Инструкция по выживанию

Нужно ли устанавливать сертификат безопасности от Минцифры? Это точно безопасно?

22 января 2024 в 20:00
Фото: Md Mahdi/500px/Getty Images
Все чаще российские онлайн-сервисы просят установить сертификаты безопасности Минцифры — с марта 2022 года пользователи скачали их более 16 млн раз. Некоторые эксперты считают, что это небезопасно и может привести к краже данных. «Афиша Daily» разобралась, действительно ли это так и как защитить себя.

Что такое сертификат безопасности и зачем он нужен

Сертификат безопасности (SSL, TLS) — это электронный документ, подтверждающий подлинность сайтов и передающий зашифрованные данные между устройством и сервисом. По сути он нужен, чтобы не дать злоумышленникам украсть вашу информацию или деньги. Браузер проверяет его наличие у того или иного ресурса. Если сертификат есть и с ним все в порядке, сайт отмечается как безопасный. Если такого цифрового документа нет, вы можете увидеть заглушку с сообщением о том, что соединение опасно. Вы все равно можете перейти по ссылке, но на свой страх и риск.

Выпускают сертификаты специальные организации, отвечающие за надежность и прозрачность онлайн-транзакций. Частных и государственных центров сертификации по всему миру более ста: IdenTrust, Symantec, Let’s Encrypt, CloudFlare, GlobalSign и другие. Чем дольше работает центр, тем больше браузеров и устройств доверяют его сертификатам. В России до 2022 года не было собственных центров сертификации, но сейчас этим занимается Национальный удостоверяющий центр (НУЦ). Вся процедура проходит удаленно через «Госуслуги».

Зачем сайт или приложение просит установить российский сертификат?

В конце 2022 года на сайтах «Детского мира», «Леруа Мерлена» и «Делимобиля» пользователи заметили объявления: «Для стабильной работы сервиса скоро понадобится сертификат Минцифры». Тем, кто хотел оплатить там покупку, Сбербанк предлагал скачать российские браузеры «Яндекс» или Atom от VK, в которые нужный сертификат вшит по умолчанию, или самостоятельно установить его на телефон или компьютер через «Госуслуги».

В марте 2023 года иностранные центры стали отказывать в продлении сертификатов российским компаниям, которые находятся под санкциями. «Многие западные сертификационные центры действительно перестали работать с Россией, но далеко не все. Западный сертификат по-прежнему доступен для приобретения российским компаниям, если они не находятся в санкционных списках и не используют домен ru», — отмечает ИТ-предприниматель, венчурный инвестор, основатель ГК Itglobal.com Дмитрий Гачко.

Чем отличаются зарубежные и российские сертификаты? Какие безопаснее?

Технический эксперт, пожелавший остаться анонимным, отметил: тот, кто выпустил сертификат, может расшифровать зашифрованное. «Если говорить об опасениях, что российское государство нарушит конфиденциальность передачи данных, то зарубежный сертификат безопаснее», — считает он. «Основной риск при установке сертификата Минцифры заключается в том, что пользователь автоматически доверяет любым сертификатам, произведенным и подписанным министерством», — говорит Дмитрий Гачко. При этом получить доступ к самому телефону или компьютеру через сертификат безопасности нельзя, уверен он.

«Уязвимость, связанная с установкой сертификата, не дает злоумышленнику доступ к компьютеру или телефону пользователя, а позволяет расшифровать закодированные данные при их передаче. Пока такой взлом не всплывет где‑нибудь, к примеру, в уголовном деле или в утечке, узнать о нем очень сложно», — подчеркивает эксперт.

Дмитрий Гачко уверен: «Риск состоит в том, что владелец корневого сертификата может несанкционированно выпустить такой цифровой документ для любого электронного ресурса, и тогда пользователь при работе с сервисом не сможет отличить настоящий сайт от поддельного. Соответственно, появляется возможность создания промежуточных сайтов и, как следствие, перехвата и прочтения всех данных, передаваемых между пользователем и оригинальным сайтом».

Подобные случаи происходили и с зарубежными сертификатами. Один из самых известных связан с нидерландской компанией DigiNotar. В 2011 году специалисты по информационной безопасности обнаружили в сети более 500 поддельных SSL-сертификатов сервисов Google, Facebook, Twitter, Skype, а также сайтов спецслужб ЦРУ, MI6, «Моссад» и других. Хакеры могли более месяца незаметно похищать персональные данные пользователей и заражать их компьютеры. Эта ситуация нанесла серьезный урон репутации компании, после чего она обанкротилась.

Можно ли зайти на сайт без сертификата? Как обезопасить свои данные?

В теории зайти на сайт и проводить онлайн-оплату без установки российского сертификата можно, считает Дмитрий Гачко. «Будут появляться уведомления о том, что сертификат выдан недостоверным сертификационным центром. Если вы согласитесь, предупреждение исчезнет», — отмечает эксперт. После пропуска такого объявления пользователь переходит по защищенному протоколу HTTPS на незащищенный HTTP. Это значит, что вся информация передается между сервером и браузером в открытом виде: то есть паспортные данные или номер банковской карты могут увидеть злоумышленники. Если пользуетесь таким способом, нужно быть уверенным, что сайт надежен.

При этом, например, «Тинькофф» предупреждает клиентов, что вскоре зайти на их сайт без сертификата или российских браузеров «Яндекс» или Atom от VK не получится. Что касается мобильного приложения банка, сервис уже имеет встроенный российский сертификат.

Эксперт фонда «Общество защиты интернета» (ОЗИ) рекомендует заходить на сайты с российскими сертификатами типа Сбербанка или «Госуслуг» через «Яндекс Браузер». «Для других нужд он небезопасный, его нельзя использовать», — считает он.

Чтобы быть уверенным в сохранности данных, можно пользоваться VPN с собственным шифрованием. Стоит выбирать сервисы, которые не используют протоколы TLS: например, мессенджер Signal, добавляет технический эксперт, пожелавший остаться анонимным, в разговоре с «Афишей Daily».

В случае, когда интернет-трафик уже взломан, юристка DRC-Group Инна Тверезовская рекомендует отключить все устройства от интернета, поменять пароли, просканировать компьютер или телефон с помощью антивируса. После следует обратиться в полицию с заявлением для возбуждения уголовного дела. «Здесь важно действовать быстро и ответственно, чтобы минимизировать потенциальные последствия и восстановить безопасность онлайн-соединений», — заключает она.

Расскажите друзьям
Читайте также