Метки доверия: кому нужны TLS-сертификаты Минцифры

Клиенты Сбера продолжают устанавливать новые сертификаты Минцифры для безопасного входа на сайт банка

Shuterstock
С помощью сертификатов безопасности, выпущенных Национальным удостоверяющим центром (НУЦ) Минцифры, российские пользователи Интернета смогут беспрепятственно пользоваться сайтами тех или иных отечественных компаний. Данный сертификат недавно установил Сбер. Он дает возможность клиентам банка получить доступ ко всем ресурсам банка. Эксперты полагают, что всей 100-миллиной аудитории кредитной организации необходимо установить сертификат для бесперебойной работы всех сервисов.

Палки в колеса

Ранее российские пользователи могли не беспокоиться о «каких-то там сертификатах» при обращении на сайты в интернете, хоть российских, хоть зарубежных компаний. «Их браузеры и операционные системы автоматически получали все необходимые сертификаты из зарубежных удостоверяющих центров - специальных организаций и сервисов, формирующих такие сертификаты. В этих же центрах сертификаты получали и владельцы интернет-сайтов. Так работал весь мир, это часть парадигмы построения безопасного Интернета», - говорит Дмитрий Гусев, заместитель генерального директора компании «ИнфоТеКС».

Все началось с того, что еще весной иностранные компании стали отзывать свои сертификаты безопасности у российских сайтов. Пользователи, переходя на тот или иной сайт, видели предупреждение о небезопасности ресурса. По словам Гусева, если сертификат сайта аннулирован, то браузер при проверке сертификата сайта не будет его загружать и покажет то самое предупреждение.

Сертификаты необходимы для обеспечения безопасности интернет-ресурса. Посредством сертификата создается зашифрованное соединение, что позволяет защитить данные пользователей, в том числе - персональные от злоумышленников.

«Таким образом, сертификаты являются одним из основных элементов безопасности данных в онлайн-среде», - рассказывает Сергей Плуготаренко, генеральный директор АНО «Цифровая экономика».

Для понимания - сертификаты можно рассматривать как метки доверия. Такие метки требуются для любого сайта, продолжает спикер. Их заказывают и получают законные владельцы сайтов. А пользователи должны иметь так называемый «корневой сертификат» - мастер-метку. Современный Интернет-браузер при обращении на сайт проверяет его метку доверия-сертификат, используя корневые сертификаты - мастер-метки, хранящиеся в операционной системе компьютера/смартфона пользователя. Все сертификаты-метки реализованы с применением криптографических алгоритмов и протоколов. Подделать их нельзя.

Гаранты безопасности

На этом фоне Национальный удостоверяющий центр (НУЦ) Минцифры начал выдачу собственных сертификатов безопасности юрлицам через «Госуслуги».

Для бесперебойной работы ресурсов с обеих сторон, необходимо чтобы сертификаты НУЦ установили и пользователи. TLS-сертификаты министерства можно бесплатно получить на портале «Госуслуги» в полностью дистанционном режиме. Если этого не сделать, то при переходе на ресурс он увидит предупреждение «Невозможно установить безопасное соединение». При этом сам сайт может попросту не открыться.

По словам эксперта из «ИнфоТеКС», суть действий Сбера с обновлением сертификатов сводится к двум основным шагам. Во-первых, заменить на своих интернет-сайтах и сервисах зарубежные сертификаты на российские, выпущенные российскими удостоверяющими центрами. Во-вторых, снабдить пользователей необходимыми корневыми сертификатами, чтобы их браузеры могли проверять сертификаты сайтов Сбера.

«Добавлю, что сертификаты как метки доверия используются только на этапе первоначальной проверки сайта, далее же сертификаты начинают работать как ключи защиты канала связи с сайтом - данные между браузером пользователя и сайтом шифруются. Это очень важная мера безопасности, особенно когда пользователь начинает через сайт банка совершать какие-то операции со своими счетами, вкладами», - предупреждает Дмитрий Гусев.

В настоящее время процедуры, предусмотренные для выдачи отечественных TLS-сертификатов российским сайтам, не содержат каких-либо специфических положений, которые могли бы повлечь дополнительные угрозы безопасности, отмечает Плуготаренко из АНО «Цифровая экономика».

Сам Сбер давно предупредил об этом своих клиентов, призвав установить сертификаты на свои устройства, при этом уже перевел на них флагманский сайт Sberbank.ru.

В банке отмечают, что популярные мобильные приложения СберБанк Онлайн и СберБизнес на платформах iOS и Android уже имеют необходимые встроенные сертификаты, поэтому пользоваться ими абсолютно безопасно. Владельцам устройств на операционной системе Android компания рекомендовала не забывать обновлять приложения СберБанк Онлайн и СберБизнес до последних версий.

Массовый переход

На сайте «Госуслуги» опубликованы инструкции для граждан по установке российских сертификатов безопасности на личные устройства. В Минцифры ранее подчеркнули, что переход Сбера стал одним из «наиболее масштабных примеров использования отечественных сертификатов безопасности».

«Мы приветствуем решение Сбера перевести свои онлайн-сервисы на отечественные сертификаты удостоверяющих центров. Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний», — прокомментировал глава ведомства Максут Шадаев.

Сертификаты безопасности выданы на более чем 7 тыс. доменных адресов, рассказали «Известиям» в пресс-службе Минцифры. Для сохранения работоспособности российских сайтов в ведомстве рекомендуют использовать браузеры, которые поддерживают работу российских сертификатов.

Переход на отечественные TLS-сертификаты связан с опасениями в отношении отзыва сертификатов, ранее выданных для российских сайтов зарубежными удостоверяющими центрами.

При этом существующие механизмы программно-технической безопасности браузеров, вместо простого предупреждения пользователей о возможных «проблемах» в подлинности сертификатов и предоставления права решения о продолжении работы с сайтом пользователю, принимают решения «за пользователя», отказывая в переходе на сайт, который браузер воспринял как «проблемный».

«Для банковской среды это особенно актуально. Таким образом, зарубежный браузер может «не распознать» отечественный сертификат как доверенный и не предоставить доступ к сайту с таким сертификатом, что может потребовать использования отечественного браузера, у которого подобной проблемы нет», - резюмирует Сергей Плуготаренко.