В этой статье мы рассмотрим давно муссируемый вопрос установки корневых сертификатов Минцифры в РФ, который стал актуальным в силу скорого истечения сертификата Госуслуг.
Зачем это нужно?
Когда пользователь заходит на сайт по протоколу https (а большинство браузеров автоматически форсят переход с http на https), то его браузер, получает от веб сервера сертификат, подписанный удостоверяющим центром (УЦ, он же CA — Certification Authority). Для подписи УЦ использует так называемый корневой сертификат (Root CA certificate). Так как корневые сертификаты основных УЦ включены в код браузеров, Chrome или Firefox могут проверить, что сайт подлинный, и установить защищённое соединение.
Почти все российские публичные порталы и банки использовали заграничные УЦ для выпуска своих конечных сертификатов. И вот в конце сентября 2002 г. срок действия сертификата сайта sberbank.ru закончился. Удостоверяющий центр GlobalSign должен был подписать новый, но не сделал этого из-за санкций. Чтобы посетители сайта не получали предупреждения браузеров о небезопасности соединения, Сбер получил сертификат у российского УЦ, созданного Минцифры.
Вот так сейчас отображается сайт sberbank.ru у тех, кто не предпринимал никаких действий:
Такая же участь ждет и все остальные сайтов банков под санкциями: ВТБ, Альфа-Банк и другие.
Это значит, что уже 7 января сайт Госуслуг будет открываться с ошибкой безопасности.
Что делать?
Так как все основные банки и государственные порталы будут переходить на сертификаты от Минцифры, то для того, чтобы ваш смартфон и компьютер доверяли таким сертификатам, необходимо установить корневые и промежуточные сертификаты УЦ Минцифры.
Скачать сертификаты можно с сайта Госуслуг: https://www.gosuslugi.ru/crt
Там же имеется инструкция для разных ОС, кстати, неточная. Поэтому для разных ОС мы подготовили дополнения к официальной инструкции.
Важно помнить, что скачав сертификаты (для Windows и Android два, для MacOS/Linux — один файл), если вы попытаетесь их открыть, они не установятся. Вам необходимо зайти в системное приложение, которое отвечает за импорт сертификатов.
В Android настройка называется «Сертификат центра сертификации». В оболочке Xiaomi он находится по пути Пароли и Безопасность/Конфиденциальность/Шифрование и учетные данные/Установка сертификатов. В других необходимо искать по поиску через меню настроек.
В MacOS: Keyсhain Access. Откройте это приложение, слева в меню выберите цепочку «Login» («Вход»), после чего через меню File/Import items … (Файл/Импортировать элементы), выберите файл. Далее следуйте официальной инструкции.
В Windows все много проще — там каждый скачанный файл с раcширение *.cer можно установить, нажав правой кнопкой на самом файле и выбрав в контекстном меню «Установить». Важно при установке корневого сертификата в мастере выбрать правильное хранилище «Доверенные корневые центры сертификации».