Сбер перевёл сайт sberbank.ru на сертификаты шифрования, выпущенные Национальным удостоверяющим центром (НУЦ) Минцифры. Обновление проведено в рамках широкомасштабного перехода сайтов, ресурсов и систем Сбера на отечественные сертификаты. Это обеспечит независимость банка от иностранных удостоверяющих центров. Однако для тех, кто не установит корневой сертификат НУЦ, браузер будет считать сайты Сбера недоверенными и мошенническими (как в иллюстрации).
Диктат УЦ
Удостоверяющие центры (УЦ) играют важную роль в системе защиты современного Интернета с помощью протокола TLS (в браузере он обозначается как HTTPS). Они с помощью иерархии PKI обеспечивают выработку общего пространства доверия между клиентом и сервером. Браузер считает доверенным любой сервер, который входит в PKI-иерархию любого из корневых сертификатов, которые находятся в его хранилище доверенных зон. Однако браузеры Chrome, Edge, Opera и другие не хотят помещать в свои хранилища по умолчанию корневой сертификат Минцифры РФ.
Ранее проблема казалась надуманной — приобрести сертификат безопасности в иностранном УЦ, корневые сертификаты которых были в хранилищах браузеров, не составляло труда, однако уже в марте этого года ряд зарубежных удостоверяющих центров отозвали сертификаты, которые использовали в России. Среди пострадавших — компании, вошедшие в санкционные списки, в том числе и сайты экосистемы Сбера. Минцифры тогда оперативно создало свой УЦ, который выдает TLS-сертификаты в своей зоне доверия, которую не признают иностранные браузеры — для признания необходимо установить корневой сертификат в хранилище «Доверенных корневых центров сертификации«. Сбер с 15 сентября начал процедуру перевода своих ресурсов на отечественные доверенные сертификаты.
«Сбер постоянно ведет работу по замещению зарубежных вендоров и сервисов на отечественные разработки, — заявил тогда президент и председатель правления Сбербанка Герман Греф. — В рамках этой программы мы первыми в стране начали заменять зарубежные сертификаты на отечественные. На российские сертификаты перейдут и сайт sberbank.ru, и остальные сайты, ресурсы и системы Сбера. Это гарантирует бесперебойный и безопасный доступ наших клиентов к сервисам банка, обеспечивая их независимость от иностранных решений».
Отечественная зона доверия
Если вы зашли на сайты Сбера и обнаружили, что ваш браузер ему не доверяет, то не торопитесь закрывать его как фишинговый. В Сбере так рекомендуют решить проблему сертификатов: «Для бесперебойного и безопасного доступа к веб-ресурсам банка Сбер рекомендует клиентам установить сертификаты Минцифры на свои устройства. Установка сертификатов бесплатна и возможна по двум сценариям. Первый — скачать их на портале Госуслуг и установить на устройство, следуя инструкциям. Второй — перейти на использование браузера, поддерживающего сертификаты Минцифры«. Два российских браузера поддерживают отечественные сертификаты по-умолчанию: Яндекс.Браузер и Атом.