Обычный пользователь банковской карты, особенно тот, кто привык оплачивать покупки и заказы через интернет, вряд ли задумается о необходимости установить сертификаты безопасности. Однако обновить международный сертификат на отечественный — от Минцифры — на своих устройствах, будь то компьютер или телефон, необходимо, считают эксперты. Это позволит избежать перебоев с оплатой и обезопасить платежную операцию.
По мнению аналитиков, внедрение российских сертификатов безопасности — необходимость, связанная с тем, что до 2022 года не было ни одного доверенного удостоверяющего центра, подконтрольного России.
В последнее время зарубежные центры стали отказываться выдавать новые или продлевать старые SSL-сертификаты. Срок действия многих ранее выданных сертификатов начинает истекать, и соединение перестает быть безопасным, что становится проблемой. Пользователи из России при посещении ряда сайтов видели предупреждение о небезопасности ресурса.
В марте 2022 года на сайте «Госуслуги» заработал сервис выдачи сертификатов безопасности. После этого российские компании начали переводить на них свои сайты, в том числе такие гиганты, как Сбер. Об установке сертификатов Минцифры на своих ресурсах уведомляли ВТБ, Мособлбанк, Газпромбанк, РСХБ. Переходят на российские сертификаты и госструктуры, в частности Росреестр, Росздравнадзор.
Минцифры разработало свои TLS-сертификаты. Как отмечают в ведомстве, переход обеспечивает независимость от зарубежных компаний и гарантирует пользователям безопасный доступ ко всем ресурсам. Российские сертификаты отличаются от зарубежных только использованием отечественной криптографии метода шифрования данных. Сертификаты доступны и юридическим лицам — владельцам сайтов, а использование российского TSL-сертификата обеспечивает доступность ресурса в «Яндекс.Браузере» и браузере «Атом». Всего сертификаты выданы на 7000 доменных имен.
Стабильная защита
С 30 января платежный шлюз Сбербанка перешел на отечественные сертификаты. «Рекомендуем установить на ваши личные устройства сертификаты Минцифры. Они обеспечат стабильную работу российских сайтов на ваших устройствах и надежно защитят ваши данные. Также можно установить и использовать "Яндекс.Браузер" или "Атом"», — порекоменовали в кредитной организации. При возникновении проблем в ходе платежа клиенту нужно обратиться по номеру 900.
«Пользуйтесь браузерами с электронными сертификатами безопасности НУЦ (Национальный удостоверяющий центр) Минцифры для работы в Интернете. Это обеспечит надежное и защищенное подключение, позволит всегда иметь доступ к любым сайтам и сервисам ВТБ», — отмечается на сайте банка.
В вопросе установки и использования сертификатов необходимо ориентироваться на рекомендации банка, считает главный аналитик компании «РегБлок» Анна Авакимян. «Это обусловлено тем, что именно банк проводит ряд циклов тестирования, отражающих функциональность новых сертификатов. Назначение сертификатов Национального удостоверяющего центра Минцифры как раз и ориентировано на предупреждение операционных рисков, связанных с возможным ограничением функциональных возможностей международных сертификатов», — объясняет эксперт.
По ее словам, пользователи заинтересованы в устойчивом и бесшовном переходе на российские сертификаты безопасности. Наибольшие временные затраты занимают работы по настройке оборудования и тестированию новых возможностей. Вероятность возникновения сложностей и сбоев, связанных с новыми сертификатами, невелика.
Еще несколько лет назад некоторые российские компании отправляли свои пароли при входе обычным текстом без шифрования, что давало третьей стороне огромные возможности ими воспользоваться. «Гибридное шифрование снижает нагрузку на процессор и сеансовое шифрование лучше. Каждый ключ сам по себе должен быть аутентичным, тогда возникнуть посреднику, способному подменить сертификат и воспользоваться каналом вне центра сертификации, будет намного сложнее. Сертификат — это ключ, который еще и подписан цифровой подписью», — напоминает доцент кафедры информатики РЭУ им. Г.В. Плеханова Александр Тимофеев. По его словам, перспектива масштабной регулярной утечки конфиденциальной информации за рубеж стала реальностью.
Старший аналитик мультисемейного офиса ITSWM Георгий Окромчедлишвили советует установить сертификаты Минцифры. «В целом стоит это делать сейчас, если вы планируете для переводов и эквайринга использовать Сбер или ВТБ, так как уже в 2023 году истекает срок действия выданных этим и другим банкам глобальных сертификатов. Если вы работаете исключительно внутри России, то смысла цепляться за глобальную сертификацию, в принципе, особенно нет, так как с точки зрения криптографии и архитектуры безопасности подходы у глобальных и отечественных сертификатов по факту почти не отличаются. Для среднестатистического российского интернет-магазина достаточно будет просто добавить сертификат на свою серверную сторону, чтобы организовать правильную работу с API банка», — говорит эксперт.
Например, такие крупные ретейлеры, как «Связной», «Детский мир», «Леруа Мерлен», «Вкусвилл», а также Спортмастер, DNS и ряд других ранее оповестили своих покупателей о необходимости установить отечественный браузер или сертификаты Минцифры.
Единственные сложности, по словам эксперта, могут возникнуть при работе с браузерами вроде Chrome, Mozilla Firefox или Opera, так как в отличие от «Яндекс.Браузера» (или «Атома» от VK) наши сертификаты специально не оптимизировались под работу с этими инструментами просмотра веб-страниц. Но и в данном случае речь идет о временных технических трудностях, которые, скорее всего, будет полностью устранены к концу года.
«На сегодняшний день сертификаты нужны для проведения операций по карте и доступа к онлайн-банку», — говорит ведущий аналитик Mobile Research Group Эльдар Муртазин. По его словам, сертификаты безопасны. Эльдар Муртазин считает, что мировая система сертификатов и доверенных сайтов будет преобразовываться, а российский опыт, можно сказать, пионерский, один из первых в этой области.
Технически международные и российские сертификаты не отличаются, но имеет значение, кем они выданы. «Если банк находится под санкциями, ему нужно использовать сертификаты Минцифры. Есть разные полулегальные пути, как та или иная подсанкционная организация может получить сертификаты, но это история "борьбы меча и щита". На мой взгляд, заниматься этим бессмысленно, надо рано или поздно переходить на российские сертификаты, и это придется делать», — подчеркнул Муртазин.