Ваши данные будут защищены. Уверен, что для многих российских компаний переход на российские сертификаты станет приоритетной задачей», — отмечает управляющий директор, начальник управления криптографии, аутентификации и идентификации Сбербанка Алексей Качалин.
На сегодняшний день мобильные приложения «СберБанк Онлайн» и «СберБизнес» для iOS и Android уже имеют необходимые встроенные сертификаты.
Сайт sberbank.ru также перешел на сертификат Минцифры, поэтому без отечественного сертификата на устройстве пользователя зайти на него привычным и безопасным способом уже не получится. Клиентами «Сбера» являются более 100 млн человек. Для них на sberbank.com/ru/certificates опубликованы видеоинструкции по установке сертификатов с «Госуслуг», а также информация о браузерах, поддерживающих сертификаты Минцифры.
Какие сертификационные центры ушли из России
В 2022 году международные сертификационные центры Trustwave, Sectigo (Comodo), DigiCert, Thawte, Symantec и GeoTrust приостановили выпуск SSL-сертификатов в российских доменных зонах: .ru, .su, .рф.
При этом DigiCert продолжает выпускать DV-сертификаты для доменов в международных зонах (.com, .net, .org, .info и др.) вне зависимости от того, из какой страны владелец домена. Остальные центры из этого списка не выпускают никаких сертификатов для резидентов России.
Зачем устанавливать сертификаты?
В целом установка TLS-сертификатов – распространённая практика в корпоративных сетях. Часто внутренние корпоративные порталы – например, CRM-системы или базы знаний – запускаются на серверах без подключения к интернету, а их сайты подписываются собственным сертификатом.
Однако браузеры не принимают такие TLS-сертификаты, поскольку не «доверяют» им. Ведь они созданы не авторизованным удостоверяющим центром, а какой-то другой компанией. Чтобы браузер начал доверять этому сертификату, необходимо установить сертификат в корневое хранилище сертификатов на устройстве.
С Национальным удостоверяющим центром РФ (Russian Trusted Root CA) наблюдается похожая ситуация. Он не является авторизованным удостоверяющим центром, поэтому браузеры, получив от него сертификаты, им просто не доверяют. При попытке открыть, например, сайт «Сбербанка» в Google Chrome пользователь получит предупреждение, что соединение с этим сайтом не безопасно и открывать его не рекомендуется.
Именно поэтому Минцифры РФ предлагает установить корневой TLS-сертификат на устройство. Таким образом он встроится в список сертификатов, которым браузер обязан доверять, и сайт «Сбербанка» снова начнёт открываться. Однако мы не рекомендуем этого делать.
Поскольку единственная с точки зрения пользователя проблема российского TLS-сертификата заключается в том, что без него не получается открыть нужные сайты, для работы с этими сайтами лучше использовать дополнительный браузер, который доверяет российским TLS-сертификатам. Например, «Яндекс.Браузер» или «Атом».
Опыт запуска «цензурирующего сертификата» в Казахстане
В 2016 году в Республике Казахстан была запущена государственная платформа анализа трафика. Сертификаты сайтов подменялись государственными, а для их работы пользователи были обязаны установить корневой сертификат, выданный Комитетом связи, информатизации и информации Министерства по инвестициям и развитию РК.
Это вызвало множество негодования и протестов. Кроме того, попытки подменить сертификат на стороне провайдеры привели к тому, что множество критически важных для инфраструктуры страны сайтов перестало открываться.
Результатом стала отмена инициативы в скором времени после запуска.
Зарубежные и российские TLS-сертификаты
До 2022 года в России не было собственного удостоверяющего центра, который бы выдавал TLS-сертификаты. Чтобы получить такие «документы», сайты обращались в зарубежные компании. Например, TLS-сертификат онлайн-банка «Сбербанк.Онлайн» выдан удостоверяющим центром GlobalSign.
Однако в 2022 году на российские компании был наложен ряд экономических санкций, а международные удостоверяющие центры отказались выдавать сертификаты для российского бизнеса и государственных органов.
Это вынудило Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры РФ) совместно с НИИ «Восход» создать собственный Национальный удостоверяющий центр и выпустить TLS-сертификаты для российского бизнеса.