В этой статье мы рассмотрим давно муссируемый вопрос установки корневых сертификатов Минцифры в РФ, который стал актуальным в силу скорого истечения сертификата Госуслуг.

Зачем это нужно?

Когда пользователь заходит на сайт по протоколу https (а большинство браузеров автоматически форсят переход с http на https), то его браузер, получает от веб сервера сертификат, подписанный удостоверяющим центром (УЦ, он же CA — Certification Authority). Для подписи УЦ использует так называемый корневой сертификат (Root CA certificate). Так как корневые сертификаты основных УЦ включены в код браузеров, Chrome или Firefox могут проверить, что сайт подлинный, и установить защищённое соединение.

Список доверенных CA и их корневых сертификатов можно посмотреть здесь и на сайте Apple (для MacOS он свой).

Почти все российские публичные порталы и банки использовали заграничные УЦ для выпуска своих конечных сертификатов. И вот в конце сентября 2002 г. срок действия сертификата сайта sberbank.ru закончился. Удостоверяющий центр GlobalSign должен был подписать новый, но не сделал этого из-за санкций. Чтобы посетители сайта не получали предупреждения браузеров о небезопасности соединения, Сбер получил сертификат у российского УЦ, созданного Минцифры.

Вот так сейчас отображается сайт sberbank.ru у тех, кто не предпринимал никаких действий:

Такая же участь ждет и все остальные сайтов банков под санкциями: ВТБ, Альфа-Банк и другие.

Сроки истечения сертификатов популярных сайтов:

  • gosuslugi.ru — 7 января 2023 г.
  • vtb.ru — 3 апреля 2023 г.
  • sber.ru — 31 марта 2023 г.
  • alfabank.ru — 15 апреля 2023 г.

Это значит, что уже 7 января сайт Госуслуг будет открываться с ошибкой безопасности.

Что делать?

Так как все основные банки и государственные порталы будут переходить на сертификаты от Минцифры, то для того, чтобы ваш смартфон и компьютер доверяли таким сертификатам, необходимо установить корневые и промежуточные сертификаты УЦ Минцифры.

Скачать сертификаты можно с сайта Госуслуг: https://www.gosuslugi.ru/crt

Там же имеется инструкция для разных ОС, кстати, неточная. Поэтому для разных ОС мы подготовили дополнения к официальной инструкции.

Важно помнить, что скачав сертификаты (для Windows и Android два, для MacOS/Linux — один файл), если вы попытаетесь их открыть, они не установятся. Вам необходимо зайти в системное приложение, которое отвечает за импорт сертификатов.

В Android настройка называется «Сертификат центра сертификации». В оболочке Xiaomi он находится по пути Пароли и Безопасность/Конфиденциальность/Шифрование и учетные данные/Установка сертификатов. В других необходимо искать по поиску через меню настроек.

В MacOS: Keyсhain Access. Откройте это приложение, слева в меню выберите цепочку «Login» («Вход»), после чего через меню File/Import items … (Файл/Импортировать элементы), выберите файл. Далее следуйте официальной инструкции.

В Windows все много проще — там каждый скачанный файл с раcширение *.cer можно установить, нажав правой кнопкой на самом файле и выбрав в контекстном меню «Установить». Важно при установке корневого сертификата в мастере выбрать правильное хранилище «Доверенные корневые центры сертификации».

[Посещений: 555, из них сегодня: 1]
Опубликовано в ОСи

Добавить комментарий