«Сбер» переводит сайт SberPress на российские TLS-сертификаты
1 ноября «Сбер» сообщил о начале перевода сайта SberPress на российские TLS-сертификаты, выпущенные Национальным удостоверяющим центром (НУЦ) Минцифры РФ.
«Сбер» предупредил, что данное обновление проводится в рамках широкомасштабного перехода сайтов, ресурсов и систем «Сбера» на российские TLS-сертификаты, чтобы обеспечить независимость банка от зарубежных удостоверяющих центров. Для бесперебойного и безопасного доступа к онлайн-сервисам «Сбера» необходима поддержка сертификатов НУЦ Минцифры на каждом устройстве пользователя.
20 октября «Сбер» в рамках перевода на российские TLS-сертификаты основного сайта и других своих порталов (веб-версии «Сбербанк Онлайн» и «СберБизнес») выпустил наглядные и простые видеоинструкции для пользователей по установке и настройке на ПК и мобильных устройствах сертификата Russian Trusted Root CA для платформ Android, iOS, macOS и Windows, а также для пользователей смартфонов Samsung.
«Сбер» пояснил, что скоро только российские сертификаты обеспечат защищённый доступ к сайтам и онлайн-сервисам «Сбера» с любых устройств пользователей. Для этого нужно или использовать браузеры с поддержкой российских сертификатов («Яндекс Браузер» или «Атом») или установить сертификаты для своей операционной системы.
«Сбер» предупредил, что скоро большинство сайтов в Рунете перейдут на российские TLS-сертификаты и пользователям всё равно придётся выбирать: установить корневой сертификат Russian Trusted Root CA или использовать «Яндекс.Браузер».
«Сбер» выяснил, что браузеры Opera, FireFox, MIUI и ряд других могут некорректно работать с сайтами, защищёнными сертификатами безопасности НУЦ Минцифры России. Чтобы избежать проблем, «Сбер» рекомендует использовать «Яндекс Браузер» или после установки TLS-сертификатов перейти на другой браузер.
Примечательно, что «Сбер» советует пользователям, у которых не устанавливается сертификат, обращаться в службу техподдержки портала «Госуслуги», а не помогать клиентам через своих специалистов.
Российский Национальный удостоверяющий центр (НУЦ) выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls. «Яндекс Браузер» применяет национальные сертификаты не для всего Рунета, а только на тех сайтах, которые есть в списке НУЦ. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
Эксперты считают, что в конце этого года и начале следующего переход на отечественные сертификаты станет приоритетом для многих российских компаний в условиях зарубежных санкций. По их мнению, скоро всё больше пользователей столкнутся с ограничениями на российских сайтах и им придётся или устанавливать в своих системах TLS-сертификат Минцифры, или переходить на «Яндекс Браузер».
15 сентября Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK. Также можно установить в системе сертификат Национального удостоверяющего центра Минцифры России — Russian Trusted Root CA.cer.
19 сентября 2022 года эксперты «Роскомсвободы» рассказали, что из-за возможности провести MITM-атаку после установки российских TLS-сертификатов, они рекомендуют использовать в случае крайней необходимости только «Яндекс Браузер», а не ставить сертификаты на свои ПК.
Эксперты «Роскомсвободы» считают, что установка российских TLS-сертификатов создаёт серьёзную угрозу пользователям, так как они не признаются ни одним современным иностранным браузером, а их установка в системе открывает «окно» для утечки данных и слежки за действиями пользователей в сети. Подобное уже было в Казахстане, но разработчики иностранных браузеров заблокировали такие попытки.
По их мнению, единственный способ обезопасить себя в этой ситуации — это установить «Яндекс Браузер» на отдельный смартфон, чтобы пользоваться им только для действий на российских сайтах. Этот же смартфон можно использовать для мобильного банкинга, если приложения «Сбера» перестанут работать штатно. Хотя «Сбер» заверяет, что его мобильные приложения уже имеют встроенные российские сертификаты.
26 сентября «Сбер» сообщил, что основной сайт финансовой организации (sberbank.ru) переводится на российские TLS-сертификаты.
В конце сентября после перевода на российские TLS-сертификаты основной сайт «Сбера (sberbank.ru) стал открываться по http или блокируется иностранными браузерами как небезопасное подключение на ПК и смартфонах без установленного сертификата Russian Trusted Root CA в системе. В «Яндекс Браузере» или в браузере «Атом» сайт «Сбера» открывается в защищённом режиме по https.
В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».
В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.
Для ознакомления с проблемой установки и работой корневого сертификата Russian Trusted Root CA есть пять публикаций на Хабре по этой ситуации:
1. «Суверенный, сувенирный, самопровозглашенный».
2. «Импортозамещение центров сертификации».
3. Про поддержку Certificate Transparency для национальных сертификатов.
4. Про поддержку сайтов с национальными сертификатами в «Яндекс Браузере».
5. Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана.
С тем, как это работает у «Яндекса», можно ознакомиться на GitHub. Сертификат хранится в собственном хранилище, но похоже был добавлен только в Windows сборку браузера.
Пояснение №1 от «Сбера» по этой ситуации: Мы первые в стране начали перевод своих сайтов на российские сертификаты удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к личному кабинету и другим сервисам «Сбера». Объясняем. Сайты должны иметь сертификат удостоверяющего центра, чтобы гарантировать пользователем бесперебойный и безопасный доступ. Раньше такие «документы» выдавали только иностранные компании, но недавно появилась возможность установить сертификат, созданный Минцифры РФ.
Пояснение №2 от «Сбера» по этой ситуации для Хабра: При установке сертификатов безопасности Национального удостоверяющего центра (НУЦ) Минцифры на устройства пользователей сервисы и ресурсы «Сбера» будут доступны в различных, в том числе наиболее популярных браузерах (Safari, Google Chrome, EDGE, Firefox и др.) на различных операционных системах, что подтверждается заранее проведённым тестированием «Сбера».
Пояснение Минцифры по этой ситуации: В марте зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. При попытке зайти на сайт пользователи видели предупреждение о небезопасности ресурса. Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам.