«Сбер» переведёт платёжный шлюз на российские TLS-сертификаты с 30 января 2023 года
«Сбер» сообщил корпоративным клиентам, что с 30 января 2023 года переведёт свой платёжный шлюз на российские TLS-сертификаты, выпущенные Национальным удостоверяющим центром (НУЦ) Минцифры РФ.
«Сбер» назначил дату перехода на 30 января 2023 года. Ранее банк предупреждал клиентов, что переход запланирован на февраль этого года.
Разработчикам и администраторам интернет-магазинов и веб-сервисов необходимо до конца января добавить на рабочие серверы корневой сертификат Минцифры для продолжения корректной работы с API банка, а также проверить его работу. Для тех разработчиков, кто задействует SDK «Сбера» в своих мобильных приложениях и реализует приём платежей через WebView, требуется добавить сертификат в приложение и обновить его в магазине приложений.
После 24 февраля 2022 года иностранные центры, которые выдают сертификаты для защищённого соединения HTTPS, отказались работать с фирмами под санкциями — в том числе со «Сбером». Текущий сертификат банка от бельгийского центра GlobalSign истекает 15 февраля 2023 года. Примечательно, что «Сбер» смог продлить один из своих сертификатов через центр сертификации Harica DV.
«Сбер» с декабря планировал перевести информационный финансовый сервис, использующийся многими клиентами банка для оплаты услуг и товаров в интернет-магазинах, на российские сертификаты шифрования. Например, на сайтах «Детского мира», «Связного», «Делимобиля», «Леруа Мерлен» и «Онлайн Трейд.ру» при вводе данных банковских карт появилось предупреждением о том, что «для стабильной работы пользователям скоро потребуются сертификаты Минцифры».
В данном случае речь идёт о корневых сертификатах, которые вместе с сертификатами на стороне сайтов позволяют устанавливать защищённое соединение (HTTPS). «Сбер» у себя на странице не указывает, когда планирует перевести онлайн-эквайринг на российские сертификаты, однако текущий сертификат от GlobalSign (бельгийского удостоверяющего центра — УЦ) истекает 15 февраля 2023 года. Регистратор и провайдер GlobalSign по причине наложенных на «Сбер» санкций отказывается продлевать с компанией ранее заключённые договоры, а бесплатные сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним политикам безопасности компании.
«Сбер» с конца прошлого года предупреждал всех клиентов, что «для стабильной работы скоро потребуются сертификаты Минцифры», а также предлагает скачать «Яндекс Браузер» или Atom от VK с уже предустановленными сертификатами или установить в своих системах сертификаты от Минцифры с портала «Госуслуги». «Работа по переводу уже идёт», — пояснили СМИ в «Сбере» без уточнения, когда этот процесс завершится.
По данным СМИ, в прошлом году «Сбер» обработал 3 млрд интернет-трансакций на $40 млрд. На втором месте среди российских кредитных организаций находится ВТБ с более чем 830 млн трансакций на $13,5 млрд. «Сбер» и ВТБ под санкциями и с октября рекомендуют клиентам устанавливать российские браузеры или корневые сертификаты НУЦ.
Эксперты считают, что часть корпоративных клиентов «Сбера» может задуматься о смене эквайринга или перейти на использование системы быстрых платежей как основного варианта оплаты онлайн.
Примечательно, что в марте ВТБ вышел из капитала «Группы Т1», которой с октября прошлого года принадлежит процессинговая компания «Мультикарта». У этого сервиса нет рекомендации устанавливать российские сертификаты на для генерируемых «Мультикартой» страницах онлайн-оплаты. В конце ноября «Мультикарта» получила новый сертификат от GlobalSign.
В конце октября Минцифры рассказало, что ведомство планирует создать Национальный технологический центр по цифровой криптографии. «У ведомства в проработке такой проект про средства криптографической защиты – Национальный технологический центр по цифровой криптографии. Минцифры готовит создание такой структуры. Заинтересованы в этом многие российские компании. Базовые участники – это „Код безопасности“, „Инфотекс“ и „КриптоПро“, которые являются одними из наиболее сильных разработчиков по криптографии. Они уже изъявили желание войти в этот проект», — заявил замглавы министерства Александр Шойто. В Минцифры пояснили, что в работе Центра будут принимать участие и различные госведомства. «Надеемся, соответствующая структура будет создана. Это именно компании, которые будут обеспечивать частно-государственное взаимодействие и развитие технологий», — добавил представитель Минцифры.
26 октября Роскомнадзор, Главный радиочастотный центр (ГРЧЦ, входит в структуру РКН), Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), операторы связи и владельцы интернет-ресурсов в РФ рассказали, что для обеспечения надежности функционирования российских ресурсов сети рунета они собираются ввести приоритетное использование TLS-сертификатов, выпущенных российскими удостоверяющими центрами (УЦ), в том числе с использованием российской криптографии, а также создать распределённую иерархическую систему российских УЦ.
Российский Национальный удостоверяющий центр (НУЦ) выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls. «Яндекс Браузер» применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке НУЦ. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
Эксперты считают, что в конце этого года и начале следующего переход на отечественные сертификаты станет приоритетом для многих российских компаний в условиях зарубежных санкций. По их мнению, скоро всё больше пользователей столкнутся с ограничениями на российских сайтах и им придётся или устанавливать в своих системах TLS-сертификат Минцифры, или переходить на «Яндекс Браузер».
1 ноября «Сбер» сообщил о начале перевода сайта SberPress на российские TLS-сертификаты, выпущенные Национальным удостоверяющим центром (НУЦ) Минцифры РФ.
«Сбер» предупредил, что данное обновление проводится в рамках широкомасштабного перехода сайтов, ресурсов и систем «Сбера» на российские TLS-сертификаты, чтобы обеспечить независимость банка от зарубежных удостоверяющих центров. Для бесперебойного и безопасного доступа к онлайн-сервисам «Сбера» необходима поддержка сертификатов НУЦ Минцифры на каждом устройстве пользователя.
20 октября «Сбер» в рамках перевода на российские TLS-сертификаты основного сайта и других своих порталов (веб-версии «Сбербанк Онлайн» и «СберБизнес») выпустил наглядные и простые видеоинструкции для пользователей по установке и настройке на ПК и мобильных устройствах сертификата Russian Trusted Root CA для платформ Android, iOS, macOS и Windows, а также для пользователей смартфонов Samsung.
«Сбер» пояснил, что скоро только российские сертификаты обеспечат защищённый доступ к сайтам и онлайн-сервисам «Сбера» с любых устройств пользователей. Для этого нужно или использовать браузеры с поддержкой российских сертификатов ("Яндекс Браузер" или "Атом") или установить сертификаты для своей операционной системы.
«Сбер» предупредил, что скоро большинство сайтов в Рунете перейдут на российские TLS-сертификаты и пользователям всё равно придётся выбирать: установить корневой сертификат Russian Trusted Root CA или использовать «Яндекс.Браузер».
«Сбер» выяснил, что браузеры Opera, FireFox, MIUI и ряд других могут некорректно работать с сайтами, защищёнными сертификатами безопасности НУЦ Минцифры России. Чтобы избежать проблем, «Сбер» рекомендует использовать «Яндекс Браузер» или после установки TLS-сертификатов перейти на другой браузер.
Примечательно, что «Сбер» советует пользователям, у которых не устанавливается сертификат, обращаться в службу техподдержки портала «Госуслуги», а не помогать клиентам через своих специалистов.
15 сентября Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK. Также можно установить в системе сертификат Национального удостоверяющего центра Минцифры России — Russian Trusted Root CA.
19 сентября 2022 года эксперты «Роскомсвободы» рассказали, что из-за возможности провести MITM-атаку после установки российских TLS-сертификатов, они рекомендуют использовать в случае крайней необходимости только «Яндекс Браузер», а не ставить сертификаты на свои ПК.
Эксперты «Роскомсвободы» считают, что установка российских TLS-сертификатов создаёт серьёзную угрозу пользователям, так как они не признаются ни одним современным иностранным браузером, а их установка в системе открывает «окно» для утечки данных и слежки за действиями пользователей в сети. Подобное уже было в Казахстане, но разработчики иностранных браузеров заблокировали такие попытки.
По их мнению, единственный способ обезопасить себя в этой ситуации — это установить «Яндекс Браузер» на отдельный смартфон, чтобы пользоваться им только для действий на российских сайтах. Этот же смартфон можно использовать для мобильного банкинга, если приложения «Сбера» перестанут работать штатно. Хотя «Сбер» заверяет, что его мобильные приложения уже имеют встроенные российские сертификаты.
26 сентября «Сбер» сообщил, что основной сайт финансовой организации (sberbank.ru) переводится на российские TLS-сертификаты.
В конце сентября после перевода на российские TLS-сертификаты основной сайт «Сбера (sberbank.ru) стал открываться по http или блокируется иностранными браузерами как небезопасное подключение на ПК и смартфонах без установленного сертификата Russian Trusted Root CA в системе. В «Яндекс Браузере» или в браузере «Атом» сайт «Сбера» открывается в защищённом режиме по https.
В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».
В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.
Для ознакомления с проблемой установки и работой корневого сертификата Russian Trusted Root CA есть пять публикаций на Хабре по этой ситуации:
1. "Суверенный, сувенирный, самопровозглашенный".
2. «Импортозамещение центров сертификации».
3. Про поддержку Certificate Transparency для национальных сертификатов.
4. Про поддержку сайтов с национальными сертификатами в «Яндекс Браузере».
5. Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана.
С тем, как это работает у «Яндекса», можно ознакомиться на GitHub. Сертификат хранится в собственном хранилище, но похоже был добавлен только в Windows сборку браузера.
Пояснение №1 от «Сбера» по этой ситуации: Мы первые в стране начали перевод своих сайтов на российские сертификаты удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к личному кабинету и другим сервисам «Сбера». Объясняем. Сайты должны иметь сертификат удостоверяющего центра, чтобы гарантировать пользователем бесперебойный и безопасный доступ. Раньше такие «документы» выдавали только иностранные компании, но недавно появилась возможность установить сертификат, созданный Минцифры РФ.
Пояснение №2 от «Сбера» по этой ситуации для Хабра: При установке сертификатов безопасности Национального удостоверяющего центра (НУЦ) Минцифры на устройства пользователей сервисы и ресурсы «Сбера» будут доступны в различных, в том числе наиболее популярных браузерах (Safari, Google Chrome, EDGE, Firefox и др.) на различных операционных системах, что подтверждается заранее проведённым тестированием «Сбера».
Пояснение Минцифры по этой ситуации: В марте зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. При попытке зайти на сайт пользователи видели предупреждение о небезопасности ресурса. Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам.