Как зайти в Сбербанк Онлайн, Госуслуги и другие российские сайты при ошибке «Подключение к сайту не защищено»
Пользователи СберБанка, Госуслуг и других российских сервисов могут сталкиваться с проблемами с доступом к личному кабинету, интернет-банкингу или официальным сайтам сервисов. Это связано с тем, что с сентября 2022 года российские сайты начали переходить на отечественные сертификаты безопасности, вместо ранее использовавшихся зарубежных.
Например, при попытке зайти в СберБанк Онлайн могут появляться сообщения «Подключение к сайту sberbank.ru не защищено», «Это подключение не защищено» или «NET::ERR_CERT_AUTHORITY_INVALID».
Так как скоро сертификаты Национального удостоверяющего центра Минцифры России будут внедрены на большинство российских сайтов, необходимо уже сейчас установить эти сертификаты в вашу систему или использовать российский интернет-браузер.
Используйте российский интернет-браузер
Для беспроблемного доступа сайту Госуслуги, СберБанк Онлайн и всем другим российским сервисам, используйте российский интернет-браузер, который уже включает необходимые сертификата для работы с отечественными сайтами. Вы можете установить любой из двух российских браузеров – Яндекс.Браузер или Atom.
Яндекс.Браузер – многофункциональный и безопасный интернет-браузер на движке Chromium. Включает защищенный режим для интернет-банкинга и онлайн-покупок, защиту от мошенничества и опасных веб-сайтов, а также обеспечивает безопасный обмен данными между пользователем и сайтом.
Яндекс.Браузер доступен для компьютеров и ноутбуков под управлением Windows, macOS и Linux, а также мобильных устройств под управлением Android, iOS, iPadOS и HarmonyOS.
Скачать Яндекс.Браузер
Браузер Atom – быстрый и безопасный интернет-браузер на базе Chromium от Mail.ru. Браузер оптимизирован для работы с сервисами Mail.ru и ВКонтакте, а также имеет встроенные российские сертификаты для работы с отечественными сайтами и сервисами.
Браузер Атом доступен для компьютеров и ноутбуков под управлением Windows, а также мобильных устройств под управлением Android и HarmonyOS
Скачать Браузер Atom
Установите в систему российские сертификаты
Российские TLS-сертификаты Russian Trusted Root CA необходимы для защищённого доступа к российским сайтам и онлайн-сервисам, их корректной работы и шифрования трафика между сайтом и браузером. Эти сертификаты, выпущенные Национальным удостоверяющим центром Минцифры России, обеспечивают защищенный доступ к сайтам Госуслуг, СберБанк Онлайн и другим российским сервисам с любых устройств.
Это сайт Сбербанка или мошенники? Объясняем, стоит ли ставить сертификат безопасности
С прошлого года при заходе на сайт Сбербанка большинство пользователей стали видеть предупреждение о небезопасности, в тоне: «Осторожно, у вас могут украсть деньги». Сам Сбер в качестве решения проблемы предлагает установку сертификатов Минцифры (которые иностранные браузеры считают небезопасными). Что это все значит и насколько безопасно пользоваться сайтом Сбербанка с такими сертификатами?
Что случилось с сайтом Сбера
«Подключение не защищено. Не сообщайте этому сайту конфиденциальную информацию. Например, пароли и номера банковских карт. К ней могут получить доступ злоумышленники». Такой формулировкой описывает сайт sberbank.ru самый популярный в интернете браузер Chrome. Но ведь мы на сайт Сбербанка заходим именно чтобы ввести пароль и данные карт! Поэтому предупреждение звучит крайне угрожающе. Так в чем же дело?
Немного краткой теории. Соединения с сайтами бывают двух основных видов: защищенное (начинается на https, см. в адресной строке) и незащищенное (начинается на http). Разница между ними простая: в первом случае данные шифруются, во втором — нет. Чем это грозит на практике?
Допустим, вы в кафе подключились к открытому Wi-Fi. Рядом сидит злоумышленник, который ловит ваш трафик — все то, чем вы обмениваетесь с интернетом (в случае с открытым Wi-Fi с этим справится и школьник). Что он увидит, если соединение зашифровано? Ничего. Максимум — IP-адреса сайтов. Но что вы там передаете и что смотрите, останется для него загадкой. Причем заглянуть в ваш трафик не сможет даже ваш провайдер. Куда трафик идет — видно, а что там внутри — нет.
Если же соединение не зашифровано, то злоумышленник будет видеть весь ваш трафик с этим сайтом как на ладони. И провайдер тоже.
Конечно, если точка доступа Wi-Fi закрытая (а значит, соединение само по себе закрыто от злоумышленника за соседним столиком) или вы вообще подключены по проводу, вероятность того, что провайдер будет лезть в ваш трафик и искать там пароли, крайне мала. Но гарантии безопасности уже нет. О чем браузер и предупреждает.
Но почему сайт Сбера отказался от защищенного соединения? Все дело снова в санкциях. Для шифрования трафика сайт должен иметь специальную вещь — сертификат безопасности. Это такой цифровой паспорт, который подтверждает, что трафик идет именно с того сайта, который вы запрашивали. Ваш браузер отправляет запрос: «Это точно сайт Сбера?» Тот отвечает: «Да, я точно сайт Сбера, вот мой пасп… сертификат!»
Но сертификаты (как и паспорта) не выдает кто попало. Это делают специальные удостоверяющие центры — аналоги паспортных столов. И в каждом устройстве/браузере зашит список центров, которым устройство/браузер доверяет. То есть наличие сертификата в конечном счете означает, что удостоверяющий центр, которому можно доверять, гарантирует: это тот самый сайт.
Вот тут и появилась проблема для попавшего под санкции госбанка. Доверенные удостоверяющие центры сплошь иностранные, да еще и из стран, которые российские власти называют недружественными. Отечественный сертификат Минцифры планировали включить в список доверенных, да не успели.
«Иностранные центры отказываются выдавать новые/продлевать старые SSL-сертификаты. Из „неприятности“ это превращается в реальную проблему. Срок действия многих ранее выданных сертификатов начинает истекать, и соединение перестает быть безопасным», — объясняет заместитель директора компании «Цифроматика» Артур Батуллин.
Сертификат Минцифры: спасение или новая опасность
Хотя… Выход, говорят госбанкиры, есть! Достаточно вручную указать устройству, что сертификату Минцифры можно доверять — и защищенное соединение снова заработает. Это называется «установка корневого сертификата», и именно это предлагает Сбер.
Однако если начать устанавливать корневой сертификат по инструкции, можно увидеть еще одно предупреждение безопасности. Это еще что?
Дело в том, что установка корневого сертификата в систему — это очень ответственный шаг, почти как вступление в брак. Вы даете разрешение сертификату подтверждать вообще всё. И это создает теоретическую возможность для расшифровки вашего трафика даже на сайтах, которые используют любые другие сертификаты.
Дмитрий Кузеванов, технический директор компании «Азбука Вкуса»:
— Важно понимать, что владелец корневого сертификата, которому вы доверяете, способен выпустить любой сертификат на имя любого сайта, и ваше устройство будет ему доверять и не выдавать никаких предупреждений.
И вот в этом моменте возможно злоупотребление — выпуск сертификата-двойника без ведома владельца ресурса и дальнейшее его использование в атаке «man-in-the-middle». Атакующий получает доступ для просмотра расшифрованного трафика между пользователем и сайтом, который может содержать: логины или пароли, тексты комментариев, любую другую конфиденциальную информацию.
Атака довольно сложная и, естественно, незаконная: для нее требуется, чтобы сам удостоверяющий центр Минцифры вдруг выдал поддельный сертификат для нужного сайта. Иначе не получится.
Дмитрий Гачко, основатель ГК ITglobal.com:
— Понятно, что можно злоупотребить, выдав сертификат, например, для YouTube, и ваш браузер не будет об этом сигнализировать, но злоупотребить может и любой другой из существующих владельцев корневых сертификатов. Пойдет ли кто-то на такой шаг и по какой причине — вот в чем вопрос.
Трафик с сайтов, которые используют сертификаты от Минцифры, расшифровать проще — надо только получить в этом поддержку самого Минцифры.
Как наиболее безопасно открыть сайт Сбера
Так что же делать-то? Не установишь сертификат Минцифры — соединение с сайтом Сбера станет небезопасным. Установишь — безопасность соединений с другими сайтами может нарушиться. Выход — использовать российский браузер, который сам по себе доверяет отечественным сертификатам. Нам известно о двух таких — «Яндекс.Браузер» от одноименной компании и «Атом» от VK.
Владимир Пузанов, директор бренда BQ:
— Глобально устанавливать любые корневые сертификаты небезопасно, независимо от страны происхождения. При этом национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации). Если пользователь пользуется российскими браузерами, то дополнительно ничего устанавливать нет необходимости.
При этом разработчики «Яндекс.Браузера» уверяют, что допускают использование сертификата Минцифры только на сайтах из специального списка. То есть если «Яндекс.Браузер» увидит, что сертификатом Минцифры подписан, например, Google, то он все равно такой подписи доверять не станет. Можно просто использовать «Яндекс.Браузер» или «Атом» только на сайтах, которые подписаны Минцифрой, если сомневаетесь в этих российских разработках.
А вот перед владельцами iPhone дилеммы вообще не стоит: из-за ограничений системы у них браузеры могут доверять только корневым сертификатам из самой iOS. Так что вариант с российским браузером тут не поможет. Либо устанавливать корневой сертификат для Сбера в систему и учитывать все риски, либо пользоваться небезопасным соединением с онлайн-банком (и тоже учитывать все риски).
Основной сайт «Сбера» работает по http или блокируется многими браузерами без отечественного TLS-сертификата в системе
После перевода на российские TLS-сертификаты основной сайт «Сбера» (sberbank.ru) открывается по http или блокируется иностранными браузерами как небезопасное подключение на ПК и смартфонах без установленного сертификата Russian Trusted Root CA в системе. В «Яндекс Браузере» или в браузере «Атом» сайт «Сбера» открывается в защищённом режиме по https.
Ошибка при попытке открыть сайт «Сбера» в Chrome.
26 сентября «Сбер» сообщил, что основной сайт финансовой организации (sberbank.ru) переводится на российские TLS-сертификаты.
«Сбер» предупредил, что пользователи, которые пока не установили российские TLS-сертификаты, могут столкнуться с предупреждением о небезопасности сайта «Сбера» или его блокировкой браузером.
«Переход сайтов, рабочих ресурсов и систем „Сбера“ на отечественные TLS-сертификаты обеспечит нам независимость от зарубежных удостоверяющих центров и гарантирует безопасный доступ пользователям.
Проверить, есть ли на вашем устройстве необходимые сертификаты, можно здесь.
Если сертификатов нет, рекомендуем установить их для доступа к онлайн-ресурсам „Сбера“. Это можно сделать двумя способами — либо скачать сертификаты на портале «Госуслуги», либо начать пользоваться браузером (»Яндекс Браузер» или «Атом»), который поддерживает сертификаты Минцифры»,
Представители отрасли считают, это произошло из-за того, что регистратор и провайдер GlobalSign по причине наложенных на «Сбер» санкций отказывается продлевать с компанией ранее заключённые договоры, а бесплатные сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним политикам безопасности компании.
Эксперты «Роскомсвободы» считают, что установка российских TLS-сертификатов создаёт серьёзную угрозу пользователям, так как они не признаются ни одним современным иностранным браузером, а их установка в системе открывает «окно» для утечки данных и слежки за действиями пользователей в сети. Подобное уже было в Казахстане, но разработчики иностранных браузеров заблокировали такие попытки.
По их мнению, единственный способ обезопасить себя в этой ситуации — это установить «Яндекс Браузер» на отдельный смартфон, чтобы пользоваться им только для действий на российских сайтах. Этот же смартфон можно использовать для мобильного банкинга, если приложения «Сбера» перестанут работать штатно. Хотя «Сбер» заверяет, что его мобильные приложения уже имеют встроенные российские сертификаты.
19 сентября Минцифры сообщило, что на портале «Госуслуги» опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность российских сайтов в любом браузере пользователям всех операционных систем (сертификат Russian Trusted Root CA).
17 сентября «Сбер» пояснил, что скоро только российские сертификаты обеспечат защищённый доступ к сайтам и онлайн-сервисам «Сбера» с любых устройств пользователей. Для этого нужно или использовать браузеры с поддержкой российских сертификатов («Яндекс Браузер» или «Атом») или установить сертификаты для своей операционной системы.
«Сбер» предупредил, что скоро большинство сайтов в рунете перейдут на российские TLS-сертификаты и пользователям всё равно придётся выбирать: установить корневой сертификат Russian Trusted Root CA или использовать «Яндекс Браузер».
Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
Команда «Яндекс Браузера» ранее рассказала, что применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
15 сентября Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK. Также можно установить в системе сертификат Национального удостоверяющего центра Минцифры России — Russian Trusted Root CA.cer.
В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».
В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.
Для ознакомления с проблемой установки и работой корневого сертификата Russian Trusted Root CA есть пять публикаций на Хабре по этой ситуации:
1. «Суверенный, сувенирный, самопровозглашенный».
2. «Импортозамещение центров сертификации».
3. Про поддержку Certificate Transparency для национальных сертификатов.
4. Про поддержку сайтов с национальными сертификатами в «Яндекс Браузере».
5. Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана.
С тем, как это работает у «Яндекса», можно ознакомиться на GitHub. Сертификат хранится в собственном хранилище, но похоже был добавлен только в Windows сборку браузера.
Пояснение №1 от «Сбера» по этой ситуации: Мы первые в стране начали перевод своих сайтов на российские сертификаты удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к личному кабинету и другим сервисам «Сбера». Объясняем. Сайты должны иметь сертификат удостоверяющего центра, чтобы гарантировать пользователем бесперебойный и безопасный доступ. Раньше такие «документы» выдавали только иностранные компании, но недавно появилась возможность установить сертификат, созданный Минцифры РФ.
Пояснение №2 от «Сбера» по этой ситуации для Хабра: При установке сертификатов безопасности Национального удостоверяющего центра (НУЦ) Минцифры на устройства пользователей сервисы и ресурсы «Сбера» будут доступны в различных, в том числе наиболее популярных браузерах (Safari, Google Chrome, EDGE, Firefox и др.) на различных операционных системах, что подтверждается заранее проведённым тестированием «Сбера».
Пояснение Минцифры по этой ситуации: В марте зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. При попытке зайти на сайт пользователи видели предупреждение о небезопасности ресурса. Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам.
Сбербанк потерял защиту сайта: насколько это опасно и что делать
Когда дело касается ввода личных или платежных данных, необходимо убедиться, что сайт, на котором вы это делаете, безопасен. Вот с этим на сайте Сбербанка сейчас проблемы, сообщает «Финтолк» и объясняет, в чем дело.
В любой методичке по безопасности в Сети сказано, что важно, чтобы в адресной строке перед именем сайта стоял значок в виде закрытого замочка. Это значит, что соединение с сайтом защищенное (начинается с https) и передаваемые данные на нем шифруются. В противном случае браузер выдает оповещение о том, что сайт небезопасен и никакие важные данные там лучше не вводить. Замочка при этом нет, сайт начинается с http — значит, данные не шифруются. А если соединение не зашифровано, то злоумышленник (и провайдер) может видеть ваш трафик — что вы передаете на сайте и куда. Поэтому браузер на таких сайтах начинает бить тревогу.
Почему у Сбера пропало защищенное соединение? Для него нужен сертификат безопасности, который выдают в основном иностранные удостоверяющие центры. А Сбербанк попал под санкции — вот и защищенного соединения у его сайта теперь нет. Минцифры включить отечественный сертификат в список доверенных не успело.
Как предлагает решить проблему Сбер? Там пользователям предлагают вручную указать устройству, что сертификату Минцифры можно доверять — тогда защита заработает и устройство перестанет возмущаться. Это называется «установка корневого сертификата».
Но если начать устанавливать корневой сертификат по инструкции, снова появляется предупреждение о безопасности, пишет «Финтолк». Как объяснили эксперты, это серьезное вмешательство, которое создает теоретическую возможность для расшифровки вашего трафика даже на других сайтах, которые используют любые другие сертификаты.
Здесь встает вопрос доверия к владельцу корневого сертификата. В данном случае к Минцифры. Дело в том, что владелец может выпустить любой сертификат на имя любого сайта, и ваше устройство будет ему доверять по умолчанию, не предупреждая об опасности.
Другими словами, трафик с сайтов, которые используют сертификаты от Минцифры, расшифровать проще. Однако это возможно лишь при участии самого Минцифры. Надо ли ему это — вопрос.
Как тогда безопасно открыть сайт Сбера? Эксперты «Финтолка» советуют открывать сайты с российскими сертификатами через российские браузеры, поскольку последние доверяют первым, если они используются на определенных сайтах. Например, если «Яндекс.Браузер» увидит сертификат Минцифры на сайте Сбера — вопросов не будет, но если вдруг на сайте Google — выдаст предупреждение. Кроме «Яндекс.Браузера» есть также российский браузер «Атом». Лучше ими открывать сомнительные сайты вроде сберовского.
Для пользователей iOS все немного иначе: системный браузер доверяет только корневым сертификатам из самой iOS. Поэтому владельцам устройств Apple придется либо продолжать пользоваться сайтом банка с небезопасным соединением, либо на свой страх и риск установить в систему корневой сертификат для Сбера.