В прошлом году Минцифры выпустило TLS-сертификаты для смартфонов, планшетов и компьютеров. Многие россияне все еще не спешат устанавливать их на свои устройства. Между тем это делает пользование многими сайтами и сервисами небезопасным. Что такое TLS-сертификаты, зачем они нужны и как их установить — в материале «Вечерней Москвы».

Что такое TLS-сертификаты

Все сайты в интернете обмениваются данными. Чаще всего это происходит по защищенному соединению HTTPS. Его можно узнать по иконке закрытого замка в адресной строке. Также название соединения прописано перед названием сайта (например, в случае с сайтом «ВМ» это выглядит так: https://vm.ru).

Защищенное соединение необходимо, чтобы обмен информацией между сайтами проходил в зашифрованном режиме. Среди прочего это позволяет защитить данные пользователей, что особенно актуально, когда речь идет о банковских сервисах. Для такой шифровки и используются TLS-сертификаты (transport layer security — протокол защиты транспортного уровня).

В беседе с «ВМ» эксперт в области IT, разработчик сайта Kremlin.ru Артем Геллер рассказал, что при переходе с одного ресурса на другой сертификат либо пропускает пользователя без проблем, либо предупреждает его об опасности:

— Обычно предупреждение выглядит так: «Подключение не защищено». Международные сертификаты, по словам специалиста, по умолчанию стоят в крупных зарубежных браузерах, таких как Chrome, Safari.

По сути, TLS-сертификат — это связующее звено безопасности между браузером и сайтом. Работает это примерно так: браузер запрашивает у сайта TLS-сертификат, сверяет его со своим сертификатом. Далее, если все в порядке, пользователь сразу попадает на сайт. Иначе всплывает сообщение «Подключение не защищено».

Браузеры обычно используют заранее установленные TLS-сертификаты удостоверяющих центров (УЦ). Крупнейшие УЦ находятся за пределами России, среди них GlobalSign (Бельгия), Let`s Encrypt (США), Thawte (ЮАР).

Как выбрать смартфон в 2023 году Apple, Samsung или Xiaomi? Как выбрать смартфон в 2023 году

В марте 2022 года некоторые зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. Из-за этого пользователи из России при посещении таких сайтов видели предупреждение о небезопасности ресурса.

Предупреждение о необходимости сертификата Минцифры при оплате через Сбербанк

По этой причине Минцифры решило разработать свои TLS-сертификаты. Занимается этим Национальный удостоверяющий центр (НУЦ).

• — Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам, — отметили в ведомстве.
• В связи с введенными санкциями, по словам Геллера, появился риск невыдачи или отзыва уже действующих сертификатов безопасности у тех ведомств, у которых он уже есть.
• — В этом случае такие крупные защищенные ресурсы, как сайт президента РФ или «Госуслуги», могут выдаваться за небезопасные, — пояснил Геллер.

Он обратил внимание на то, что TLS-сертификаты Минцифры отличаются от зарубежных только использованием отечественной криптографии (метода шифрования данных — прим. «ВМ»), однако эта система безопасности может быть установлена только в российские браузеры.

— Но существенный минус такой системы в том, что российские сертификаты придется устанавливать вручную, а зарубежные были встроены автоматически, — сказал эксперт. — Кроме того, есть риск запутать людей, которым придется устанавливать TLS-сертификат самостоятельно, хотя они принцип работы автоматически встроенного никогда не понимали.

В марте прошлого года на портале «Госуслуги» заработал сервис выдачи сертификатов безопасности. После этого российские компании начали переводить на них свои сайты. Так, осенью все свои сайты и сервисы на сертификаты НУЦ перевел Сбербанк.

Как установить

В российские браузеры — «Яндекс.Браузер» и «Атом» — уже предустановлены корневые сертификаты НУЦ. Так что если вы пользуетесь ими, то вам ничего делать не нужно.

https://www.youtube.com/watch?v=6qRwrJFf44M\u0026pp=ygVi0KfQtdC8INCz0YDQvtC30LjRgiDRg9GB0YLQsNC90L7QstC60LAg0YHQtdGA0YLQuNGE0LjQutCw0YLQsCDQnNC40L3RhtC40YTRgNGLOiDQvtCx0YrRj9GB0L3Rj9C10Lw%3D

Если вы привыкли пользоваться другими браузерами, то вам следует установить корневой сертификат в операционную систему (ОС) вашего устройства. Делается это довольно просто.

На портале «Госуслуги» можно скачать TLS-сертификаты Минцифры для смартфонов на Android и iOS, а также для компьютеров на ОС Windows, MacOS и Linux. Здесь есть подробные инструкции для каждого устройства.

Сертификаты Минцифры для браузеров и ОС: так ли они страшны? Ещё одно мнение

В конце сентября сайт Сбера перешёл на отечественный сертификат от Минцифры. Вскоре его примеру могут последовать и другие организации, попавшие под санкции, так как с большой долей вероятности они не смогут продлить текущие в западных удостоверяющих центрах. При этом продлевать их необходимо раз в год.

Руководитель Ассоциации участников рынка данных Иван Бегтин отнёсся к такому развитию событий с большим скепсисом, предположив, что использование государственного сертификата позволит «перехватывать трафик к HTTPS-сайтам»:

После этой публикации с редакцией «Кода Дурова» связался читатель Юрий, работающий разработчиком и, по его словам, «съевший не одну собаку с этими сертификатами». Он изложил своё понимание ситуации, объяснил, почему паниковать не стоит, и рассказал, какие шаги стоит предпринять пользователям, чтобы себя обезопасить. Передаём слово Юрию.

Russian Trusted Root CA — стоп, паника!

Сами по себе корневые сертификаты Минцифры (Russian Trusted Root CA) не опасны. При обращении на https://site браузер и сервер производят ряд запросов, который называется handshake. Там они договариваются о криптографическом контексте — об используемых шифрах и методах аутентификации, а также согласовывают ключи и другие параметры сеанса связи.

Именно там сервер показывает свой корневой и промежуточные сертификаты, а браузер смотрит, доверен ли сертификат от сервера. И если такой информации не находит, то говорит, что «подключение не защищено». Это же вы видите, когда используете самоподписанные сертификаты (логика одна).

В ОС и браузеры встроено ограниченное количество корневых сертификатов, но их можно добавлять самостоятельно, и тогда сайты, подписанные этим удостоверяющим центром, будут считаться безопасными.

Если вы установите Russian Trusted Root CA от Минцифры, а сайт подписан, например, GlobalSign Root CA, то российский сертификат не запросится и не будет участвовать в шифровании трафика, а значит и ваш трафик не сможет расшифровать какое-либо третье лицо.

Проще говоря, сертификат Russian Trusted Root CA, установленный на вашем ПК или смартфоне, не «взламывает другие сайты», как и любой другой сертификат. Ведь они вызываются браузером по мере необходимости — в те моменты, когда сервер показывает свой сертификат, подписанный тем или иным удостоверяющим центром.

Но что может пойти не так?

Приведу пример, как может быть. При этом я не утверждаю и не прогнозирую, что так будет, а просто описываю потенциальный риск, который может возникнуть.

Свои надёжнее: почему важна установка сертификатов безопасности Минцифры — МК

На фоне перехода российских сайтов на сертификаты Национального удостоверяющего центра Минцифры Сбер рекомендовал своим клиентам, которых у банка больше 100 миллионов, установить их и на свои устройства. Разберёмся, почему так важна установка отечественных сертификатов безопасности.

С чего всё началось?

В марте, с усилением антироссийских санкций, зарубежные удостоверяющие центры начали отзывать свои сертификаты безопасности у сайтов отечественных компаний.

Речь идёт о TLS-сертификатах, которые используются для создания зашифрованного соединения по протоколу HTTPS между сайтами и их пользователями.

Для обывателя отзыв сертификатов у российских онлайн-площадок мог выразиться в виде предупреждения о небезопасности ресурса или блокировки сайта браузером.

В связи с этим Национальный удостоверяющий центр (НУЦ) Минцифры России начал выдачу собственных сертификатов безопасности отечественным компаниям на портале Госуслуг. В ближайшем будущем эти сертификаты будут внедрены в большинстве российских сайтов. А недавно на тех же Госуслугах появился раздел, в котором любой пользователь может бесплатно скачать сертификат Минцифры на своё устройство.

На вопрос о том, зачем обычному пользователю интернета нужно устанавливать такой сертификат, эксперты отвечают, что его наличие и у ресурса, и у пользователя позволяет установить безопасное соединение между сторонами процесса. В таком случае информация между устройством пользователя и сайтом будет передаваться по защищённому протоколу шифрования HTTPS.

Масштабный пример

На прошлой неделе Сбер сообщил, что первым в стране начал установку сертификатов Минцифры на все свои сайты, рабочие ресурсы и системы, добавив, что переход «обеспечит независимость банка от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ к ресурсам Сбера». А глава Сбербанка Герман Греф заявил, что в ближайшее время на отечественные сертификаты будет переведён главный сайт компании.

Банк подчеркнул, что мобильные приложения СберБанк Онлайн и СберБизнес на платформах iOS и Android уже имеют необходимые встроенные сертификаты, поэтому пользоваться ими абсолютно безопасно. Владельцам устройств на операционной системе Android компания рекомендовала не забывать обновлять приложения СберБанк Онлайн и СберБизнес до последних версий.

Как отметило Минцифры, переход Сбера на сертификаты НУЦ стал «одним из наиболее масштабных примеров использования отечественных сертификатов безопасности», а министр Максут Шадаев подчеркнул: «Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний».

Купирование рисков

Эксперты по кибербезопасности едины во мнении: установка отечественных сертификатов на личные устройства позволит каждому защитить себя при использовании российских сайтов. При этом у пользователя есть два возможных пути, чтобы поставить сертификаты Минцифры.

Первый — скачать их на Госуслугах и установить на гаджет по инструкции. Второй — перейти на использование отечественного браузера с уже предустановленными сертификатами.

Однако последний вариант может быть неудобен для тех, кто, например, привык пользоваться зарубежными аналогами.

Вместе с тем аналитики финтеха уверены, что переход на отечественные сертификаты станет необходимым условием дальнейшего развития отрасли. «Сертификаты Минцифры будут столь же популярны, сколь и необходимы для корректной работы банковских приложений и сайтов.

В этом отношении мы можем констатировать успешный пример импортозамещения.

Регулярное обновление и совершенствование программных решений, связанных с финансовыми услугами, в том числе и установка сертификатов, — залог устойчивости работы дистанционных банковским систем и расширения их функциональности», — поделилась мнением главный аналитик компании «РегБлок» Анна Авакимян.

Метки доверия: кому нужны TLS-сертификаты Минцифры — Газета.Ru

С помощью сертификатов безопасности, выпущенных Национальным удостоверяющим центром (НУЦ) Минцифры, российские пользователи Интернета смогут беспрепятственно пользоваться сайтами тех или иных отечественных компаний.

Данный сертификат недавно установил Сбер. Он дает возможность клиентам банка получить доступ ко всем ресурсам банка.

Эксперты полагают, что всей 100-миллиной аудитории кредитной организации необходимо установить сертификат для бесперебойной работы всех сервисов.

Палки в колеса

Ранее российские пользователи могли не беспокоиться о «каких-то там сертификатах» при обращении на сайты в интернете, хоть российских, хоть зарубежных компаний.

«Их браузеры и операционные системы автоматически получали все необходимые сертификаты из зарубежных удостоверяющих центров — специальных организаций и сервисов, формирующих такие сертификаты. В этих же центрах сертификаты получали и владельцы интернет-сайтов.

Так работал весь мир, это часть парадигмы построения безопасного Интернета», — говорит Дмитрий Гусев, заместитель генерального директора компании «ИнфоТеКС».

Все началось с того, что еще весной иностранные компании стали отзывать свои сертификаты безопасности у российских сайтов. Пользователи, переходя на тот или иной сайт, видели предупреждение о небезопасности ресурса. По словам Гусева, если сертификат сайта аннулирован, то браузер при проверке сертификата сайта не будет его загружать и покажет то самое предупреждение.

Сертификаты необходимы для обеспечения безопасности интернет-ресурса. Посредством сертификата создается зашифрованное соединение, что позволяет защитить данные пользователей, в том числе — персональные от злоумышленников.

«Таким образом, сертификаты являются одним из основных элементов безопасности данных в онлайн-среде», — рассказывает Сергей Плуготаренко, генеральный директор АНО «Цифровая экономика».

Для понимания — сертификаты можно рассматривать как метки доверия. Такие метки требуются для любого сайта, продолжает спикер. Их заказывают и получают законные владельцы сайтов. А пользователи должны иметь так называемый «корневой сертификат» — мастер-метку.

Современный Интернет-браузер при обращении на сайт проверяет его метку доверия-сертификат, используя корневые сертификаты — мастер-метки, хранящиеся в операционной системе компьютера/смартфона пользователя.

Все сертификаты-метки реализованы с применением криптографических алгоритмов и протоколов. Подделать их нельзя.

Гаранты безопасности

На этом фоне Национальный удостоверяющий центр (НУЦ) Минцифры начал выдачу собственных сертификатов безопасности юрлицам через «Госуслуги».

Для бесперебойной работы ресурсов с обеих сторон, необходимо чтобы сертификаты НУЦ установили и пользователи. TLS-сертификаты министерства можно бесплатно получить на портале «Госуслуги» в полностью дистанционном режиме. Если этого не сделать, то при переходе на ресурс он увидит предупреждение «Невозможно установить безопасное соединение». При этом сам сайт может попросту не открыться.

По словам эксперта из «ИнфоТеКС», суть действий Сбера с обновлением сертификатов сводится к двум основным шагам. Во-первых, заменить на своих интернет-сайтах и сервисах зарубежные сертификаты на российские, выпущенные российскими удостоверяющими центрами. Во-вторых, снабдить пользователей необходимыми корневыми сертификатами, чтобы их браузеры могли проверять сертификаты сайтов Сбера.

«Добавлю, что сертификаты как метки доверия используются только на этапе первоначальной проверки сайта, далее же сертификаты начинают работать как ключи защиты канала связи с сайтом — данные между браузером пользователя и сайтом шифруются. Это очень важная мера безопасности, особенно когда пользователь начинает через сайт банка совершать какие-то операции со своими счетами, вкладами», — предупреждает Дмитрий Гусев.

В настоящее время процедуры, предусмотренные для выдачи отечественных TLS-сертификатов российским сайтам, не содержат каких-либо специфических положений, которые могли бы повлечь дополнительные угрозы безопасности, отмечает Плуготаренко из АНО «Цифровая экономика».

Сам Сбер давно предупредил об этом своих клиентов, призвав установить сертификаты на свои устройства, при этом уже перевел на них флагманский сайт Sberbank.ru.

В банке отмечают, что популярные мобильные приложения СберБанк Онлайн и СберБизнес на платформах iOS и Android уже имеют необходимые встроенные сертификаты, поэтому пользоваться ими абсолютно безопасно. Владельцам устройств на операционной системе Android компания рекомендовала не забывать обновлять приложения СберБанк Онлайн и СберБизнес до последних версий.

Массовый переход

На сайте «Госуслуги» опубликованы инструкции для граждан по установке российских сертификатов безопасности на личные устройства. В Минцифры ранее подчеркнули, что переход Сбера стал одним из «наиболее масштабных примеров использования отечественных сертификатов безопасности».

«Мы приветствуем решение Сбера перевести свои онлайн-сервисы на отечественные сертификаты удостоверяющих центров. Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний», — прокомментировал глава ведомства Максут Шадаев.

Сертификаты безопасности выданы на более чем 7 тыс. доменных адресов, рассказали «Известиям» в пресс-службе Минцифры. Для сохранения работоспособности российских сайтов в ведомстве рекомендуют использовать браузеры, которые поддерживают работу российских сертификатов.

Переход на отечественные TLS-сертификаты связан с опасениями в отношении отзыва сертификатов, ранее выданных для российских сайтов зарубежными удостоверяющими центрами.

При этом существующие механизмы программно-технической безопасности браузеров, вместо простого предупреждения пользователей о возможных «проблемах» в подлинности сертификатов и предоставления права решения о продолжении работы с сайтом пользователю, принимают решения «за пользователя», отказывая в переходе на сайт, который браузер воспринял как «проблемный».

«Для банковской среды это особенно актуально. Таким образом, зарубежный браузер может «не распознать» отечественный сертификат как доверенный и не предоставить доступ к сайту с таким сертификатом, что может потребовать использования отечественного браузера, у которого подобной проблемы нет», — резюмирует Сергей Плуготаренко.

Переход на отечественный TLS-сертификат. Инструмент слежки или гарантия автономности?

Российские сервисы — Госуслуги, сайты банков и пр. — переходят на отечественные TLS-сертификаты безопасности от Минцифры. Сограждане беспокоятся — а не очередная ли это рука помощи «товарищу майору» для организации слежек и преследований политических активистов? Разбираемся вместе со специалистами по кибербезопасности.

Министерство цифрового развития, связи и массовых коммуникаций РФ советует россиянам установить отечественные TLS-сертификаты на свои устройства для доступа к госуслугам и банкам.

После отзыва зарубежными компаниями своих сертификатов системы выдают предупреждение о небезопасности дальнейшего использования российских ресурсов.

Некоторые компании в России уже опубликовали инструкции для пользователей по установке отечественных продуктов защиты от цифровых угроз.

«Переход на российские TLS-сертификаты обеспечит безопасный доступ ко всем ресурсам в любом браузере пользователям всех операционных систем, а также независимость от зарубежных удостоверяющих центров», — объяснили в Минцифры идею новых сертификатов.

Что такое SSL-сертификат? SSL-сертификат отображается в левом углу адресной строки браузера в виде закрытого замка. Так пользователь может определить, является ли сайт надежным или фишинговым. Во втором случае персональные и платежные данные, оставленные на таком сайты, могут попасть в руки злоумышленникам, как и сам платеж.

SSL-сертификаты выпускают удостоверяющие центры — специальные организации, которые также поддерживают их работу.

Существуют три основные цели использования таких сертификатов: шифрование данных между пользователем и сайтом; сертификат выступает в качестве своеобразного «удостоверения личности» для организации и защищает пользователя от фишинговых сайтов; улучшает ранжирование в поиске — сайты, у которых сертификат отсутствует, опускаются ниже в выдаче.РБК

Напомним, с марта 2022 года из-за санкций зарубежные удостоверяющие центры начали отзывать у попавших под санкции российских банков SSL-сертификаты, обеспечивающие безопасность сайта и сохранность персональных данных. У ЦБ, ВТБ, Совкомбанка, Промсвязьбанка на некоторое время мог снижаться уровень защиты, хотя банки и утверждали обратное.

В сентябре также возник вопрос продления действующих сертификатов для организаций, которые не попадали под санкции, однако у российской стороны возникли сомнения в том, что зарубежные партнеры в дальнейшем будут готовы пролонгировать договоры обслуживания.

Сбер объявил на прошлой неделе, что начал устанавливать на все свои сайты, рабочие ресурсы и системы сертификаты, выпущенные Национальным удостоверяющим центром Минцифры.

Немногим раньше на портале «Госуслуг» были опубликованы инструкции для граждан по установке российских сертификатов безопасности на личные устройства.

Организации, подотчетные государственным ведомствам, также стали призывать россиян устанавливать российский продукт.

Проблема в том, что российская разработка будет совместима только с Яндексом и (или) Атомом (от VK), для других браузеров ее придется импортировать в корневой сертификат.

Это дает возможность реализовать атаку MITM на трафик, которую будет непросто заметить со стороны пользователя.

Способ обезопасить себя — завести отдельный телефон с Яндекс-браузером и на российские сайты ходить только с этого отдельного устройства, отмечают эксперты.

Как установить корневой сертификат Минцифры?

Сервис по согласованию заявок на пропуск государственными контролирующими органами, а также некоторые тестовые сервисы, для защиты соединения между клиентом (браузером) и сервером могут использовать электронный сертификат безопасности, выпущенный Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. Использование отечественного сертификата безопасности снижает риски, связанные с возможностью отзыва иностранного сертификата.

Однако отечественный сертификат, в свою очередь, требует либо работы только в определенных браузерах со встроенным корневым сертификатом Минцифры (например, Яндекс Браузер или Atom), либо ручной настройки корневого сертификата в других браузерах. В противном случае браузер будет выдавать предупреждение о том, что подключение не защищено.

Для ручной установки корневого сертификата Минцифры нужно перейти на специальную страницу сайта Госуслуг, где в разделе «Корневой сертификат удостоверяющего центра» нажать на кнопку «Скачать сертификат».

Затем открыть скаченный файл архива RootCa_SSL_RSA.zip и в нем дважды кликнуть на файле rootca_ssl_rsa2022.cer. На экране откроется окно с данными о сертификате.

 В этом окне нужно нажать на кнопку «Установить сертификат…».

Откроется окно Мастера импорта сертификатов. В этом окне расположение хранилища можно оставить для текущего пользователя и нажать кнопку «Далее».

На следующем шаге необходимо установить переключатель в положение «Поместить все сертификаты в следующее хранилище» и нажать на кнопку «Обзор».  

В диалоговом окне «Выбор хранилища сертификата» выбрать «Доверенные корневые центры сертификации» и нажать на кнопку «ОК».

После возвращения в окно Мастера импорта сертификатов нажать на кнопку «Далее».

На экране появится диалоговое окно предупреждения системы безопасности. В нем нужно подтвердить установку сертификата, нажав на кнопку «Да».

После чего на экране появится сообщение об успешном выполнении импорта сертификата.

Теперь нужно обновить окно браузера и можно работать с сервисом.