Сбер перевёл свой сайт на российский сертификат от Минцифры

Сбер сообщил «Коду Дурова», что его основной сайт переведён на сертификаты, выпущенные Национальным удостоверяющим центром Минцифры.

Переход сайтов, рабочих ресурсов и систем на отечественные TLS сертификаты обеспечит компании независимость от зарубежных удостоверяющих центров и гарантирует безопасный доступ пользователям.

• Соответствующие сертификаты, которые должны быть на устройстве для работы сайта и иных ресурсов Сбера, можно проверить здесь.
• Установить сертификаты можно на портале «Госуслуги», либо же начать пользоваться браузерами с их поддержкой — «Яндекс Браузер» или «Атом» от VK.
• Пользователи, которые пока не установили сертификаты, могут столкнуться с предупреждением о небезопасности сайта Сбера или его блокировкой браузером.

Ранее президент, председатель правления Сбербанка Герман Греф заявлял, что на российские сертификаты перейдут и остальные сайты, ресурсы и системы Сбера.

Что не так с сертификатами от Минцифры?

Руководитель Ассоциации участников рынка данных Иван Бегтин в своём Telegram-канале заявил, что «вся эта история очень плохая». Он напомнил, что сертификаты призваны обеспечивать защищённый канал связи между пользователем и сервером.

Корневой сертификат же необходим, чтобы браузеры и другое ПО не выдавали ошибки при попытках связи с серверами, которые используют сертификаты, выпущенные удостоверяющими центрами.

По его словам, удостоверяющие центры проходят определённую сертификацию для того, чтобы обеспечить это доверие:

Число таких корневых сертификатов в Windows, macOS, iOS и Android ограничено, и то, что там за все эти годы не появилось российского корневого УЦ, должно только настораживать, — считает руководитель Ассоциации участников рынка данных.

Бегтин считает, что доверенными может стать не только сертификат Сбера после добавления корневого сертификата в доверенные. В этом случае может быть выпущен сертификат, при помощи которого можно «перехватывать трафик к HTTPS-сайтам», например, правоохранительными органами:

Власти Казахстана пытались навязать госсертификат в декабре 2020 года (легко гуглится), но всё это провалилось в итоге. А здесь даже принуждения нет, вернее оно через принуждение сервисом: хочешь Сбербанк — ставь сертификат.

Иван Бегтин порекомендовал устанавливать сертификат на отдельное, редко используемое устройство. Вместо этого также можно установить его на виртуальную ОС, которая тоже используется редко, — при этом данная ОС должна устанавливаться не на основное устройство.

Кроме того, руководитель Ассоциации участников рынка считает, что в противном случае можно просто перестать использовать сервисы, которые такие сертификаты будут навязывать.