Сбербанк, похоже, таки перешел на сертификаты Минцифры. Интернет все больше делится на "рунет" и "весь остальной".
Сегодня я впервые столкнулся с тем, что я не смог сделать оплату картой в российском сервисе, который использует шлюз Сбербанка для приема платежей. Причина в том, что один из подсервисов Сбера (а именно отправщик смс-кодов подтверждения платежа) уже переключился на так называемый "сертификат минцифры", при этом отключив работу с другими, обычными сертификатами (и, соответственно, с "обычными" браузерами - у меня совершенно стандартный Firefox).
Сбер об этом предупреждал уже давно, но до практической реализации дошло только сейчас. Похожими изменениями грозят в будущем госуслуги.
Теперь, для того чтобы сделать оплату картой в магазине, который пользуется услугами Сбербанка (при том, что я сам клиентом Сбера не являюсь), мне предлагается два варианта
- Либо установить Яндекс-браузер. Т.е. мне предлагается установить какой-то специальный браузер только ради доступа к одному определенному сайту (группе сайтов). Кстати, на мою убунту 16 он так и не установился
- Либо встроить сертификат минцифры в свой бразуер, которым я обычно пользуюсь (никогда так не делайте)
В первом варианте интернет начинает делиться на "рунет" и "остальной". У нас начинают появляться сайты, на которые можно зайти только с одного определенного браузера. Подобное случалось и раньше, но к сожалению, это не то, ради чего в принципе строился Интернет.
Второе решение - вообще верх безграмотности в области компьютерной безопасности. Установка "постороннего" сертификата в браузер позволяет владельцу сертификата (сиречь госорганам) в сочетании с доступом к каналу связи (вы помните, что роскомнадзор по закону нынче слушает весь трафик провайдеров РФ?) осуществлять атаку "человек посередине" (man-in-the-middle) и расшифровывать ВЕСЬ зашифрованный средствами HTTPS трафик (в том числе трафик на условный твиттер) - включая пароли, банковские карты, личную переписку, и т.п.
Кстати, многие неопытные пользователи, кто установит себе по первому варианту Яндекс-браузер, будут по привычке пользоваться им не только для Сбера, но и для других сайтов (очевидно, что в этой всей истории есть некоторая доля популяризации Яндекс-браузера). В этом случае они подвергаются той же опасности, что и установившие себе сертификат в обычный браузер - число потенциальных "хакеров", способных читать шифрованный трафик, в этом случае резко увеличивается.
Итого, рекомендация:
- По возможности избегайте сервисов/сайтов, которые работают исключительно с сертификатами минцифры, и не поддерживают обычные сертификаты. Нечего лазить по сайтам, которые "не работают нормально" - ваш браузер вас не просто так предупреждает об опасностях
- Если же вам позарез надо на сайт, который без минцифры ничего не умеет (а так бывает), установите себе Яндекс-браузер для использования ТОЛЬКО в этих сервисах (в случаях особой паранойи установите этот браузер на отдельный компьютер). Для прочих сайтов используйте обычный браузер с настройками по умолчанию
