Основной сайт «Сбера» работает по http или блокируется многими браузерами без отечественного TLS-сертификата в системе
После перевода на российские TLS-сертификаты основной сайт «Сбера» (sberbank.ru) открывается по http или блокируется иностранными браузерами как небезопасное подключение на ПК и смартфонах без установленного сертификата Russian Trusted Root CA в системе. В «Яндекс Браузере» или в браузере «Атом» сайт «Сбера» открывается в защищённом режиме по https.
Ошибка при попытке открыть сайт «Сбера» в Chrome.
26 сентября «Сбер» сообщил, что основной сайт финансовой организации (sberbank.ru) переводится на российские TLS-сертификаты.
«Сбер» предупредил, что пользователи, которые пока не установили российские TLS-сертификаты, могут столкнуться с предупреждением о небезопасности сайта «Сбера» или его блокировкой браузером.
«Переход сайтов, рабочих ресурсов и систем „Сбера“ на отечественные TLS-сертификаты обеспечит нам независимость от зарубежных удостоверяющих центров и гарантирует безопасный доступ пользователям.
Проверить, есть ли на вашем устройстве необходимые сертификаты, можно здесь.
Если сертификатов нет, рекомендуем установить их для доступа к онлайн-ресурсам „Сбера“. Это можно сделать двумя способами — либо скачать сертификаты на портале «Госуслуги», либо начать пользоваться браузером (»Яндекс Браузер» или «Атом»), который поддерживает сертификаты Минцифры»,
Представители отрасли считают, это произошло из-за того, что регистратор и провайдер GlobalSign по причине наложенных на «Сбер» санкций отказывается продлевать с компанией ранее заключённые договоры, а бесплатные сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним политикам безопасности компании.
Эксперты «Роскомсвободы» считают, что установка российских TLS-сертификатов создаёт серьёзную угрозу пользователям, так как они не признаются ни одним современным иностранным браузером, а их установка в системе открывает «окно» для утечки данных и слежки за действиями пользователей в сети. Подобное уже было в Казахстане, но разработчики иностранных браузеров заблокировали такие попытки.
По их мнению, единственный способ обезопасить себя в этой ситуации — это установить «Яндекс Браузер» на отдельный смартфон, чтобы пользоваться им только для действий на российских сайтах. Этот же смартфон можно использовать для мобильного банкинга, если приложения «Сбера» перестанут работать штатно. Хотя «Сбер» заверяет, что его мобильные приложения уже имеют встроенные российские сертификаты.
19 сентября Минцифры сообщило, что на портале «Госуслуги» опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность российских сайтов в любом браузере пользователям всех операционных систем (сертификат Russian Trusted Root CA).
17 сентября «Сбер» пояснил, что скоро только российские сертификаты обеспечат защищённый доступ к сайтам и онлайн-сервисам «Сбера» с любых устройств пользователей. Для этого нужно или использовать браузеры с поддержкой российских сертификатов («Яндекс Браузер» или «Атом») или установить сертификаты для своей операционной системы.
«Сбер» предупредил, что скоро большинство сайтов в рунете перейдут на российские TLS-сертификаты и пользователям всё равно придётся выбирать: установить корневой сертификат Russian Trusted Root CA или использовать «Яндекс Браузер».
Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
Команда «Яндекс Браузера» ранее рассказала, что применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
15 сентября Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK. Также можно установить в системе сертификат Национального удостоверяющего центра Минцифры России — Russian Trusted Root CA.cer.
В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».
В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.
Для ознакомления с проблемой установки и работой корневого сертификата Russian Trusted Root CA есть пять публикаций на Хабре по этой ситуации:
1. «Суверенный, сувенирный, самопровозглашенный».
2. «Импортозамещение центров сертификации».
3. Про поддержку Certificate Transparency для национальных сертификатов.
4. Про поддержку сайтов с национальными сертификатами в «Яндекс Браузере».
5. Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана.
С тем, как это работает у «Яндекса», можно ознакомиться на GitHub. Сертификат хранится в собственном хранилище, но похоже был добавлен только в Windows сборку браузера.
Пояснение №1 от «Сбера» по этой ситуации: Мы первые в стране начали перевод своих сайтов на российские сертификаты удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к личному кабинету и другим сервисам «Сбера». Объясняем. Сайты должны иметь сертификат удостоверяющего центра, чтобы гарантировать пользователем бесперебойный и безопасный доступ. Раньше такие «документы» выдавали только иностранные компании, но недавно появилась возможность установить сертификат, созданный Минцифры РФ.
Пояснение №2 от «Сбера» по этой ситуации для Хабра: При установке сертификатов безопасности Национального удостоверяющего центра (НУЦ) Минцифры на устройства пользователей сервисы и ресурсы «Сбера» будут доступны в различных, в том числе наиболее популярных браузерах (Safari, Google Chrome, EDGE, Firefox и др.) на различных операционных системах, что подтверждается заранее проведённым тестированием «Сбера».
Пояснение Минцифры по этой ситуации: В марте зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. При попытке зайти на сайт пользователи видели предупреждение о небезопасности ресурса. Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам.
Сбербанк приобрёл доменное имя Sber.com
По данным WHOIS, c 5 октября с. г. домен Sber.com принадлежит Сбербанку. Этим доменным именем ранее владела существовавшая с 1974 года американская строительная компания Struever Bros., Eccles & Rouse – название и составляло аббревиатуру SBER, но данная компания стала жертвой кризиса 2008-2009 гг. и закрылась.
История WHOIS свидетельствует, что доменным именем в течение последующих лет продолжал владеть один из основателей закрывшейся компании – Коббер Экклз (Cobber Eccles). В настоящее время он занимает руководящую должность в другой строительной компании, Cross Street Partners, дела у которой идут довольно неплохо.
9 февраля 2017 года Сбербанк подал заявку на регистрацию товарного знака SBER в США, регистрация была получена 1 мая 2018 г.
Решившись на такой шаг до покупки доменного имени, Сбербанк серьёзно ограничил свои возможности для торга в дальнейшем. Сам факт регистрации товарного знака не дает оснований отобрать домен у того, кто владел им ранее, прежний владелец сохраняет полные права на его использование. Но приобретение доменного имени кем-то другим уже почти наверняка станет нарушением со стороны покупателя. То есть, использование посредника, который мог бы притвориться «маленьким и бедным», чтобы сбить цену, после регистрации товарного знака более не представлялось возможным – было бы очевидно, кого на самом деле представляет такой посредник.
Преуспевающий владелец доменного имени, к тому же ветеран бизнеса, прекрасно осознавая масштаб покупателя (№ 47 в списке крупнейших публичных компаний мира от Forbes), наверняка выжал из совершившейся сделки максимум.
Как понять, что вы пользуетесь настоящим Сбербанком — проверка сертификата банка
Некоторые люди не доверяют различным банковским сервисам, переживая, что злоумышленники могут получить личные данные и завладеть деньгами. Действительно, мошенники придумывают всё более изощрённые схемы обмана. Они искусно подделывают сайты, поэтому рядовой пользователь может не задумываясь ввести свои данные на поддельном ресурсе и остаться без денег. Именно поэтому перед входом на сайт Сбербанка нужно внимательно поверить сертификаты безопасности. Рассмотрим, как правильно это сделать.
Страничка может быть поддельной
Мошенники в последнее время стали очень изобретательными. Они могут подделать страницу Сбербанка настолько виртуозно, что сложно будет догадаться, что это ненастоящий сайт. Если пользователь не слишком бдительный, то он вводит в форму логин и пароль, после чего преступники получают данные к его банковским картам и спокойно снимают деньги.
Как проверить оригинальность сайта
Для начала нужно посмотреть на адрес личного кабинета Сбербанка, который выглядит так https://online.sberbank.ru/CSAFront/index.do#/. Если есть какие-то отличия от этого адреса, то от ввода личных данных лучше воздержаться. Далее стоит обратить внимание на такие моменты:
- Открывать личный кабинет рекомендуется через приватную вкладку, так как это намного надёжнее;
- Следует убедиться, что доменное имя имеет характерное окончание ru;
- Необходимо посмотреть, если в начале адреса в строке браузера замочек;
- Чтобы узнать, кому принадлежит сертификат, нужно нажать на замочек.
Если мы нажмём на замочек в адресе Сбербанка Онлайн, то увидим, что находимся на настоящем сайте банка. Здесь можно совершенно безопасно ввести свой логин и пароль.
Не рекомендуется сохранять свои пароли в браузере, так как это очень небезопасно!
Бдительность прежде всего
Если замочка в конце адреса сайта нет, то такой сайт рекомендуется как можно скорее покинуть. Здесь нельзя вводить свои конфиденциальные данные, так как речь, вероятнее всего, идёт о мошенниках.
Стоит знать, что адрес сайта можно очень легко подделать при помощи простых изменений файла hosts. Изменить же сертификат безопасности очень сложно.
Не следует забывать, что даже на домашнем компьютере могут быть вирусы, способные перехватить личные данные и отправить их злоумышленникам. Чтобы этого не произошло, необходимо установить надёжную антивирусную программу и регулярно обновлять её.
Сбербанк купил доменные имена sber.com и sber.ru
По данным WHOIS, c 5 октября с. г. домен Sber.com принадлежит Сбербанку.
Как сообщает vc.ru этим доменным именем ранее владела существовавшая с 1974 года американская строительная компания Struever Bros., Eccles & Rouse – название и составляло аббревиатуру SBER, но данная компания стала жертвой кризиса 2008-2009 гг. и закрылась.
Сбербанк с начала декабря успел зарегистрировать 17 доменов, больше половины которых содержат сочетание sber в названии, свидетельствуют данные сервиса StatOnline. Через свою дочернюю структуру BI.Zone он также перекупает виртуальные адреса у других владельцев и, в частности, приобрел звучное доменное имя sber.ru. Об этом сообщил портал Банки.ру.
Домен sber.ru был зарегистрирован в 2000 году, но этим летом он сменил владельца. Поиск по сервисам отслеживания виртуальных адресов показал, что сейчас домен принадлежит BIZONE LLC. Это официальное английское название «дочки» Сбербанка — ООО «Бизон», свидетельствуют данные «СПАРК-Интерфакс». На рынке компания продвигает себя под брендом BI.Zone.
По оценкам специалистов, стоимость сделки составила 30—40 миллионов рублей.
Такая активность может быть связана с желанием банка отстроить собственную экосистему. Во вторник, 11 декабря, глава Сбербанка Герман Греф не исключил, что из названия кредитной организации может исчезнуть слово «банк». В пресс-службе госбанка не стали комментировать, планируется ли ребрендинг, а также «переезд» на адрес sber.ru.
Кроме того, 9 февраля 2017 года Сбербанк подал заявку на регистрацию товарного знака SBER в США, регистрация была получена 1 мая 2018 г.
Сбербанк озвучил планы по созданию собственной экосистемы в конце 2017 года. Согласно его стратегии, госбанк должен превратиться в универсальную технологическую компанию к 2020 году. Некоторые шаги в этом направлении уже сделаны.
В мае 2017 года Сбербанк приобрел 80% медицинского онлайн-сервиса DocDoc. В апреле 2018-го госбанк закрыл сделку с «Яндексом» по созданию совместного маркетплейса «Беру», который позволяет приобретать товары в Сети. А в сентябре кредитная организация перевела в индустриальный режим свой проект «СберМобайл». Это виртуальный оператор мобильной связи на базе Tele2.