Между сертификатом и браузером
На ряде сайтов, в частности на сайтах «Афиши» (в разделе покупки билетов), магазинов «Вкусвилл» и DNS, появилась информация о том, что с 30 января для проведения оплаты необходимо скачать российский браузер или сертификат безопасности, убедился корреспондент РБК. Так, на сайте «Афиши» говорится, что без этого оплата невозможна, на других ресурсах — что есть вероятность столкнуться с трудностями при оплате онлайн-заказа.
Такое же предупреждение РБК обнаружил на сайте Мытищинского театра драмы и комедии «ФЭСТ».
Почему появилось такое предупреждение и что делать пользователям — в материале РБК.
Что не так с оплатой через зарубежные браузеры
В сообщении театра «ФЭСТ» указано, что проблема при оплате билетов онлайн связана со «срочным переходом всех платежей в интернете на российские сертификаты безопасности».
Сертификат безопасности (SSL/TLS-сертификат) помогает передавать данные в зашифрованном виде, подтверждать подлинность сайта и его принадлежность владельцу, защищает онлайн-транзакции и передачу файлов. После начала специальной военной операции в феврале 2022 года иностранные центры, которые выдают сертификаты для защищенного соединения HTTPS, отказались работать с компаниями, находящимися под санкциями, в том числе со Сбербанком.
У ВТБ, Альфа-банка, Газпромбанка сертификаты пока действуют.
10 марта 2022 года Минцифры заявило, что на портале «Госуслуги» заработал сервис выдачи сертификатов безопасности для российских сайтов, которые могут получить их владельцы. SSL/TLS-сертификаты выпускаются на базе Национального удостоверяющего центра Минцифры России.
В сообщении на сайте «Вкусвилла» говорится, что «зарубежные браузеры перестали получать» сертификаты безопасности для российских сайтов, поэтому «могут посчитать их подозрительными и запретить вход». Там также указано, что TLS-сертификат Минцифры по умолчанию поддерживают браузер от VK «Атом» и последние версии «Яндекс.Браузера».
В декабре при покупке в интернет-магазинах «Связного», «Детского мира» и других ретейлеров стали появляться сообщения о том, что покупателям скоро потребуется самостоятельно установить отечественный браузер или TLS-сертификат Минцифры, поскольку действие сертификата, выданного Сбербанку для его интернет-эквайринга, истечет 15 февраля, писал «Коммерсантъ».
Сам Сбербанк перевел свой сайт на сертификат Минцифры еще 26 сентября прошлого года. «Переход сайтов, рабочих ресурсов и систем «Сбера» на отечественные сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует безопасный доступ пользователям», — говорилось в официальном заявлении банка.
Впрочем, как пояснил РБК представитель Сбербанка, партнеры банка вправе самостоятельно выбрать, как будет работать платежное решение на их стороне: «Сбер» дает возможность работать как на сертификатах Национального удостоверяющего центра Минцифры, так и на международных. Он настаивает, что пользователям необязательно предпринимать дополнительные действия для того, чтобы совершать покупки в интернет-магазинах партнеров банка. «Объявления на сайтах партнеров не являются рекомендациями банка и создаются по инициативе партнера», — подчеркнул представитель. По его словам, их сервис интернет-эквайринга «работает в штатном режиме как для пользователей, клиентов, так и для партнеров», банк не зафиксировал повышенного фона обращений клиентов с невозможностью проведения платежа в своем интернет-эквайринге.
Сбербанк занимает первое место в России как банк-эквайер по объемам обрабатываемых платежей и числу обслуживаемых точек. По данным Nilson Report, банк обработал 3 млрд интернет-транзакций на $40 млрд в 2021 году.
РБК направил запрос в Минцифры.
Безопасны ли российские сертификаты и браузеры
С точки зрения безопасности и механизма работы зарубежные и российские сертификаты, вероятнее всего, идентичны, считает директор департамента информационной безопасности и специальных решений Sitronics Group Александр Дворянский. Но российские сертификаты точно можно считать более доверенными, так как они выпускаются Национальным удостоверяющим центром, а не иностранными корпорациями, находящимися в юрисдикции других стран, говорит эксперт. «В целом можно увидеть определенные риски с точки зрения наличия недекларируемых возможностей, так как не у всех иностранных браузеров открытый исходный код. Соответственно, есть потенциальная возможность несанкционированного доступа к приватной информации пользователя (его логины, пароли, история браузера и т.д.)», — полагает Дворянский.
Российские сертификаты не уступают в безопасности зарубежным, считает директор по консалтингу ГК InfoWatch Ирина Зиновкина. «Так как зарубежные браузеры не поддерживают российские сертификаты, то в принципе их использование для многих российских ресурсов становится невозможным. Соответственно, с точки зрения безопасности для посещения критичных ресурсов лучше использовать российские браузеры», — уверена эксперт.
По словам представителя «Яндекса», сейчас доля их браузера в России составляет 31%, за последний год показатель вырос более чем на 10%. Впрочем, он не стал связывать это с использованием российского сертификата. Представитель VK отказался от комментариев.
По данным LiveInternet, на начало февраля наиболее популярным браузером в России был Google Chrome с долей 50,5%, за ним следовали «Яндекс.Браузер» (29,9%), Safari для мобильных устройств (9,7%), Opera (3,7%) и Firefox (1,8%). Доля «Атома» составляет 0,2%.
По словам главного эксперта «Лаборатории Касперского» Сергея Голованова, зарубежные браузеры неопасны для российских пользователей. При этом, установив российские сертификаты, пользователи и организации могут быть уверены в шифровании канала связи и безопасном соединении, что необходимо при проведении финансовых операций, указал он.