Смена замка: преимущества российских TLS-сертификатов
21.10.2022 Техно

Смена замка: преимущества российских TLS-сертификатов

Автор
Фото
Shutterstock

В сентябре 2022 года Сбер перевёл свой основной сайт на российские TLS-сертификаты — чтобы сохранить безопасный доступ к привычным услугам для более чем 100 млн клиентов. Также им рекомендуется установить отечественные TLS-сертификаты на десктопные и мобильные устройства. Переход на отечественные сертификаты станет приоритетом для многих компаний в условиях зарубежных санкций, убеждены эксперты рынка, опрошенные редакцией спецпроектов Forbes.

Безопасное соединение

До недавнего времени владельцы российских веб-ресурсов сайтов в домене .ru без проблем получали и продлевали сертификаты в зарубежных удостоверяющих центрах. Однако в начале марта в связи с усилением наложенных на Россию санкций некоторые иностранные центры сертификации начали массово отзывать сертификаты безопасности у сайтов крупных российских компаний, в том числе финансового сектора, и отказывать в выдаче новых. Так, например, американский провайдер DigiCert отозвал сертификат у Центробанка, а южноамериканский Thawte у ВТБ. Таким образом, из-за санкционного давления принимать подобные меры стали не только игроки рынка США. Вскоре появилась информация, что с Рунетом отказались работать, помимо упомянутых выше, такие удостоверяющие центры, как GeoTrust, Sectigo (Comodo) и Rapid. Между тем TLS-сертификаты используются для бесперебойной работы сайтов во всем мире, поэтому их наличие критически важно.

TLS-сертификат (Transport Layer Security) это цифровая подпись, то есть набор правил, обеспечивающих работу криптографического протокола HTTPS (HyperText Transfer Protocol Secure). Он необходим интернет-пользователям для безопасного доступа к веб-ресурсам. Данные, которыми обмениваются клиентское устройство и сервер, где расположен соответствующий веб-сайт, подвергаются шифрованию. Благодаря этому эти данные не могут быть перехвачены извне: например, со стороны интернет-провайдера или администратора локальной сети Wi-Fi. 

Таким образом, сайты, использующие HTTPS-протокол, считаются доверенными, а информация, которую пользователь передает этому ресурсу, скрыта от чужих глаз механизмом шифрования. Такие сайты в сравнении с теми, что используют протокол незащищенного обмена данными HTTP, легко узнать по букве «S» в URL-адресе сайта и изображению замка в адресной строке браузера. 

«Большинство пользователей зачастую даже не замечают, что пользуются TLS-сертификатами, комментирует Игорь Ходюков, директор департамента информационной безопасности и специальных проектов компании МТС. — Сертификаты распространяются максимально незаметно, они предустанавливаются вместе с операционной системой, браузерами и другим ПО».

Когда веб-ресурс лишается сертификата безопасности, он теряет возможность обмениваться с клиентами данными в защищенном режиме.

Интернет-браузеры блокируют пользователям доступ к ним, предупреждая о том, что сертификат недействителен, а соединение недостоверное. Для посещения такого сайта пользователю чаще всего предлагается совершить дополнительные специальные действия: «все равно перейти» предполагается, что таким образом он принимает все риски на себя. 

Минцифры России отреагировало на эту проблему оперативно: был создан Национальный удостоверяющий центр (НУЦ) Минцифры, приняты нормативно-правовые акты, регулирующие его работу. Выдача российских сертификатов безопасности отечественным компаниям владельцам веб-ресурсов и пользователям частным лицам запущена на портале «Госуслуги». В ведомстве прогнозируют, что совсем скоро российские TLS-сертификаты будут внедрены на большинстве ресурсов домена .ru. Одним из первых в стране перевод своих онлайн-сервисов на отечественные TLS-сертификаты начал Сбер. 

Российский сертификат: что это значит для пользователей?

Не только владельцам сайта в Рунете, но и обычным интернет-пользователям нужно готовиться к изменениям. Российские сертификаты безопасности должны поддерживаться обоюдно: не только веб-ресурсом, но и клиентским устройством, с которого осуществляется доступ в сеть. Например, даже из России невозможно попасть на сайт, защищенный российским TLS-сертификатом, через браузеры Opera, Chrome, Safari и другие. 

Что делать? Чтобы продолжать безопасный интернет-серфинг, пользоваться банковскими услугами онлайн, заходить в «Личный кабинет» оператора связи и т. д., гражданам необходимо бесплатно скачать корневой сертификат Минцифры на сайте «Госуслуги» (там есть инструкции по установке сертификата на устройства под Windows, Android, iOS и MacOS) или использовать браузеры, поддерживающие сертификаты Минцифры.

Рекомендации для доступа к сайтам с российскими сертификатами аналогичны как для проживающих в России, так и для зарубежных пользователей. Важно знать, что, устанавливая на свое устройство сертификат безопасности Минцифры, клиент не лишается уже установленных глобальных сертификатов и сможет без проблем заходить на зарубежные интернет-ресурсы. 

«Чтобы избежать проблем с доступом к сайтам, использующим российские сертификаты, проще использовать российские браузеры, например «Атом» или «Яндекс.Браузер». В других браузерах придется установить корневой сертификат, инструкции для пользователей сейчас широко доступны в интернете», добавляет Игорь Ходюков

Сбер: первый опыт использования российских TLS

26 сентября Сбер сообщил, что начал переводить на российские TLS-сертификаты свои сайты, рабочие ресурсы и системы, в том числе главный сайт sberbank.ru и мобильные приложения «СберБанк Онлайн» и «СберБизнес». Компания действовала превентивно: несмотря на то, что сайты Сбера оставались защищенными сертификатами зарубежного удостоверяющего центра (УЦ), никто не давал гарантии, что завтра этот УЦ не прервет их действие. 

«Мы первые в стране начали перевод своих сайтов на сертификаты российских удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к «Личному кабинету» и другим сервисам Сбера. Установка сертификатов это необходимое решение, которое позволяет пользователю установить безопасное соединение между сторонами процесса. В таком случае информация между устройством пользователя и сайтом будет передаваться по защищенному протоколу шифрования HTTPS. А это значит, что полностью отсутствует возможность утечки информации. Ваши данные будут защищены. Уверен, что для многих российских компаний переход на российские сертификаты станет приоритетной задачей», отмечает управляющий директор, начальник управления криптографии, аутентификации и идентификации Сбербанка Алексей Качалин

На сегодняшний день мобильные приложения «СберБанк Онлайн» и «СберБизнес» для iOS и Android уже имеют необходимые встроенные сертификаты.

Сайт sberbank.ru также перешел на сертификат Минцифры, поэтому без отечественного сертификата на устройстве пользователя зайти на него привычным и безопасным способом уже не получится. Клиентами Сбера являются более 100 млн человек. Для них на sberbank.com/ru/certificates опубликованы видеоинструкции по установке сертификатов с «Госуслуг», а также информация о браузерах, поддерживающих сертификаты Минцифры.

Инициатива Сбера это один из первых и на сегодняшний день наиболее масштабных примеров использования отечественных сертификатов безопасности. Компания снова проявляет себя как визионер и первопроходец в области IT, прокладывая дорогу не только организациям финансовой отрасли и своим клиентам, но и всем участникам Рунета. Пользуясь подсказками, скачать корневой сертификат Минцифры можно без труда за пару минут. 

Отечественные сертификаты как необходимое условие безопасности

По мнению министра цифрового развития, связи и массовых коммуникаций Максута Шадаева, перевод веб-ресурсов Сбера на сертификаты НУЦ хороший пример для всего рынка, стимулирующий российские организации к снижению зависимости от зарубежных компаний. Выпуск российских сертификатов безопасности включен правительством России в план первоочередных действий по обеспечению развития российской экономики в условиях внешнего санкционного давления.

Одним словом, отечественные сертификаты критически необходимы для корректной работы банковских приложений и сайтов, дистанционного оказания услуг. Вслед за «первопроходцами», очевидно, на сертификаты Минцифры станут переключаться и другие организации. 

«В вопросе перехода владельцы сайтов, конечно же, ориентируются на исполнение требований по защите информации и в том числе персональных данных. Переход рекомендован для российских организаций критической информационной инфраструктуры, например банковского и телекоммуникационного секторов, комментирует Игорь Ходюков. — Компаниям необходимо учитывать также функциональность сайта, количество и локацию его аудитории, способы информационного обмена с ней. Учитывая текущие риски по отзыву зарубежных сертификатов, приоритетом для многих становится использование российских».

Авторизуйтесь, чтобы оставлять комментарии