Не открывается сайт Сбербанка? Вот как установить сертификаты НУЦ Минцифры
В конце прошлой недели некоторые издания вышли с громкими заголовками из серии “Сайт Сбербанка больше не будет работать в иностранных браузерах”. Под угрозой якобы оказались Safari, Chrome Firefox, Edge и многие другие из-за российских сертификатов безопасности, на которые банки переводят свои онлайн-ресурсы и которые сами браузеры попросту не поддерживают. Я в это, конечно, не поверил, но те, у кого не осталось сберовского приложения и кто теперь вынужден пользоваться веб-версией личного кабинета, серьёзно испугались. Ведь при всём уважении переходить на Яндекс Браузер были готовы не все. Но это и не требуется, потому что выход из ситуации есть.
Если вы не хотите, чтобы сайт Сбербанка отключился, нужно установить специальные сертификаты
Для начала предлагаю разобраться, что же всё-таки произошло. Если помните, то в конце февраля — начале марта иностранные компании решили покинуть Россию и прекратить все отношения с местными компаниями. В результате у ряда российских сайтов были отозваны сертификаты безопасности, которые позволяли пользователям заходить на их защищённые https-версии с применением всех мер защиты и протоколов шифрования.
Установить сертификат Минцифры
А поскольку банки и их клиенты обмениваются чрезвычайно чувствительной информацией, то они просто не могли позволить своим сайтам работать без должной защиты. Даже несмотря на то что по итогу вопрос с шифрованием как-то удалось решить, в Минцифры приняли решение снабдить сайты всех государственных и окологосударственных контор отечественными сертификатами безопасности.
Вот такой баннер прямо сейчас висит на сайте Сбербанка
Действительно, по умолчанию сертификаты Минцифры не поддерживаются в Safari, Chrome и других зарубежных браузерах. “Из коробки” они есть только в Яндекс Браузере и Атоме. Однако это не значит, что вы не сможете установить их самостоятельно. Сможете. Причём вне зависимости от браузера, которым пользуетесь — один сертификат будет применяться для всех веб-обозревателей, установленных на вашем устройстве.
⚡️ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ ЛУЧШИЕ СТАТЬИ НАШИХ АВТОРОВ БЕСПЛАТНО
Сертификаты НУЦ Минцифры создаются для каждой операционной системы в отдельности. Поэтому сертификат, который подходит для iOS, не подойдёт для macOS и наоборот. Кроме того, сертификат — это вполне себе физическая история, а не облачная. Это своего рода ключ. А значит, устанавливать его нужно на каждое устройство, которым вы пользуетесь.
Как установить сертификат Сбербанка
Как установить сертификат на iPhone:
- Перейдите по этой ссылке на сайт Госуслуг;
Скачать сертификат можно только на сайте Госуслуг
- Откройте вкладку “Сертификаты для iOS”;
- Нажмите “Скачать профиль для Apple iOS”;
- Разрешите загрузку и перейдите в “Настройки”;
Установите сертификат, следуя инструкциям на экране
- Откройте “Профиль загружен” и установите его;
Не забудьте активировать доверие этому сертификату
- Перейдите в «Настройки» — «Основные» — «Об устройстве» — «Доверие сертификатам» и включите «Russian Trusted Root CA».
Всё, теперь вы сможете пользоваться сертификатом НУЦ Минцифры и заходить на сайт Сбербанка и других отечественных компаний, которые используют отечественные протоколы безопасности. Если этого не сделать, в какой-то момент сайт Сбера может просто не открыться, хотя, скорее всего, резкого отключения не будет. Поскольку сертификаты выдаются сразу на длительный срок, высоко вероятно, ещё какое-то время ещё какое-то время они проработают.
Не открывается сайт Сбербанка. Что делать
С macOS ситуация обстоит немного сложнее. Во всяком случае, от вас потребуется совершить чуть больше манипуляций со своим компьютером, чем с iPhone:
- Перейдите на сайт Госуслуг с сертификатами;
- Откройте вкладку “Сертификаты для macOS”;
Сертификат для macOS тоже есть на сайте Госуслуг
- Нажмите “Скачать сертификаты” и дождитесь загрузки;
- Запустите приложение “Связка ключей” и авторизуйтесь, если необходимо;
- Найдите в поиске сертификаты Russian Trusted Root CA и Russian Trusted Sub CA;
В настройках обоих сертификатов нужно включить «Доверять всегда»
- Поочерёдно откройте их и во вкладке “Доверие” в разделе “Параметры использования сертификатов” выберите “Всегда доверять”;
- Подтвердите изменение настроек вводом код-пароля безопасности.
Что будет со Сбербанком Онлайн
В зависимости от версии ОС названия параметров и очерёдность действий могут незначительно отличаться, однако принципиальных различий быть не должно. Следуйте инструкциям, описанным выше, либо перейдите на сайт Госуслуг и воспользуйтесь их пояснениями. По завершении всех манипуляций ваш компьютер будет готов к работе с сайтами, использующими российские сертификаты безопасности.
iOS-приложение Сбербанк Онлайн и СберБизнес уже имеют предустановленные сертификаты
Несмотря на то что большинству скорее всего не захочется устанавливать эти сертификаты, важно понимать, что вам они обязательно пригодятся в будущем. Дело в том, что они нужны не только для входа на сайты Сбера. В самое ближайшее время они будут внедрены на большинстве сайтов, принадлежащих российским компаниям, и будет лучше, если на вашем устройстве уже будут эти сертификаты, чтобы вы могли сохранить беспрепятственный доступ к этим ресурсам.
⚡️ПОДПИШИСЬ НА НАШ ТЕЛЕГРАМ-ЧАТ. ТАМ ТЕБЕ ОТВЕТЯТ НА ЛЮБЫЕ ВОПРОСЫ ОБ АЙФОНАХ И ОБНОВЛЕНИЯХ
А вот для приложений установка сертификатов не нужна. И Сбербанк Онлайн, и СберБизнес, и многие другие приложения российских банков уже имеют встроенную поддержку сертификатов Минцифры. Поэтому они продолжат работать так же, как и раньше. Но веб-версии личных кабинетов Сбера и других банков без них работать не смогут. Так что очень желательно обзавестись сертификатами заранее, чтобы не лишиться доступа к своим счетам.
Основной сайт «Сбера» работает по http или блокируется многими браузерами без отечественного TLS-сертификата в системе
После перевода на российские TLS-сертификаты основной сайт «Сбера» (sberbank.ru) открывается по http или блокируется иностранными браузерами как небезопасное подключение на ПК и смартфонах без установленного сертификата Russian Trusted Root CA в системе. В «Яндекс Браузере» или в браузере «Атом» сайт «Сбера» открывается в защищённом режиме по https.
Ошибка при попытке открыть сайт «Сбера» в Chrome.
26 сентября «Сбер» сообщил, что основной сайт финансовой организации (sberbank.ru) переводится на российские TLS-сертификаты.
«Сбер» предупредил, что пользователи, которые пока не установили российские TLS-сертификаты, могут столкнуться с предупреждением о небезопасности сайта «Сбера» или его блокировкой браузером.
«Переход сайтов, рабочих ресурсов и систем „Сбера“ на отечественные TLS-сертификаты обеспечит нам независимость от зарубежных удостоверяющих центров и гарантирует безопасный доступ пользователям.
Проверить, есть ли на вашем устройстве необходимые сертификаты, можно здесь.
Если сертификатов нет, рекомендуем установить их для доступа к онлайн-ресурсам „Сбера“. Это можно сделать двумя способами — либо скачать сертификаты на портале «Госуслуги», либо начать пользоваться браузером (»Яндекс Браузер» или «Атом»), который поддерживает сертификаты Минцифры»,
Представители отрасли считают, это произошло из-за того, что регистратор и провайдер GlobalSign по причине наложенных на «Сбер» санкций отказывается продлевать с компанией ранее заключённые договоры, а бесплатные сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним политикам безопасности компании.
Эксперты «Роскомсвободы» считают, что установка российских TLS-сертификатов создаёт серьёзную угрозу пользователям, так как они не признаются ни одним современным иностранным браузером, а их установка в системе открывает «окно» для утечки данных и слежки за действиями пользователей в сети. Подобное уже было в Казахстане, но разработчики иностранных браузеров заблокировали такие попытки.
По их мнению, единственный способ обезопасить себя в этой ситуации — это установить «Яндекс Браузер» на отдельный смартфон, чтобы пользоваться им только для действий на российских сайтах. Этот же смартфон можно использовать для мобильного банкинга, если приложения «Сбера» перестанут работать штатно. Хотя «Сбер» заверяет, что его мобильные приложения уже имеют встроенные российские сертификаты.
19 сентября Минцифры сообщило, что на портале «Госуслуги» опубликованы инструкции по установке российских сертификатов безопасности на устройства пользователей. Такие сертификаты обеспечат доступность российских сайтов в любом браузере пользователям всех операционных систем (сертификат Russian Trusted Root CA).
17 сентября «Сбер» пояснил, что скоро только российские сертификаты обеспечат защищённый доступ к сайтам и онлайн-сервисам «Сбера» с любых устройств пользователей. Для этого нужно или использовать браузеры с поддержкой российских сертификатов («Яндекс Браузер» или «Атом») или установить сертификаты для своей операционной системы.
«Сбер» предупредил, что скоро большинство сайтов в рунете перейдут на российские TLS-сертификаты и пользователям всё равно придётся выбирать: установить корневой сертификат Russian Trusted Root CA или использовать «Яндекс Браузер».
Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
Команда «Яндекс Браузера» ранее рассказала, что применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
15 сентября Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK. Также можно установить в системе сертификат Национального удостоверяющего центра Минцифры России — Russian Trusted Root CA.cer.
В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».
В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.
Для ознакомления с проблемой установки и работой корневого сертификата Russian Trusted Root CA есть пять публикаций на Хабре по этой ситуации:
1. «Суверенный, сувенирный, самопровозглашенный».
2. «Импортозамещение центров сертификации».
3. Про поддержку Certificate Transparency для национальных сертификатов.
4. Про поддержку сайтов с национальными сертификатами в «Яндекс Браузере».
5. Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана.
С тем, как это работает у «Яндекса», можно ознакомиться на GitHub. Сертификат хранится в собственном хранилище, но похоже был добавлен только в Windows сборку браузера.
Пояснение №1 от «Сбера» по этой ситуации: Мы первые в стране начали перевод своих сайтов на российские сертификаты удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к личному кабинету и другим сервисам «Сбера». Объясняем. Сайты должны иметь сертификат удостоверяющего центра, чтобы гарантировать пользователем бесперебойный и безопасный доступ. Раньше такие «документы» выдавали только иностранные компании, но недавно появилась возможность установить сертификат, созданный Минцифры РФ.
Пояснение №2 от «Сбера» по этой ситуации для Хабра: При установке сертификатов безопасности Национального удостоверяющего центра (НУЦ) Минцифры на устройства пользователей сервисы и ресурсы «Сбера» будут доступны в различных, в том числе наиболее популярных браузерах (Safari, Google Chrome, EDGE, Firefox и др.) на различных операционных системах, что подтверждается заранее проведённым тестированием «Сбера».
Пояснение Минцифры по этой ситуации: В марте зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. При попытке зайти на сайт пользователи видели предупреждение о небезопасности ресурса. Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам.
У некоторых владельцев Android перестал работать «Сбербанк онлайн»
Проблемы возникли у владельцев старых смартфонов. В чем причина? И как вернуть доступ к мобильному приложению?
Фото: Victoria Demidova / Фотобанк Лори —>
В пятницу, 20 января, «Сбербанк онлайн» перестал работать на некоторых аппаратах с Android. Необходима версия 7.0 и выше. Для многих владельцев не самых новых смартфонов «поломка» мобильного приложения крупнейшего банка страны стала полной неожиданностью. «Сбер», правда, рассылал им предупреждения, где говорилось, что приложение «Сбербанк онлайн» сильно устарело и 19 января перестанет работать.
Но москвич Артур говорит, что ничего такого не видел: то ли сообщение до него не дошло, то ли он не обратил на него внимания. О том, что он не может теперь зайти с мобильного в «Сбербанк онлайн», Артур узнал случайно, когда решил посмотреть свой счет:
«Когда ехал в метро, зашел в приложение «Сбера» проверить, пришел ли аванс. А приложение сказало, что оно больше не работает, что его нужно обновить. Но, поскольку на Google Play «Сбербанка онлайн» больше нет, мне пришлось скачивать с RuStore. Но приложение «Сбербанк онлайн» я в итоге запустить так и не смог, так как это приложение говорит, что нужен Android версии 7, а у меня Android версии 6. И телефон не обновляется до версии 7».
Массовых сообщений о проблемах с доступом в «Сбербанк онлайн» у владельцев iPhone не было. Возможно, потому что Apple регулярно выпускает обновления своей мобильной операционной системы даже для не самых новых аппаратов. Продолжает обозреватель «Российской газеты» Олег Капранов:
Олег Капранов обозреватель «Российской газеты» «У Apple такой проблемы нет. Обновления приходят, пока смартфон физически не устаревает, когда он перестает поддерживать принципиально важные функции. На пять-шесть более ранних поколений обновления приходят без вопросов. С Android-смартфонами ситуация сложнее, потому что операционка одна, но она импортируется на разные устройства с разными экранами, с разными физическими характеристиками и так далее. Там это полностью зависит от конкретного производителя: сделает этот конкретный производитель для этой конкретной модели смартфона новую прошивку или нет. Очень часто китайские производители, особенно второго эшелона, грешат тем, что забивают на обновления через год».
Самостоятельно обновить мобильную операционную систему не выйдет. Это все-таки не Windows, которую можно поставить практически на любой компьютер. Сборки мобильных ОС создаются под каждое конкретное устройство. И если новых сборок от производителя смартфона нет, владельцу такого смартфона придется смириться с мыслью о том, что мобильное приложение Сбербанка ему теперь недоступно.
Сам «Сбер» рекомендует в таких случаях пользоваться веб-версией. Для этого достаточно одного браузера: на iPhone это Safari, на Android — Google Chrome. Есть еще «Яндекс.Браузер», он доступен на всех платформах. Другое дело, что это не заменит нормальное мобильное приложение, считает гендиректор группы компаний ComNews Леонид Коник:
alt=»Леонид Коник» />Леонид Коник генеральный директор группы компаний ComNews «Клиентский опыт страдает сильно, качество работы такой веб-версии существенно уступает приложению. Огромное количество неоптимизированных, неотработанных вещей. То, что в мобильном приложении работает одним кликом, [в веб-версии] требует иногда три десятка нажатий на клавиши. А некоторые операции просто невозможно сделать — просто из-за того, что что-то не оптимизировано на стыке мобильного устройства и веб-версии».
Старые версии мобильных приложений российских банков были тесно интегрированы с инфраструктурой Apple и Google. После введения санкций они стали работать некорректно. Например, владельцам iPhone перестали приходить пуш-уведомления. Попавшие под санкции банки, скорее всего, последуют примеру «Сбера» и выпустят новые версии приложений, которые будут несовместимы со старыми версиями мобильных операционок. Радикальное решение проблемы — купить новый смартфон. Хотя, наверное, этот вариант подходит не всем.
Сайт Сбербанка не открывается: как установить корневые сертификаты Минцифры
«Не могу зайти в Сбербанк» — один из частых запросов в поисковых системах после 26.09.2022. Что произошло? Как раз 26 сентября основной сайт Сбербанка (sberbank.ru) перевели на российские TLS-сертификаты. После этого происходит одно из двух:
- он открывается по незащищённому соединению http вместо защищённого https;
- не открывается вовсе, поскольку иностранные браузеры (Google Chrome, Firefox, Safari и др.) блокируют интернет-ресурс как небезопасное подключение на ПК и смартфонах.
Проще говоря, сайт Сбербанка хоть и открывается, но выдаёт предупреждение о незащищённом соединении:
Что такое корневые сертификаты
Зачем вообще нужны сертификаты безопасности? Они помогают передавать данные в зашифрованном виде, подтверждают подлинность сайтов и их принадлежность владельцам, защищают онлайн-транзакции и передачу файлов. Для сайтов банковских организаций это особенно важно, поскольку без защищённого подключения любые онлайн-платежи могут быть перехвачены злоумышленниками.
Что случилось с корневыми сертификатами в 2022 году? Весной этого года зарубежные компании, которые выдают сертификаты безопасности, начали их отзывать у российских сайтов и отказывать в выдаче новых. Тогда Минцифры запустило выдачу отечественных сертификатов безопасности. На них в первую очередь начали переходить сайты российских государственных компаний.
Однако наши сертификаты не признаются зарубежными браузерами: Google Chrome, Vivaldi, Mozilla Firefox, Safari, Opera. С весны 2022 годы они некорректно открывают сайты с российскими сертификатами, указывая на небезопасное соединение. Ведь, по их мнению, на устройстве отсутствует корневой сертификат. Аналогичная проблема теперь произошла и с сайтом «Сбера». Он перешёл на российские сертификаты безопасности 26 сентября 2022 года — после этого сайт Сбербанка перестал корректно работать:
Такое уведомление мы увидим, если откроем сайт Сбербанка на Vivaldi
На своём телеграм-канале они выпустили соответствующее сообщение:
«Проверить, есть ли на вашем устройстве необходимые сертификаты, можно здесь». Если переходить по этой ссылке в Яндекс.Браузере, то будет оповещение, что корневые сертификаты Минцифры установлены:
Зато в Mozille Firefox появится предупреждение, что сертификаты не найдены:
Сайт Сбербанка работает корректно, если установить сертификат безопасности
Чтобы открывались российские сайты, в том числе Сбербанка, можно воспользоваться одним из двух способов.
Более сложный — установить корневые сертификаты вручную. Можно быть спокойным: исчерпывающая информация о работе сайтов с российскими сертификатами есть на Госуслугах по этой ссылке:
Там очень подробно рассказывается, как установить корневой сертификат Минцифры на Windows, Android, iOS и MacOS.
Более того, я проверил свою электронную почту и обнаружил, что ещё 6 марта 2022 года от них приходила рассылка: «Проблемы с доступом на некоторые сайты»:
Однако многие эксперты не рекомендуют вручную устанавливать корневые сертификаты на свой компьютер или телефон, поскольку это небезопасно. Трафик с устройств, на которые установлены такие сертификаты, могут перехватить.
Если сайт Сбербанка не работает, то есть ещё один способ решить проблему. И он безопаснее.
Нужно всего лишь установить один из двух российских браузеров: Яндекс.Браузер или Атом (разработчик Mail.ru, сейчас называется VK). Почему? Потому что в них нужные сертификаты безопасности встроены изначально, то есть предусмотрены разработчиками.
Установить Яндекс.Браузер
Установить Атом от VK
Браузер Атом от VK Group скачать можно по этой ссылке — https://browser.ru/. Он будет полезен тем, кому важна работа с сервисами VK (Mail.ru).
Как убедиться, что соединение защищено? Браузер Яндекса выдаёт это уведомление:
Если вы нажмёте подробнее, то увидите информацию о сертификате. Это Russian Trusted Root CA:
В отдельной статье я рассказывал о том, как настроить Яндекс.Браузер на компьютере и телефоне.