Лишь на 25–30 % устройств установлены российские TLS-сертификаты, обеспечивающие зашифрованное соединение между сайтом и пользователем, пишут «Ведомости» со ссылкой на данные, которые привёл в ходе вчерашнего выступления на ПМЭФ-2023 руководитель блока «Технологии» в «Сбербанке» Андрей Белевцев.

Источник изображения: Glenn Carstens-Peters / unsplash.com

Решение о выпуске российских TLS-сертификатов в Минцифры приняли в прошлом году. С началом украинских событий зарубежные удостоверяющие центры перестали продлевать сертификаты безопасности российским компаниям, оказавшимися под санкциями — в результате при попытке открывать их сайты пользователи либо видели предупреждение об их ненадёжности, либо браузеры вообще блокировали такие ресурсы. Выпуском российских TLS-сертификатов занялся Национальный удостоверяющий центр (НУЦ) — сервис выдачи заработал на «Госуслугах» в марте прошлого года. Осенью свои сайты на российские сертификаты перевёл «Сбербанк».

Для корректной работы сертификат должен быть и на сайте, и на пользовательском устройстве — его можно установить вручную на компьютер или скачать браузер со встроенным сертификатом, например, «Яндекс Браузер» или «Атом» от VK. По версии Минцифры, поддерживающими национальные сертификаты браузерами ежемесячно пользуются 75 млн человек, а статистика «Сбера» гласит, что российские сертификаты установлены лишь на 25–30 % устройств, с которых клиенты заходят на сайт банка. Чтобы увеличить этот показатель, представитель «Сбера» предложил ускорить перевод государственных сервисов на российские сертификаты, включая и сайт «Госуслуги».

Отзыв сертификата будет означать невозможность воспользоваться предоставляемой на сайте услугой, но до сих пор иностранными сертификатами пользуются даже некоторые банки из первой десятки, напомнили опрошенные «Ведомостями» эксперты. Наличие сертификата также помогает убедиться, что пользователь открывает по зашифрованному каналу именно тот сайт, который ему нужен, а не «двойник», созданный мошенниками для перехвата данных о финансовых операциях. При этом на большинство используемых сегодня сайтов установлены так называемые самоподписанные сертификаты, сформированные без участия удостоверяющего центра.

С другой стороны, уверен ещё один эксперт, насущная потребность в использовании российских сертификатов возникает в первую очередь при работе на устройствах, с которых выполняются финансовые операции на крупные суммы или юридически значимые операции. Доля их действительно невелика, и в их число не входят ни домашние игровые компьютеры, ни планшеты, ни умные телевизоры. Примерно 30 % пользователей, установивших российские сертификаты, заняты в корпоративном секторе — это в основном бухгалтеры и специалисты по тендерам.

Интернет-ресурсы, проводящие платежи через «Сбербанк», стали предупреждать пользователей о необходимости установки отечественного браузера или сертификата безопасности от Минцифры. По данным банка, платежи будут проходить и без установки российских браузеров.

Источник изображения: Pixabay

Согласно имеющимся данным, на некоторых сайтах, таких как «Афиша» (раздел покупки билетов) или магазины «Вкусвилл» и DNS, появилась информация, согласно которой с 30 января для проведения оплаты требуется скачать российский браузер или установить сертификат безопасности Минцифры. Например, на сайте «Афиши» сказано, что без выполнения упомянутых условий оплата невозможна. На других интернет-ресурсах сообщается, что при оплате онлайн-заказов могут возникнуть трудности.

Аналогичное сообщение было обнаружено на сайте Мытищинского театра драмы и комедии «ФЭСТ». В сообщении театра сказано, что проблема с оплатой билетов онлайн связана со «срочным переходом всех платежей в интернете на российские сертификаты безопасности».

В свою очередь Александр Мезенцев, шеф-редактор «Комерсант FM» рассказал, что уже столкнулся с проблемой с оплатой из-за сертификатов: «Я столкнулся с этой проблемой, когда пытался оплатить счет за газ на дачном участке. При введении данных карты "Сбербанка" на сайте появилась надпись о том, что необходим сертификат Минцифры. Все это я делал через браузер Safari, несколько раз пытался получить код подтверждения от банка, в итоге ничего не получилось».

Напомним, сертификаты безопасности SSL/TLS используются для передачи данных в зашифрованном виде, подтверждения подлинности сайта и его принадлежности владельцу, защите онлайн-транзакций. После обострения ситуации на Украине в 2022 году иностранные центры сертификации отказались работать с компаниями, которые находятся под санкциями западных стран, в том числе со «Сбербанком».

Уже в марте прошлого года Минцифры объявило, что на портале «Госуслуги» начал работать сервис выдачи сертификатов безопасности для российских сайтов, получить которые могут владельцы интернет-ресурсов. Выпуском сертификатов SSL/TLS занимается Национальный удостоверяющий центр Минцифры России.

На сайте «Вкусвилла» сказано, что «зарубежные браузеры перестали получать» сертификаты безопасности для российских сайтов, из-за чего они могут быть определены обозревателями, как подозрительные. Там также сказано, что по умолчанию TLS-сертификат Минцифры поддерживают браузеры «Атом» от VK и последние версии «Яндекс.Браузера». Отмечается, что в декабре прошлого года при совершении покупок на сайтах «Связного», «Детского мира» и некоторых других ретейлеров уже появлялись сообщения о том, что скоро покупателям для проведения транзакций потребуется самостоятельно устанавливать отечественный браузер или сертификат Минцифры.

Как сообщили в РБК, сейчас продолжают работать сертификаты Альфа-банка, ВТБ и Газпромбанка. «Сбербанк» сообщил о переводе собственных систем на использование отечественных сертификатов ещё в сентябре прошлого года. В банке отметили, что клиенты «Сбербанка» могут самостоятельно выбирать, как должно работать платёжное решение на их стороне. Это означает, что ретейлеры могут использовать как сертификаты Минцифры, так и международные аналоги. Представитель «Сбербанка» отметил, что пользователям не нужно предпринимать дополнительных действий для совершения покупок в интернет-магазинах партнёров банка. «Объявления на сайтах партнёров не являются рекомендациями банка и создаются по инициативе партнёра», — отметил представитель банка, добавив, что сервис интернет-эквайринга «работает в штатном режиме как для пользователей, клиентов, так и для партнёров».

Китайские цензоры обновили инструменты блокировки ресурсов, существенно усложнив работу средств для их обхода на основе TLS-шифрования, рассказало сообщество Great Firewall Report (GFW). По его информации, после 3 октября более 100 пользователей сообщили о прекращении работы хотя бы одного из существующих инструментов.

Источник изображения: F8_f16 / pixabay.com

В частности, сильно снизилась эффективность TLS-протокола Trojan, аналогичных VPN-инструментов Xray, V2Ray TLS+Websocket, VLESS, а также gRPC. По версии GFW, система блокирует определённые порты, которыми пользуются сервисы обхода ограничений. Однако при попытке пользователя поменять порт на свободный система блокирует целиком весь IP-адрес. Примечательно, что китайская цензура не стала вносить адреса этих инструментов в «чёрные списки» DNS и SNI, а блокировка, по всей видимости, производится автоматически в динамическом режиме — не исключено, что учитывается их TLS-сигнатура. При этом naiveproxy, ещё одно средство обхода ограничений, продолжает работать.

На этой неделе GFW также сообщило, что Китай заблокировал домен google.com со всеми его поддоменами. При этом по адресу google.cn производится перенаправление на google.com.hk, а последний в материковом Китае, опять же, заблокирован. А Google, в свою очередь, из-за цензуры была вынуждена отключить в Китае онлайн-переводчик. Ужесточение мер блокировки предположительно связано с политическими событиями в стране, пишет The Register: на будущей неделе открывается XX съезд КПК, поэтому официальный Пекин решил действовать на опережение.

Стало известно, что Сбер перевёл свой основной сайт на TLS-сертификат, выпущенный Национальным удостоверяющим центром Минцифры. Об этом сообщил ресурс «Код Дурова» со ссылкой на данные представителя компании.

Источник изображения: press.sber.ru

Переход веб-сайтов, рабочих ресурсов и систем Сбера на российские TLS-сертификаты сделает компанию независимой от зарубежных удостоверяющих центров, а также обеспечит пользователям безопасный доступ к ресурсам. Проверить сертификаты, которые должны присутствовать на устройстве для работы сайтов Сбера, можно на соответствующей странице.

Установить их можно через портал «Госуслуг». Кроме того, взаимодействовать с сайтами Сбера можно с помощью поддерживающих отечественные TLS-сертификаты браузеры, такие как «Яндекс.Браузер» и «Атом» от VK. При отсутствии на устройстве необходимых сертификатов пользователи могут столкнуться с предупреждением о небезопасности сайта Сбера или же его автоматической блокировкой обозревателем.

Глава Ассоциации участников рынка данных Иван Бегтин считает использование отечественных TLS-сертификатов не слишком удачной идеей. Он напомнил, что они необходимы для организации защищённого канала связи между пользователем и сервером. При этом корневой сертификат требуется, чтобы браузеры и другие приложения не выдавали ошибки при попытках обращения к серверам, использующим сертификаты, выданные удостоверяющими центрами.

Иван Бегтин отметил, что удостоверяющие центры проходят определённую сертификацию для обеспечения доверия. Число корневых сертификатов в Windows, macOS, iOS и Android ограничено, но за все годы так и не появилось российского корневого УЦ, что, по мнению специалиста, должно настораживать. Иван считает, что доверенными могут стать не только сертификаты Сбера после добавления корневого сертификата в доверенные. В таком случае может быть выпущен сертификат, использование которого позволит перехватывать трафик к HTTPS-сайтам. Господин Бегтин рекомендует устанавливать сертификат на отдельное устройство, которое используется не часто, или же на виртуальную ОС, работающую на не основном устройстве.