Почему онлайн-сервисы «Сбера» теперь работают только в «Яндекс.Браузере» и «Атоме»


Источник фото: RG.ru
В сентябре 2022 года стало известно о том, что онлайн-сервисы «Сбера» переходят на российские TLS-сертификаты и будут работать только в «Яндекс.Браузере» и «Атоме». О том, почему так произошло, сообщает портал «Хабр».


Почему онлайн-сервисы «Сбера» будут работать только в «Яндекс.Браузере» и «Атоме»


15 сентября 2022 года Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс.Браузере» и «Атоме». Банк постоянно ведет работу по замещению зарубежных вендоров и сервисов на отечественные разработки. В рамках этой программы «Сбер» стал первым в стране, кто начал заменять зарубежные сертификаты на отечественные. В ближайшее время на них будет переведен главный сайт «Сбербанк.ру». Также на российские сертификаты перейдут и остальные сайты, ресурсы и системы «Сбера». Это гарантирует бесперебойный и безопасный доступ клиентов к сервисам финансового учреждения, обеспечивая их независимость от иностранных решений.

«Мы приветствуем решение Сбера перевести свои онлайн-сервисы на отечественные сертификаты удостоверяющих центров. Перевод ресурсов крупнейшего банка и одной из ведущих технологических компаний страны на наши сертификаты будет хорошим примером для всего российского рынка и станет стимулом к снижению зависимости от зарубежных компаний. Сервис по выдаче сертификатов безопасно работает с марта 2022 года на портале Государственных услуг. Сертификаты выдаются бесплатно», — говорит глава Минцифры Максут Шадаев.

Ведомство уточнило, что переход «Сбера» на российские TLS-сертификаты обеспечит независимость банка от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам. Эксперты говорят, что произошло это из-за того, что регистратор и провайдер GlobalSighn по причине наложенных на «Сбер» санкций отказывается продлевать с компанией ранее заключенные договоры, а бесплатно сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним политикам безопасности компании.

В чем проблема


По словам экспертов, проблема в том, что отечественные TLS-сертификаты, включая TLS-сертификаты с поддержкой прозрачности, выдаются только Национальным удостоверяющим центром (НУЦ). На данный момент использование таких TSL-сертификатов поддерживается только в браузерах «Яндекс.Браузер» и браузер «Атом». Они при установлении соединения с сайтом проверяют, что сертификат сайта записан в нужные журналы. Если сертификат сайта не имеет меток о записи в журналы, то пользователь увидит в браузере предупреждение о небезопасном соединении и рекомендацию не использовать сайт, так как он не является безопасным.

В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности для сайтов. TLS-сертификаты нужны для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузера пользователя по протоколу HTTPS.