Лишь на 25–30 % устройств установлены российские TLS-сертификаты, обеспечивающие зашифрованное соединение между сайтом и пользователем, пишут «Ведомости» со ссылкой на данные, которые привёл в ходе вчерашнего выступления на ПМЭФ-2023 руководитель блока «Технологии» в «Сбербанке» Андрей Белевцев.

Источник изображения: Glenn Carstens-Peters / unsplash.com

Решение о выпуске российских TLS-сертификатов в Минцифры приняли в прошлом году. С началом украинских событий зарубежные удостоверяющие центры перестали продлевать сертификаты безопасности российским компаниям, оказавшимися под санкциями — в результате при попытке открывать их сайты пользователи либо видели предупреждение об их ненадёжности, либо браузеры вообще блокировали такие ресурсы. Выпуском российских TLS-сертификатов занялся Национальный удостоверяющий центр (НУЦ) — сервис выдачи заработал на «Госуслугах» в марте прошлого года. Осенью свои сайты на российские сертификаты перевёл «Сбербанк».

Для корректной работы сертификат должен быть и на сайте, и на пользовательском устройстве — его можно установить вручную на компьютер или скачать браузер со встроенным сертификатом, например, «Яндекс Браузер» или «Атом» от VK. По версии Минцифры, поддерживающими национальные сертификаты браузерами ежемесячно пользуются 75 млн человек, а статистика «Сбера» гласит, что российские сертификаты установлены лишь на 25–30 % устройств, с которых клиенты заходят на сайт банка. Чтобы увеличить этот показатель, представитель «Сбера» предложил ускорить перевод государственных сервисов на российские сертификаты, включая и сайт «Госуслуги».

Отзыв сертификата будет означать невозможность воспользоваться предоставляемой на сайте услугой, но до сих пор иностранными сертификатами пользуются даже некоторые банки из первой десятки, напомнили опрошенные «Ведомостями» эксперты. Наличие сертификата также помогает убедиться, что пользователь открывает по зашифрованному каналу именно тот сайт, который ему нужен, а не «двойник», созданный мошенниками для перехвата данных о финансовых операциях. При этом на большинство используемых сегодня сайтов установлены так называемые самоподписанные сертификаты, сформированные без участия удостоверяющего центра.

С другой стороны, уверен ещё один эксперт, насущная потребность в использовании российских сертификатов возникает в первую очередь при работе на устройствах, с которых выполняются финансовые операции на крупные суммы или юридически значимые операции. Доля их действительно невелика, и в их число не входят ни домашние игровые компьютеры, ни планшеты, ни умные телевизоры. Примерно 30 % пользователей, установивших российские сертификаты, заняты в корпоративном секторе — это в основном бухгалтеры и специалисты по тендерам.

Интернет-ресурсы, проводящие платежи через «Сбербанк», стали предупреждать пользователей о необходимости установки отечественного браузера или сертификата безопасности от Минцифры. По данным банка, платежи будут проходить и без установки российских браузеров.

Источник изображения: Pixabay

Согласно имеющимся данным, на некоторых сайтах, таких как «Афиша» (раздел покупки билетов) или магазины «Вкусвилл» и DNS, появилась информация, согласно которой с 30 января для проведения оплаты требуется скачать российский браузер или установить сертификат безопасности Минцифры. Например, на сайте «Афиши» сказано, что без выполнения упомянутых условий оплата невозможна. На других интернет-ресурсах сообщается, что при оплате онлайн-заказов могут возникнуть трудности.

Аналогичное сообщение было обнаружено на сайте Мытищинского театра драмы и комедии «ФЭСТ». В сообщении театра сказано, что проблема с оплатой билетов онлайн связана со «срочным переходом всех платежей в интернете на российские сертификаты безопасности».

В свою очередь Александр Мезенцев, шеф-редактор «Комерсант FM» рассказал, что уже столкнулся с проблемой с оплатой из-за сертификатов: «Я столкнулся с этой проблемой, когда пытался оплатить счет за газ на дачном участке. При введении данных карты "Сбербанка" на сайте появилась надпись о том, что необходим сертификат Минцифры. Все это я делал через браузер Safari, несколько раз пытался получить код подтверждения от банка, в итоге ничего не получилось».

Напомним, сертификаты безопасности SSL/TLS используются для передачи данных в зашифрованном виде, подтверждения подлинности сайта и его принадлежности владельцу, защите онлайн-транзакций. После обострения ситуации на Украине в 2022 году иностранные центры сертификации отказались работать с компаниями, которые находятся под санкциями западных стран, в том числе со «Сбербанком».

Уже в марте прошлого года Минцифры объявило, что на портале «Госуслуги» начал работать сервис выдачи сертификатов безопасности для российских сайтов, получить которые могут владельцы интернет-ресурсов. Выпуском сертификатов SSL/TLS занимается Национальный удостоверяющий центр Минцифры России.

На сайте «Вкусвилла» сказано, что «зарубежные браузеры перестали получать» сертификаты безопасности для российских сайтов, из-за чего они могут быть определены обозревателями, как подозрительные. Там также сказано, что по умолчанию TLS-сертификат Минцифры поддерживают браузеры «Атом» от VK и последние версии «Яндекс.Браузера». Отмечается, что в декабре прошлого года при совершении покупок на сайтах «Связного», «Детского мира» и некоторых других ретейлеров уже появлялись сообщения о том, что скоро покупателям для проведения транзакций потребуется самостоятельно устанавливать отечественный браузер или сертификат Минцифры.

Как сообщили в РБК, сейчас продолжают работать сертификаты Альфа-банка, ВТБ и Газпромбанка. «Сбербанк» сообщил о переводе собственных систем на использование отечественных сертификатов ещё в сентябре прошлого года. В банке отметили, что клиенты «Сбербанка» могут самостоятельно выбирать, как должно работать платёжное решение на их стороне. Это означает, что ретейлеры могут использовать как сертификаты Минцифры, так и международные аналоги. Представитель «Сбербанка» отметил, что пользователям не нужно предпринимать дополнительных действий для совершения покупок в интернет-магазинах партнёров банка. «Объявления на сайтах партнёров не являются рекомендациями банка и создаются по инициативе партнёра», — отметил представитель банка, добавив, что сервис интернет-эквайринга «работает в штатном режиме как для пользователей, клиентов, так и для партнёров».