Это сайт Сбербанка или мошенники? Объясняем, стоит ли ставить сертификат безопасности

Обновлено:
152842
Это сайт Сбербанка или мошенники? Объясняем, стоит ли ставить сертификат безопасности
telegram
Бесконечный розыгрыш бумажных книг в нашем Телеграм канале. Подпишитесь, чтобы стать участником раздачи.

С прошлого года при заходе на сайт Сбербанка большинство пользователей стали видеть предупреждение о небезопасности, в тоне: «Осторожно, у вас могут украсть деньги». Сам Сбер в качестве решения проблемы предлагает установку сертификатов Минцифры (которые иностранные браузеры считают небезопасными). Что это все значит и насколько безопасно пользоваться сайтом Сбербанка с такими сертификатами?

Что случилось с сайтом Сбера

«Подключение не защищено. Не сообщайте этому сайту конфиденциальную информацию. Например, пароли и номера банковских карт. К ней могут получить доступ злоумышленники». Такой формулировкой описывает сайт sberbank.ru самый популярный в интернете браузер Chrome. Но ведь мы на сайт Сбербанка заходим именно чтобы ввести пароль и данные карт! Поэтому предупреждение звучит крайне угрожающе. Так в чем же дело?

Немного краткой теории. Соединения с сайтами бывают двух основных видов: защищенное (начинается на https, см. в адресной строке) и незащищенное (начинается на http). Разница между ними простая: в первом случае данные шифруются, во втором — нет. Чем это грозит на практике?

Допустим, вы в кафе подключились к открытому Wi-Fi. Рядом сидит злоумышленник, который ловит ваш трафик — все то, чем вы обмениваетесь с интернетом (в случае с открытым Wi-Fi с этим справится и школьник). Что он увидит, если соединение зашифровано? Ничего. Максимум — IP-адреса сайтов. Но что вы там передаете и что смотрите, останется для него загадкой. Причем заглянуть в ваш трафик не сможет даже ваш провайдер. Куда трафик идет — видно, а что там внутри — нет.

Если же соединение не зашифровано, то злоумышленник будет видеть весь ваш трафик с этим сайтом как на ладони. И провайдер тоже.

Конечно, если точка доступа Wi-Fi закрытая (а значит, соединение само по себе закрыто от злоумышленника за соседним столиком) или вы вообще подключены по проводу, вероятность того, что провайдер будет лезть в ваш трафик и искать там пароли, крайне мала. Но гарантии безопасности уже нет. О чем браузер и предупреждает.

Но почему сайт Сбера отказался от защищенного соединения? Все дело снова в санкциях. Для шифрования трафика сайт должен иметь специальную вещь — сертификат безопасности. Это такой цифровой паспорт, который подтверждает, что трафик идет именно с того сайта, который вы запрашивали. Ваш браузер отправляет запрос: «Это точно сайт Сбера?» Тот отвечает: «Да, я точно сайт Сбера, вот мой пасп… сертификат!»

Но сертификаты (как и паспорта) не выдает кто попало. Это делают специальные удостоверяющие центры — аналоги паспортных столов. И в каждом устройстве/браузере зашит список центров, которым устройство/браузер доверяет. То есть наличие сертификата в конечном счете означает, что удостоверяющий центр, которому можно доверять, гарантирует: это тот самый сайт.

паспорт не твоих собачьих дел

Вот тут и появилась проблема для попавшего под санкции госбанка. Доверенные удостоверяющие центры сплошь иностранные, да еще и из стран, которые российские власти называют недружественными. Отечественный сертификат Минцифры планировали включить в список доверенных, да не успели.

«Иностранные центры отказываются выдавать новые/продлевать старые SSL-сертификаты. Из „неприятности“ это превращается в реальную проблему. Срок действия многих ранее выданных сертификатов начинает истекать, и соединение перестает быть безопасным», — объясняет заместитель директора компании «Цифроматика» Артур Батуллин.

Сертификат Минцифры: спасение или новая опасность

Хотя… Выход, говорят госбанкиры, есть! Достаточно вручную указать устройству, что сертификату Минцифры можно доверять — и защищенное соединение снова заработает. Это называется «установка корневого сертификата», и именно это предлагает Сбер.

Однако если начать устанавливать корневой сертификат по инструкции, можно увидеть еще одно предупреждение безопасности. Это еще что?

Дело в том, что установка корневого сертификата в систему — это очень ответственный шаг, почти как вступление в брак. Вы даете разрешение сертификату подтверждать вообще всё. И это создает теоретическую возможность для расшифровки вашего трафика даже на сайтах, которые используют любые другие сертификаты.

Дмитрий Кузеванов, технический директор компании «Азбука Вкуса»

Дмитрий Кузеванов, технический директор компании «Азбука Вкуса»:

— Важно понимать, что владелец корневого сертификата, которому вы доверяете, способен выпустить любой сертификат на имя любого сайта, и ваше устройство будет ему доверять и не выдавать никаких предупреждений.
И вот в этом моменте возможно злоупотребление — выпуск сертификата-двойника без ведома владельца ресурса и дальнейшее его использование в атаке «man-in-the-middle». Атакующий получает доступ для просмотра расшифрованного трафика между пользователем и сайтом, который может содержать: логины или пароли, тексты комментариев, любую другую конфиденциальную информацию.

Атака довольно сложная и, естественно, незаконная: для нее требуется, чтобы сам удостоверяющий центр Минцифры вдруг выдал поддельный сертификат для нужного сайта. Иначе не получится.

Дмитрий Гачко, основатель ГК ITglobal.com

Дмитрий Гачко, основатель ГК ITglobal.com:

— Понятно, что можно злоупотребить, выдав сертификат, например, для YouTube, и ваш браузер не будет об этом сигнализировать, но злоупотребить может и любой другой из существующих владельцев корневых сертификатов. Пойдет ли кто-то на такой шаг и по какой причине — вот в чем вопрос.

Трафик с сайтов, которые используют сертификаты от Минцифры, расшифровать проще — надо только получить в этом поддержку самого Минцифры.

Как наиболее безопасно открыть сайт Сбера

Так что же делать-то? Не установишь сертификат Минцифры — соединение с сайтом Сбера станет небезопасным. Установишь — безопасность соединений с другими сайтами может нарушиться. Выход — использовать российский браузер, который сам по себе доверяет отечественным сертификатам. Нам известно о двух таких — «Яндекс.Браузер» от одноименной компании и «Атом» от VK.

Владимир Пузанов, директор бренда BQ

Владимир Пузанов, директор бренда BQ:

— Глобально устанавливать любые корневые сертификаты небезопасно, независимо от страны происхождения. При этом национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации). Если пользователь пользуется российскими браузерами, то дополнительно ничего устанавливать нет необходимости.

При этом разработчики «Яндекс.Браузера» уверяют, что допускают использование сертификата Минцифры только на сайтах из специального списка. То есть если «Яндекс.Браузер» увидит, что сертификатом Минцифры подписан, например, Google, то он все равно такой подписи доверять не станет. Можно просто использовать «Яндекс.Браузер» или «Атом» только на сайтах, которые подписаны Минцифрой, если сомневаетесь в этих российских разработках.

А вот перед владельцами iPhone дилеммы вообще не стоит: из-за ограничений системы у них браузеры могут доверять только корневым сертификатам из самой iOS. Так что вариант с российским браузером тут не поможет. Либо устанавливать корневой сертификат для Сбера в систему и учитывать все риски, либо пользоваться небезопасным соединением с онлайн-банком (и тоже учитывать все риски).

«Сбер-онлайн» становится незащищенным: объясняем, стоит ли ставить сертификат безопасности
6 комментариев
Это сайт Сбербанка или мошенники? Объясняем, стоит ли ставить сертификат безопасности
0 / 2000
Войдите, чтобы отправить комментарий
Авторизуясь на сайте указанным способом, вы даете согласие на обработку персональных данных
Т. В.
Т. В.
Т. В.
12.09.2024 17:56
Достаточно минцифрам передать сертификат спецслужбам, и они в любой момент смогут заблокировать все, даже за подозрение в инакомыслии. Тем более, что после того, как власти отжали ВК у Дурова, безопасность атома сама ставится под сомнение
0 / 2000
Евгений Тимофеев
Евгений Тимофеев
Евгений Тимофеев
29.05.2024 5:16
Мне кажется, что обычное приложение было лучше. Во первых; вход был с видением одного не большое потоля, и приложение удобное. А вот через Яндекс, это нужен пароль вести из восьми букв , это входит латинские, цифры заглавные. Короче , ребёнок может забрать Во вторых; после каждого входа , дожидаться подтверждения через СМС и пятизначного кода, потом после каждой операции так же ждать СМС с подтверждением. Вот у меня вопрос. Как установить старое приложение....
0 / 2000
Андрей Васильев
Андрей Васильев
Андрей Васильев
09.03.2024 13:18
Хе-Хе. Что знает провайдер - знает и 🐷.
0 / 2000
Даша Васильева
Даша Васильева
Даша Васильева
28.02.2024 16:20
я не могу зайти на сайт Сбербанка и в Яндекс браузере и в Атом браузере- везде страшные предупреждения. И что делать?
0 / 2000
Игорь Шайков
Игорь Шайков
Игорь Шайков
24.01.2024 0:10
Короче, жопа жопная. И этим всё сказано
0 / 2000
Артём Липаткин
Артём Липаткин
Артём Липаткин
20.08.2024 10:51
😂😁😂😂😂😂💯
0 / 2000
Показать еще...


Кнопка вверх
Авторизация
Авторизуясь на сайте указанным способом, вы даете согласие на обработку персональных данных
cross Мы используем файлы Cookies При посещении сайта осуществляется обработка Cookies-файлов. Порядок и условия обработки, способ запрета такой обработки описаны в Политике конфиденциальности cross