Сайт Сбербанка перестал открываться в Safari и других браузерах. В чём дело
В закладки
Вчера Сбер объявил о том, что переводит официальный сайт Сбербанка на российский сертификат безопасности, который выпустило Минцифры.
Сегодня сайт уже стал недоступен для многих пользователей. Без дополнительной установки специального сертификата Chrome, Opera и Firefox сообщают, что сайт может использоваться мошенниками, но предлагают обойти этот запрет на свой страх и риск. Safari выдает ошибку и ни при каких условиях не загружает главную страницу банка. При этом Сбербанк Онлайн работает без ограничений.
Чтобы избежать ошибки, можно вручную установить сертификат Минцифры, это занимает меньше минуты. Либо можно загрузить Яндекс Браузер, в который уже встроен сертификат.
В закладки
Артём Баусов
Главный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. Telegram: @TemaBausov
�� Читайте также . Всё по теме
Apple обновила интерфейс веб-версии iCloud и добавила новые функции
Apple хотела выкупить поисковую систему Bing у Microsoft в 2020 году
Пользователи жалуются, что их пауэрбанки не заряжают iPhone 15
В Москве парень уронил iPhone 13 Pro на пути метро. Достать не смогли, просто лежит
Вышла публичная бета iOS 17.1
В сервисе видеоконференций SberJazz появился корпоративный мессенджер
Обзор SaluteBot от Сбера. Мы проверили, можно ли заменить им службу поддержки
Теперь бизнес может подключить нейросеть GigaChat к своему боту для общения с клиентами
�� Комментарии 34
Установи сертификат вручную, вместе с mitm)) Хорошая попытка, но нет))))
@? , а простой обыватель может пользоваться девайсом так, чтобы не лезть в эти дебри настроек и правки всяких файлов конфигураций? Вообще-то Ифоны берут чтоб достать девайс из коробки и тупо звонить, интернетить и соцсетить…
Или ифон теряет главное преимущество перед андроидодевайсами и превращается в игрушку для гиков. 🙁
@Drju2012 , а причём тут Apple и iPhone? Все вопросы к Сберу и Минцифры. Ну и главковерху, естественно.
@Drju2012 , какой тупенький раб, ох
Эпол очень красиво прощается с россией. Почти как презентация айфона, так же захватывающее.
@id271093362 , причем тут эпл?
@mrpsycho , да эпол никогда непричем. во всем виноваты кривозубые крестьяне.
@id271093362 , эпол к сертификатам не имеет никакого отношения. Вопросы к корневым удостоверяющим центрам
А что случилось?
@Dmitriy , когда тебя забанят?
@Dmitriy , наказываем супостата, а для безопасности вводим сертификаты.
у меня открывается, причем сертификат показывается от глобалсайна, он годен до 25 января 2023 года. пока не очень понятно кому и по каким причинам показывается гостовский сертификат, а кому нормальный.
@bigscrap , а что значит нормальный? Я бы так не называл сертификаты выданные иностранными компаниями контролируемые их же правительствами, в условиях санкций могут без причин отозвать свои серты в любой момент и все сайты с ними тупо перестанут быть надежными.
Я вообще не понимаю как можно было все это время ключевые рос сайты подписывать иностранным сертом?
Это же все яйца в одну корзину.
@iGitlin , центры сертификации иностранных компаний не регулируются иностранными правительствами так же, как это происходит в России, где закон ничего не значит. Они, в самом деле, могут быть обязаны действовать иначе в случае санкций. Однако санкции в отношении российского сегмента интернета бессмысленны и даже не обсуждались. Сертификаты же, которые выдаются государством, при этом государством неправовым, имеющим полицейский режим, лишают https протокол какой-либо надежности, так как могут в быть подменены и использованы для слежения и перехвата. Можно узнать больше про это, прочитав про аналогичный недавний опыт Казахстана. Под предлогом безопасности от «угроз Запада» россиянам предлагают новый способ контроля за их жизнью.
@Grigory S , а частных якобы не контролируемых серт центрах такого не может быть прям в принципе и никакой их мистер майор не может прийти и сказать что делать?
Я в их дерьмократию не верю – они показали себя в полной красе когда у меня у частника без причин только по нац признаку взяли и заморозили продлённый и оплаченный серт на DV даже не на мой сайт а на сервер ftp для обмена с клиентами – достало каждые 3 месяца через летс стёрты обновлять.
А на счёт государства – это какое же не правомерное?
Можно ли узнать какое не полицейское государство ? США наверное ? И доводы есть?
Я вот пока обратное вижу – убийства мирных в Ираке, Югославии, Сирии, Ливии, не делает США правомерным и мирным не полицейским.
Но им то можно они же боги типа.
@iGitlin , “якобы не контролируемых серт центрах такого не может быть прям в принципе”
На самом деле принципиально – может. И даже в своё время пару контор попалось на самовольном выпуске сертификатов, больше к ним за “удостоверением” не ходят. Только вот для минимизации площади такой атаки (не важно УЦ – упыри, или их хакнули) появилось Certificate Transparency, к участию к которому подключились самые крупные. CT – публичный лог генерируемый автоматически. Для всех выпущенных-отозванных сертификатов чтобы упростить контроль за подробным. Будет у госсертификата такое?
Это сайт Сбербанка или мошенники? Объясняем, стоит ли ставить сертификат безопасности
С прошлого года при заходе на сайт Сбербанка большинство пользователей стали видеть предупреждение о небезопасности, в тоне: «Осторожно, у вас могут украсть деньги». Сам Сбер в качестве решения проблемы предлагает установку сертификатов Минцифры (которые иностранные браузеры считают небезопасными). Что это все значит и насколько безопасно пользоваться сайтом Сбербанка с такими сертификатами?
Что случилось с сайтом Сбера
«Подключение не защищено. Не сообщайте этому сайту конфиденциальную информацию. Например, пароли и номера банковских карт. К ней могут получить доступ злоумышленники». Такой формулировкой описывает сайт sberbank.ru самый популярный в интернете браузер Chrome. Но ведь мы на сайт Сбербанка заходим именно чтобы ввести пароль и данные карт! Поэтому предупреждение звучит крайне угрожающе. Так в чем же дело?
Немного краткой теории. Соединения с сайтами бывают двух основных видов: защищенное (начинается на https, см. в адресной строке) и незащищенное (начинается на http). Разница между ними простая: в первом случае данные шифруются, во втором — нет. Чем это грозит на практике?
Допустим, вы в кафе подключились к открытому Wi-Fi. Рядом сидит злоумышленник, который ловит ваш трафик — все то, чем вы обмениваетесь с интернетом (в случае с открытым Wi-Fi с этим справится и школьник). Что он увидит, если соединение зашифровано? Ничего. Максимум — IP-адреса сайтов. Но что вы там передаете и что смотрите, останется для него загадкой. Причем заглянуть в ваш трафик не сможет даже ваш провайдер. Куда трафик идет — видно, а что там внутри — нет.
Если же соединение не зашифровано, то злоумышленник будет видеть весь ваш трафик с этим сайтом как на ладони. И провайдер тоже.
Конечно, если точка доступа Wi-Fi закрытая (а значит, соединение само по себе закрыто от злоумышленника за соседним столиком) или вы вообще подключены по проводу, вероятность того, что провайдер будет лезть в ваш трафик и искать там пароли, крайне мала. Но гарантии безопасности уже нет. О чем браузер и предупреждает.
Но почему сайт Сбера отказался от защищенного соединения? Все дело снова в санкциях. Для шифрования трафика сайт должен иметь специальную вещь — сертификат безопасности. Это такой цифровой паспорт, который подтверждает, что трафик идет именно с того сайта, который вы запрашивали. Ваш браузер отправляет запрос: «Это точно сайт Сбера?» Тот отвечает: «Да, я точно сайт Сбера, вот мой пасп… сертификат!»
Но сертификаты (как и паспорта) не выдает кто попало. Это делают специальные удостоверяющие центры — аналоги паспортных столов. И в каждом устройстве/браузере зашит список центров, которым устройство/браузер доверяет. То есть наличие сертификата в конечном счете означает, что удостоверяющий центр, которому можно доверять, гарантирует: это тот самый сайт.
Вот тут и появилась проблема для попавшего под санкции госбанка. Доверенные удостоверяющие центры сплошь иностранные, да еще и из стран, которые российские власти называют недружественными. Отечественный сертификат Минцифры планировали включить в список доверенных, да не успели.
«Иностранные центры отказываются выдавать новые/продлевать старые SSL-сертификаты. Из „неприятности“ это превращается в реальную проблему. Срок действия многих ранее выданных сертификатов начинает истекать, и соединение перестает быть безопасным», — объясняет заместитель директора компании «Цифроматика» Артур Батуллин.
Сертификат Минцифры: спасение или новая опасность
Хотя… Выход, говорят госбанкиры, есть! Достаточно вручную указать устройству, что сертификату Минцифры можно доверять — и защищенное соединение снова заработает. Это называется «установка корневого сертификата», и именно это предлагает Сбер.
Однако если начать устанавливать корневой сертификат по инструкции, можно увидеть еще одно предупреждение безопасности. Это еще что?
Дело в том, что установка корневого сертификата в систему — это очень ответственный шаг, почти как вступление в брак. Вы даете разрешение сертификату подтверждать вообще всё. И это создает теоретическую возможность для расшифровки вашего трафика даже на сайтах, которые используют любые другие сертификаты.
Дмитрий Кузеванов, технический директор компании «Азбука Вкуса»:
— Важно понимать, что владелец корневого сертификата, которому вы доверяете, способен выпустить любой сертификат на имя любого сайта, и ваше устройство будет ему доверять и не выдавать никаких предупреждений.
И вот в этом моменте возможно злоупотребление — выпуск сертификата-двойника без ведома владельца ресурса и дальнейшее его использование в атаке «man-in-the-middle». Атакующий получает доступ для просмотра расшифрованного трафика между пользователем и сайтом, который может содержать: логины или пароли, тексты комментариев, любую другую конфиденциальную информацию.
Атака довольно сложная и, естественно, незаконная: для нее требуется, чтобы сам удостоверяющий центр Минцифры вдруг выдал поддельный сертификат для нужного сайта. Иначе не получится.
Дмитрий Гачко, основатель ГК ITglobal.com:
— Понятно, что можно злоупотребить, выдав сертификат, например, для YouTube, и ваш браузер не будет об этом сигнализировать, но злоупотребить может и любой другой из существующих владельцев корневых сертификатов. Пойдет ли кто-то на такой шаг и по какой причине — вот в чем вопрос.
Трафик с сайтов, которые используют сертификаты от Минцифры, расшифровать проще — надо только получить в этом поддержку самого Минцифры.
Как наиболее безопасно открыть сайт Сбера
Так что же делать-то? Не установишь сертификат Минцифры — соединение с сайтом Сбера станет небезопасным. Установишь — безопасность соединений с другими сайтами может нарушиться. Выход — использовать российский браузер, который сам по себе доверяет отечественным сертификатам. Нам известно о двух таких — «Яндекс.Браузер» от одноименной компании и «Атом» от VK.
Владимир Пузанов, директор бренда BQ:
— Глобально устанавливать любые корневые сертификаты небезопасно, независимо от страны происхождения. При этом национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации). Если пользователь пользуется российскими браузерами, то дополнительно ничего устанавливать нет необходимости.
При этом разработчики «Яндекс.Браузера» уверяют, что допускают использование сертификата Минцифры только на сайтах из специального списка. То есть если «Яндекс.Браузер» увидит, что сертификатом Минцифры подписан, например, Google, то он все равно такой подписи доверять не станет. Можно просто использовать «Яндекс.Браузер» или «Атом» только на сайтах, которые подписаны Минцифрой, если сомневаетесь в этих российских разработках.
А вот перед владельцами iPhone дилеммы вообще не стоит: из-за ограничений системы у них браузеры могут доверять только корневым сертификатам из самой iOS. Так что вариант с российским браузером тут не поможет. Либо устанавливать корневой сертификат для Сбера в систему и учитывать все риски, либо пользоваться небезопасным соединением с онлайн-банком (и тоже учитывать все риски).
Основной сайт «Сбера» работает по http или блокируется многими браузерами без отечественного TLS-сертификата в системе
После перевода на российские TLS-сертификаты основной сайт «Сбера» (sberbank.ru) открывается по http или блокируется иностранными браузерами как небезопасное подключение на ПК и смартфонах без установленного сертификата Russian Trusted Root CA в системе. В «Яндекс Браузере» или в браузере «Атом» сайт «Сбера» открывается в защищённом режиме по https.
Ошибка при попытке открыть сайт «Сбера» в Chrome.
26 сентября «Сбер» сообщил, что основной сайт финансовой организации (sberbank.ru) переводится на российские TLS-сертификаты.
«Сбер» предупредил, что пользователи, которые пока не установили российские TLS-сертификаты, могут столкнуться с предупреждением о небезопасности сайта «Сбера» или его блокировкой браузером.
«Переход сайтов, рабочих ресурсов и систем „Сбера“ на отечественные TLS-сертификаты обеспечит нам независимость от зарубежных удостоверяющих центров и гарантирует безопасный доступ пользователям.
Проверить, есть ли на вашем устройстве необходимые сертификаты, можно здесь.
Если сертификатов нет, рекомендуем установить их для доступа к онлайн-ресурсам „Сбера“. Это можно сделать двумя способами — либо скачать сертификаты на портале «Госуслуги», либо начать пользоваться браузером (»Яндекс Браузер» или «Атом»), который поддерживает сертификаты Минцифры»,
Представители отрасли считают, это произошло из-за того, что регистратор и провайдер GlobalSign по причине наложенных на «Сбер» санкций отказывается продлевать с компанией ранее заключённые договоры, а бесплатные сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним политикам безопасности компании.
Эксперты «Роскомсвободы» считают, что установка российских TLS-сертификатов создаёт серьёзную угрозу пользователям, так как они не признаются ни одним современным иностранным браузером, а их установка в системе открывает «окно» для утечки данных и слежки за действиями пользователей в сети. Подобное уже было в Казахстане, но разработчики иностранных браузеров заблокировали такие попытки.
По их мнению, единственный способ обезопасить себя в этой ситуации — это установить «Яндекс Браузер» на отдельный смартфон, чтобы пользоваться им только для действий на российских сайтах. Этот же смартфон можно использовать для мобильного банкинга, если приложения «Сбера» перестанут работать штатно. Хотя «Сбер» заверяет, что его мобильные приложения уже имеют встроенные российские сертификаты.
19 сентября Минцифры сообщило, что на портале «Госуслуги» опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность российских сайтов в любом браузере пользователям всех операционных систем (сертификат Russian Trusted Root CA).
17 сентября «Сбер» пояснил, что скоро только российские сертификаты обеспечат защищённый доступ к сайтам и онлайн-сервисам «Сбера» с любых устройств пользователей. Для этого нужно или использовать браузеры с поддержкой российских сертификатов («Яндекс Браузер» или «Атом») или установить сертификаты для своей операционной системы.
«Сбер» предупредил, что скоро большинство сайтов в рунете перейдут на российские TLS-сертификаты и пользователям всё равно придётся выбирать: установить корневой сертификат Russian Trusted Root CA или использовать «Яндекс Браузер».
Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
Команда «Яндекс Браузера» ранее рассказала, что применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
15 сентября Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK. Также можно установить в системе сертификат Национального удостоверяющего центра Минцифры России — Russian Trusted Root CA.cer.
В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».
В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.
Для ознакомления с проблемой установки и работой корневого сертификата Russian Trusted Root CA есть пять публикаций на Хабре по этой ситуации:
1. «Суверенный, сувенирный, самопровозглашенный».
2. «Импортозамещение центров сертификации».
3. Про поддержку Certificate Transparency для национальных сертификатов.
4. Про поддержку сайтов с национальными сертификатами в «Яндекс Браузере».
5. Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана.
С тем, как это работает у «Яндекса», можно ознакомиться на GitHub. Сертификат хранится в собственном хранилище, но похоже был добавлен только в Windows сборку браузера.
Пояснение №1 от «Сбера» по этой ситуации: Мы первые в стране начали перевод своих сайтов на российские сертификаты удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к личному кабинету и другим сервисам «Сбера». Объясняем. Сайты должны иметь сертификат удостоверяющего центра, чтобы гарантировать пользователем бесперебойный и безопасный доступ. Раньше такие «документы» выдавали только иностранные компании, но недавно появилась возможность установить сертификат, созданный Минцифры РФ.
Пояснение №2 от «Сбера» по этой ситуации для Хабра: При установке сертификатов безопасности Национального удостоверяющего центра (НУЦ) Минцифры на устройства пользователей сервисы и ресурсы «Сбера» будут доступны в различных, в том числе наиболее популярных браузерах (Safari, Google Chrome, EDGE, Firefox и др.) на различных операционных системах, что подтверждается заранее проведённым тестированием «Сбера».
Пояснение Минцифры по этой ситуации: В марте зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. При попытке зайти на сайт пользователи видели предупреждение о небезопасности ресурса. Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам.
Как зайти в Сбербанк Онлайн, Госуслуги и другие российские сайты при ошибке «Подключение к сайту не защищено»
Пользователи СберБанка, Госуслуг и других российских сервисов могут сталкиваться с проблемами с доступом к личному кабинету, интернет-банкингу или официальным сайтам сервисов. Это связано с тем, что с сентября 2022 года российские сайты начали переходить на отечественные сертификаты безопасности, вместо ранее использовавшихся зарубежных.
Например, при попытке зайти в СберБанк Онлайн могут появляться сообщения «Подключение к сайту sberbank.ru не защищено», «Это подключение не защищено» или «NET::ERR_CERT_AUTHORITY_INVALID».
Так как скоро сертификаты Национального удостоверяющего центра Минцифры России будут внедрены на большинство российских сайтов, необходимо уже сейчас установить эти сертификаты в вашу систему или использовать российский интернет-браузер.
Используйте российский интернет-браузер
Для беспроблемного доступа сайту Госуслуги, СберБанк Онлайн и всем другим российским сервисам, используйте российский интернет-браузер, который уже включает необходимые сертификата для работы с отечественными сайтами. Вы можете установить любой из двух российских браузеров – Яндекс.Браузер или Atom.
Яндекс.Браузер – многофункциональный и безопасный интернет-браузер на движке Chromium. Включает защищенный режим для интернет-банкинга и онлайн-покупок, защиту от мошенничества и опасных веб-сайтов, а также обеспечивает безопасный обмен данными между пользователем и сайтом.
Яндекс.Браузер доступен для компьютеров и ноутбуков под управлением Windows, macOS и Linux, а также мобильных устройств под управлением Android, iOS, iPadOS и HarmonyOS.
Скачать Яндекс.Браузер
Браузер Atom – быстрый и безопасный интернет-браузер на базе Chromium от Mail.ru. Браузер оптимизирован для работы с сервисами Mail.ru и ВКонтакте, а также имеет встроенные российские сертификаты для работы с отечественными сайтами и сервисами.
Браузер Атом доступен для компьютеров и ноутбуков под управлением Windows, а также мобильных устройств под управлением Android и HarmonyOS
Скачать Браузер Atom
Установите в систему российские сертификаты
Российские TLS-сертификаты Russian Trusted Root CA необходимы для защищённого доступа к российским сайтам и онлайн-сервисам, их корректной работы и шифрования трафика между сайтом и браузером. Эти сертификаты, выпущенные Национальным удостоверяющим центром Минцифры России, обеспечивают защищенный доступ к сайтам Госуслуг, СберБанк Онлайн и другим российским сервисам с любых устройств.