Перезагрузить защиту. Эксперты советуют клиентам банков не откладывать установку российских сертификатов безопасности: Деловой климат: Экономика: Lenta.ru

Эксперты советуют клиентам банков не тянуть с установкой российских сертификатов безопасности

Обычный пользователь банковской карты, особенно тот, кто привык оплачивать покупки и заказы через интернет, вряд ли задумается о необходимости установить сертификаты безопасности. Однако обновить международный сертификат на отечественный — от Минцифры — на своих устройствах, будь то компьютер или телефон, необходимо, считают эксперты. Это позволит избежать перебоев с оплатой и обезопасить платежную операцию.

По мнению аналитиков, внедрение российских сертификатов безопасности — необходимость, связанная с тем, что до 2022 года не было ни одного доверенного удостоверяющего центра, подконтрольного России.

В последнее время зарубежные центры стали отказываться выдавать новые или продлевать старые SSL-сертификаты. Срок действия многих ранее выданных сертификатов начинает истекать, и соединение перестает быть безопасным, что становится проблемой. Пользователи из России при посещении ряда сайтов видели предупреждение о небезопасности ресурса.

В марте 2022 года на сайте «Госуслуги» заработал сервис выдачи сертификатов безопасности. После этого российские компании начали переводить на них свои сайты, в том числе такие гиганты, как Сбер. Об установке сертификатов Минцифры на своих ресурсах уведомляли ВТБ, Мособлбанк, Газпромбанк, РСХБ. Переходят на российские сертификаты и госструктуры, в частности Росреестр, Росздравнадзор.

Минцифры разработало свои TLS-сертификаты. Как отмечают в ведомстве, переход обеспечивает независимость от зарубежных компаний и гарантирует пользователям безопасный доступ ко всем ресурсам. Российские сертификаты отличаются от зарубежных только использованием отечественной криптографии метода шифрования данных. Сертификаты доступны и юридическим лицам — владельцам сайтов, а использование российского TSL-сертификата обеспечивает доступность ресурса в «Яндекс.Браузере» и браузере «Атом». Всего сертификаты выданы на 7000 доменных имен.

Фото: Кирилл Каллиников / РИА Новости

С 30 января платежный шлюз Сбербанка перешел на отечественные сертификаты. «Рекомендуем установить на ваши личные устройства сертификаты Минцифры. Они обеспечат стабильную работу российских сайтов на ваших устройствах и надежно защитят ваши данные. Также можно установить и использовать «Яндекс.Браузер» или «Атом»», — порекоменовали в кредитной организации. При возникновении проблем в ходе платежа клиенту нужно обратиться по номеру 900.

«Пользуйтесь браузерами с электронными сертификатами безопасности НУЦ (Национальный удостоверяющий центр) Минцифры для работы в Интернете. Это обеспечит надежное и защищенное подключение, позволит всегда иметь доступ к любым сайтам и сервисам ВТБ», — отмечается на сайте банка.

В вопросе установки и использования сертификатов необходимо ориентироваться на рекомендации банка, считает главный аналитик компании «РегБлок» Анна Авакимян. «Это обусловлено тем, что именно банк проводит ряд циклов тестирования, отражающих функциональность новых сертификатов. Назначение сертификатов Национального удостоверяющего центра Минцифры как раз и ориентировано на предупреждение операционных рисков, связанных с возможным ограничением функциональных возможностей международных сертификатов», — объясняет эксперт.

По ее словам, пользователи заинтересованы в устойчивом и бесшовном переходе на российские сертификаты безопасности. Наибольшие временные затраты занимают работы по настройке оборудования и тестированию новых возможностей. Вероятность возникновения сложностей и сбоев, связанных с новыми сертификатами, невелика.

Еще несколько лет назад некоторые российские компании отправляли свои пароли при входе обычным текстом без шифрования, что давало третьей стороне огромные возможности ими воспользоваться. «Гибридное шифрование снижает нагрузку на процессор и сеансовое шифрование лучше. Каждый ключ сам по себе должен быть аутентичным, тогда возникнуть посреднику, способному подменить сертификат и воспользоваться каналом вне центра сертификации, будет намного сложнее. Сертификат — это ключ, который еще и подписан цифровой подписью», — напоминает доцент кафедры информатики РЭУ им. Г.В. Плеханова Александр Тимофеев. По его словам, перспектива масштабной регулярной утечки конфиденциальной информации за рубеж стала реальностью.

Старший аналитик мультисемейного офиса ITSWM Георгий Окромчедлишвили советует установить сертификаты Минцифры. «В целом стоит это делать сейчас, если вы планируете для переводов и эквайринга использовать Сбер или ВТБ, так как уже в 2023 году истекает срок действия выданных этим и другим банкам глобальных сертификатов. Если вы работаете исключительно внутри России, то смысла цепляться за глобальную сертификацию, в принципе, особенно нет, так как с точки зрения криптографии и архитектуры безопасности подходы у глобальных и отечественных сертификатов по факту почти не отличаются. Для среднестатистического российского интернет-магазина достаточно будет просто добавить сертификат на свою серверную сторону, чтобы организовать правильную работу с API банка», — говорит эксперт.

Например, такие крупные ретейлеры, как «Связной», «Детский мир», «Леруа Мерлен», «Вкусвилл», а также Спортмастер, DNS и ряд других ранее оповестили своих покупателей о необходимости установить отечественный браузер или сертификаты Минцифры.

Единственные сложности, по словам эксперта, могут возникнуть при работе с браузерами вроде Chrome, Mozilla Firefox или Opera, так как в отличие от «Яндекс.Браузера» (или «Атома» от VK) наши сертификаты специально не оптимизировались под работу с этими инструментами просмотра веб-страниц. Но и в данном случае речь идет о временных технических трудностях, которые, скорее всего, будет полностью устранены к концу года.

«На сегодняшний день сертификаты нужны для проведения операций по карте и доступа к онлайн-банку», — говорит ведущий аналитик Mobile Research Group Эльдар Муртазин. По его словам, сертификаты безопасны. Эльдар Муртазин считает, что мировая система сертификатов и доверенных сайтов будет преобразовываться, а российский опыт, можно сказать, пионерский, один из первых в этой области.

Технически международные и российские сертификаты не отличаются, но имеет значение, кем они выданы. «Если банк находится под санкциями, ему нужно использовать сертификаты Минцифры. Есть разные полулегальные пути, как та или иная подсанкционная организация может получить сертификаты, но это история «борьбы меча и щита». На мой взгляд, заниматься этим бессмысленно, надо рано или поздно переходить на российские сертификаты, и это придется делать», — подчеркнул Муртазин.

Как получить сертификат по Яндекс.Маркет?

Получение сертификата специалиста по Яндекс.Маркет – отличная возможность проверить знания по работе с крупнейшей торговой площадкой, а также пополнить свою копилку успешных кейсов официальным именным документом от российской IT-компании.

Сразу оговорюсь, продавать ответы теста я не буду – поверьте, это бессмысленная трата денег. Чтобы стать высококлассным специалистом, способным эффективно продвигать товары, нужно владеть основами по работе с Маркетом от Яндекса и, конечно же, опытом настройки онлайн магазинов.

Кто может пройти сертификацию по Яндекс.Маркет?

Тестирование предназначено для:

• агентств, работающих с Маркетом по договору комиссии от 1 года и дольше;
• сотрудников агентств с опытом работы размещения интернет магазинов в Маркете;
• всех желающих проверить свои знания по работе с торговой площадкой.

Общая информация по тестированию для специалистов

Тест состоит из 30 вопросов, на которые вам нужно дать ответы не дольше, чем за 45 минут с момента старта тестирования. При успешном прохождения теста вы получаете именной сертификат, действительный в течение 1 года. По истечению этого срока вам будет необходимо пройти тестирование заново.

Вопросы разбиты на 5 тем:

1. Правила работы на Маркете.
2. Настройки магазина на Маркете.
3. Оплата и доступы.
4. Прайс-лист и показы.
5. Продвижение и управление ставками.

Что вам нужно знать о тестировании?

• Полученный сертификат будет закреплён за логином, под которым вы проходили тестирование, поэтому перед тестом проверьте ваши данные в Яндекс. Паспорте – имя и фамилию. Потом изменить информацию вам не удастся. В случае, если сертификат привязан к логину представителя агентства, то при переходе в новую компанию можно забрать свой логин, соответственно, удалить этот логин из представителей предыдущего агентства и добавить нового представителя с таким же логином в новое агентство.
• Результат тестирования засчитывается как успешный, если вы наберёте 80 % и более верных ответов по каждой тематике теста. Итоги тестирования в процентах выводятся по каждой теме отдельно.
• После того, как таймер тестирования запущен, у вас нет возможности поставить время на паузу или получить/сохранить промежуточные итоги. При этом допускается пропуск сложного для вас вопроса и переход к следующему – в конце теста вы можете к ним вернуться при условии, что время ещё не истекло.
• Советую вам подготовиться к тестированию, потому что при отрицательном результате вам будет предоставлена вторая попытка только через неделю, третья – через месяц, четвёртая – через 3 месяца и так далее.

Тестирование по Маркету: инструкция

Авторизуйтесь в Яндексе и проверьте правильность личных данных. Теперь открывайте страницу сертификации по Яндекс.Маркет, поставьте галочку в соответствующем окне и нажимайте «Начать тестирование».

А вот и пример вопроса по первой теме. Как видите, интерфейс страницы предельно простой: слева вверху показывается % пройденных вопросов, а справа остаток времени. Хочу обратить ваше внимание, к некоторым вопросам может быть более одного правильного ответа.

Ещё один вариант вопроса по теме «Прайс-лист и показы».

Подготовка к тестированию: что вам нужно знать и уметь?

Все 5 тем и подтемы я собрал в сводную таблицу.

Где найти материалы для подготовки к сертификации?

Даже если вы хорошо знаете Яндекс.Маркет, то освежить теоретические моменты в любом случае будет полезно. Для тех, кто только стартовал в этой сфере, нижеперечисленные источники обязательны для изучения.

1. Статьи в Яндекс. Помощь по Маркету – здесь собрана вся основная информация о сервисе и начале работы с ним, о продвижении товаров и настройке магазина в Маркете, о методах решения возможных проблем.
2. Статья «Правила размещения рекламы на Яндексе. Требования к рекламным материалам» – обязательно к просмотру.
3. Техдокументация Яндекс.Маркета – здесь вы почерпнёте информацию о возможностях API при работе с ассортиментом магазина.
4. Руководство по PriceLabs – вся основная информация о сервисе есть в моей статье.
5. Видео уроки на канале «Яндекс.Маркет для бизнеса» – выделю здесь 2 видео, которые стоит посмотреть:

«Как составить прайс-лист»

«Яндекс.Баланс для бухгалтера»

Сертификация агентства по Яндекс.

Маркету

Сертификация агентств запущена Яндексом с 2016 года. Сертифицированные агентства становятся бизнес партнёрами Яндекса, которые он, в свою очередь, рекомендует на своём сайте в разделе «Сертифицированные агентства».

Как я уже написал, к сертификации допускаются агентства, которые сотрудничают с Маркетом не менее 1 года по договору комиссии. При этом в штате агентства должен работать хотя бы 1 специалист, получивший сертификат Яндекс.Маркета.

Компания выдвигает дополнительные требования по количеству магазинов, которые ведёт агентство:

• для Санкт-Петербурга и Москвы – не менее 10 магазинов со средним ежемесячным оборотом в 10 тысяч у.е. и более;
• для остальных регионов – не менее 7 магазинов со средним ежемесячным оборотом в 5 тысяч у.е. и более.

Сертификация агентств основана на анализе данных об их работе и работе магазинов, которые они ведут. По каждому критерию начисляются баллы, а потом подсчитывается суммарный показатель.

По каким принципам Яндекс оценивает работу самого агентства?

1. Экспертность. Рассчитывается по формуле: число активных магазинов за 6 мес./число сертифицированных специалистов агентства.
2. Доля новых магазинов. Опять же, подсчёт ведётся за последние 6 месяцев: подчитывается число активных магазинов на начало этого периода и то же самое на конец полугодия, затем выводится значение в %.

3. Оценка удовлетворённости магазинов работой агентства. На данном этапе агентство должно пригласить к участию в опросе своих клиентов – не менее половины подключенных к Маркету магазинов.

По каким принципам Яндекс оценивает работу магазинов, которые ведёт агентство?

1. Средний рейтинг онлайн-магазинов.
2. Регионы продаж – города, в которые возможна доставка.
3. Доля магазинов с добавленным счётчиком Яндекс.Метрики.
4. Активность – доля дней от полугодия, когда магазины были активными на Маркете.
5. Доля магазинов, применяющих автоматическое управление ставками.
6. Доля магазинов, использующих API.
7. Численность ошибок на проверку за последние полгода.

Дополнительные начисления баллов

В процессе сертификации агентство может получить баллы за определённые успехи в своей нише деятельности, к примеру, за квалифицированную подготовку специалистов и обучение своих клиентов. Как в этом случае начисляются баллы? Решает сам Яндекс.

Вывод

При наличии опыта в работе с Яндекс.Маркетом у вас есть возможность пройти сертификацию с первого раза. Если вы некоторое время не занимались продвижением товаров на Маркете или не работали с PriceLabs, советую вам освежить знания и узнать, какие новшества появились в сервисах. Агентствам, безусловно, придётся подготовиться к сертификации, чтобы соответствовать требованиям Яндекса. Желаю вам успехов!

Previous Story

Два вида дифференциации продукта

Next Story

12 сервисов для маркетологов

Защита от недоверенных сертификатов. Справочная информация

В комплексной системе безопасности Protect Яндекс. Браузер проверяет сертификаты сайтов. Яндекс.Браузер предупреждает, если сайт не может обеспечить безопасное шифрование данных из-за проблем с сертификатом.

1. Зачем сайтам сертификат
2. Чем опасен недоверенный сертификат
3. Заблокированные сайты с недоверенными сертификатами
4. Возможные причины блокировки сайтов
5. Если автор сертификата неизвестен
6. Если сертификат установлен программой
7. Сообщить о фишинге

Ваши личные данные и платежная информация должны быть защищены при их отправке на сайт. Веб-сайты используют протокол HTTPS для безопасного соединения. Он активирует алгоритм асимметричного шифрования, при котором данные шифруются с помощью открытого ключа и расшифровываются с помощью закрытого ключа. Для каждого сеанса Яндекс.Браузер регенерирует закрытый ключ и передает его на сайт, а также принимает меры предосторожности для предотвращения кражи.

Однако, если вы окажетесь на фишинговом веб-сайте, он может получить закрытый ключ и затем расшифровать ваши данные. Для защиты от фишинга сайты используют цифровые сертификаты, выданные специальными удостоверяющими центрами. Сертификат гарантирует, что ключи принадлежат владельцу сайта.

Вы можете оказаться на фишинговом сайте, либо ваши данные не получат необходимой защиты на исходном сайте (например, если срок действия сертификата сайта истек). В результате хакеры могут:

• Перехватить или заменить ваши личные данные и прочитать вашу переписку.

• Получите ваши платежные данные (номер карты, имя владельца карты, срок действия и CVV2) и используйте их для кражи денег с вашего счета.

Если сайт не может гарантировать безопасное шифрование из-за проблем с сертификатом сайта, то страница сайта не откроется и вы увидите в адресной строке Поисковые запросы можно вводить и Яндекс Браузер поймет что тебе нужно.

«}}»> и предупреждение о том, что безопасное соединение установить не удалось. В этом случае вы можете решить либо не посещать сайт, либо добавить сертификат в список доверенных.

Внимание. Сделайте это, если вы абсолютно уверены, что сертификат заслуживает доверия. В противном случае хакеры могут получить доступ к вашим личным данным и онлайн-платежам.

Примечание. Если вы не можете установить безопасное соединение с сервисами Яндекса из-за ошибки ERR_CERT_AUTHORITY_INVALID или ERR_CERT_DATE_INVALID, значит сертификат отсутствует в операционной системе. Обновите Windows или импортируйте сертификаты вручную. Дополнительные сведения см. в разделах Ошибка ERR_CERT_AUTHORITY_INVALID и Ошибка ERR_CERT_DATE_INVALID.

Яндекс.Браузер блокирует сайты со следующими проблемами с сертификатом:

Центр сертификации неизвестен

Вы увидите сообщение о том, что Яндексу не удалось установить безопасное соединение. Хакеры могут попытаться украсть ваши данные (например, пароли, сообщения или номер вашей банковской карты)».

Дополнительные сведения см. в разделе Если центр сертификации неизвестен.

Сертификат был установлен специальной программой

Вы увидите сообщение «Вы пытались зайти на сайт example. com, но их сертификат не является доверенным. Сертификат выдан центром сертификации, с которым Яндекс не знаком; однако ваша ОС считает его заслуживающим доверия…» .

Дополнительные сведения см. в разделе Если сертификат был установлен программой.

Неверный адрес сайта

Вы увидите сообщение «Не удалось подтвердить, что это сервер example.com. Сертификат безопасности применяется к example1.com. Этот сервер может быть неправильно настроен или кто-то пытается перехватить ваши данные».

Это означает, что сохраненный на сервере сертификат безопасности не относится к тому сайту, который вы открыли. Вероятно, вы попали на фишинговый сайт. В этом случае хакеры могут перехватить ваши данные.

Самозаверяющий сертификат

Вы увидите сообщение «Не удалось подтвердить, что это сервер example.com. Операционная система компьютера не доверяет его сертификату безопасности. Этот сервер может быть неправильно настроен или кто-то пытается перехватить ваши данные».

Это означает, что сайт выдал себе сертификат. Это вредоносное ПО, иначе хакеры могут перехватить ваши данные. Дополнительные сведения см. в разделе Самозаверяющий сертификат.

Ненадежный корневой сертификат

Вы увидите сообщение «Не удалось подтвердить, что это сервер example.com. Операционная система компьютера не доверяет его сертификату безопасности. Этот сервер может быть неправильно настроен или кто-то пытается перехватить ваши данные».

Это означает, что центр, подписавший сертификат, не заслуживает доверия и не может гарантировать подлинность сайта. Это вредоносное ПО, иначе хакеры могут перехватить ваши данные. Дополнительные сведения о корневых сертификатах см. в разделе Корневой сертификат.

Срок действия сертификата истек

Вы увидите сообщение «Не удалось подтвердить, что это сервер example.com. Срок действия сертификата безопасности истек <...> дней назад. Этот сервер может быть неправильно настроен или кто-то пытается перехватить ваши данные. Пожалуйста, убедитесь, что на вашем компьютере установлено <текущее время> Если оно неверное, измените его и обновите страницу».

Если срок действия сертификата истек, отправляемые данные не будут зашифрованы, поэтому злоумышленники смогут их перехватить.

Сертификат отозван

Вы увидите сообщение «Обычно сайт example.com шифрует ваши данные. Однако на этот раз он прислал подозрительный ответ на запрос от Яндекс.Браузера. Возможно, другой сайт пытается выдать себя за example.com, или соединение Wi-Fi было потеряно. Ваши данные по-прежнему в безопасности: Яндекс.Браузер разорвал соединение еще до обмена данными. Невозможно перейти на сайт example.com, так как его сертификат отозван. Это могло быть вызвано сетевой ошибкой или атакой на сайт. Возможно, через какое-то время он снова появится».

Это означает, что сертификат сайта был скомпрометирован и отозван. В этом случае отправляемые данные не будут зашифрованы, поэтому злоумышленники смогут их перехватить.

Устаревшее шифрование

Вы увидите сообщение о том, что «Вы пытаетесь связаться с сервером например. com, но его сертификат был подписан с использованием ненадежного алгоритма (SHA-1 и т.д.). Это означает, что учетные данные безопасности и сам сервер могут быть поддельными. Вы можете иметь дело с хакерами».

Если сервер использует устаревший и ненадежный алгоритм шифрования, хакеры могут перехватить ваши данные. Существует значительная вероятность того, что вы попали на фишинговый сайт.

Шифры не поддерживаются

Вы увидите сообщение о том, что «Веб-сайт example.com отправил неверный ответ».

Это означает, что Яндекс.Браузер не может установить HTTPS-соединение, так как сайт использует шифры, не поддерживаемые Яндекс.Браузером. В этом случае отправляемые данные не будут зашифрованы, поэтому злоумышленники смогут их перехватить.

Ключ сертификата не соответствует закрепленному ключу

Вы увидите сообщение «Обычно сайт example.com шифрует ваши данные. Однако на этот раз он прислал подозрительный ответ на запрос от Яндекс.Браузера. Возможно, другой сайт пытается выдать себя за example. com, или соединение Wi-Fi было потеряно. Ваши данные по-прежнему в безопасности: Яндекс.Браузер разорвал соединение еще до обмена данными. Невозможно перейти на сайт example.com, так как его сертификат отозван. Это могло быть вызвано сетевой ошибкой или атакой на сайт. Возможно, через какое-то время он снова появится».

Это означает, что ключ корневого сертификата не соответствует ключу веб-сайта. Хакеры могут попытаться заменить корневой сертификат. Тогда они могут перехватить ваши данные. Дополнительные сведения о закреплении (связывании) ключа см. в разделе Закрепление открытого ключа HTTP.

Данные не могут быть зашифрованы через HSTS

Вы увидите сообщение «Обычно сайт example.com шифрует ваши данные. Однако на этот раз он прислал подозрительный ответ на запрос от Яндекс.Браузера. Возможно, другой сайт пытается выдать себя за example.com, или соединение Wi-Fi было потеряно. Ваши данные по-прежнему в безопасности: Яндекс.Браузер разорвал соединение еще до обмена данными. Не могу зайти на сайт example.com, так как он использует протокол HSTS. Это могло быть вызвано сетевой ошибкой или атакой на сайт. Возможно, через какое-то время он снова появится».

Это означает, что Яндекс.Браузер не смог включить шифрование и разорвал соединение. Сервер, на котором расположен сайт, обычно использует шифрование, так как на нем включен протокол HSTS. Отсутствие шифрования может быть признаком хакерской атаки. В этом случае хакеры или вредоносные программы могут перехватить ваши данные.

В данном случае сертификат был установлен сетевым администратором или случайным лицом. Вы увидите предупреждение:

Вы можете либо отказаться от посещения веб-сайта, либо добавить сертификат в список доверенных, нажав Подробности в окне, а затем Сделать исключение для этого сайта. Сертификат останется в списке доверенных на 30 дней, после чего вам снова придется делать исключение.

Внимание. Нажмите Сделать исключение для этого веб-сайта, только если вы уверены, что сертификат заслуживает доверия. В противном случае хакеры могут получить доступ к вашим личным данным.

Если вы не уверены в надежности сертификата, но хотите посетить сайт, примите следующие меры безопасности:

• Для домашних компьютеров. Обновите антивирус и проверьте компьютер на наличие вредоносных программ. Если ваш антивирус обнаружит и удалит сертификат, установленный хакерами, вы больше не увидите предупреждение в Яндекс.Браузере. Если ваш антивирус не удалил подозрительный сертификат, вы можете удалить его вручную.

  Внимание. Будьте осторожны: если сертификат был установлен законной программой (а не вредоносной программой), его удаление может привести к сбою в работе системы.

• Для рабочих компьютеров. Обратитесь к системному администратору, чтобы удалить подозрительный сертификат. Они удалят все сертификаты, которые они не установили. Если сертификат был установлен администратором, вы можете нажать Перейти на сайт. Но помните, что после этого администратор сможет просматривать вашу личную информацию и электронные платежи.

Антивирусы, блокировщики рекламы, мониторинг сайта и другие программы могут заменить сертификат сайта на свой. Для расшифровки трафика они генерируют собственный корневой сертификат и устанавливают его в операционной системе, помечая как доверенный.

Однако сертификат, установленный специальной программой, нельзя считать заслуживающим доверия, так как он не принадлежит доверенному удостоверяющему центру. Это приводит к следующим угрозам:

• Ваши данные могут стать доступными для неизвестных лиц — разработчиков специальных программ.

• Сертификат мог быть установлен вредоносным ПО, выдающим себя за специальную программу. Браузеры не имеют возможности проверять подлинность таких сертификатов.

Яндекс.Браузер предупреждает о следующих проблемах:

Зайти на сайт:

1. Узнать какая программа заменила сертификат. Эту информацию можно найти, нажав соответствующую ссылку на странице предупреждения.

2. Решите, готовы ли вы доверять свою личную информацию эмитенту сертификата:

   • Если да, нажмите Перейти на веб-сайт.

   • Если не уверены, отключите проверку HTTPS-соединения в программе. Вы можете использовать инструкции для следующих программ:

     • Антивирус Лаборатории Касперского

     • ESET NOD32

     • Dr.Web

     • AdGu ard (помимо программы AdGuard есть одноименное расширение который не создает собственных сертификатов, поэтому вам не нужно ничего отключать для него).

     Внимание. Если вы отключите проверку HTTPS, это не означает, что вы не защищены. Яндекс.Браузер самостоятельно проверяет загружаемые вами файлы на безопасность, блокирует вредоносные страницы и баннеры, использует расширенную защиту страниц банков и платежных систем.

     Если Яндекс.Браузер продолжает предупреждать вас о подозрительном сертификате даже после отключения проверки HTTPS, а программа, установившая сертификат, вам не нужна, попробуйте временно закрыть эту программу.

Если вы столкнулись с подозрительным сайтом, напишите нам об этом через форму обратной связи.

Связаться со службой поддержки

Была ли статья полезной?

Защита: Защита от недоверенных сертификатов

Мобильный Яндекс.Браузер проверяет сертификаты сайта. Браузер предупреждает вас, если есть проблемы с сертификатом безопасности веб-сайта, и он не может обеспечить безопасное шифрование данных.

1. Зачем веб-сайтам нужен сертификат
2. Чем опасен недоверенный сертификат
3. Заблокированные веб-сайты с ненадежными сертификатами
4. Причины блокировки

Ваши личные данные и платежная информация должны быть защищены, когда вы отправляете их на веб-сайт. Веб-сайты используют протокол HTTPS для безопасного соединения. Протокол активирует алгоритм асимметричного шифрования, при котором данные шифруются с помощью открытого ключа, а расшифровываются с помощью закрытого ключа. Для каждого сеанса браузер повторно генерирует закрытый ключ и передает его на веб-сайт с соблюдением необходимых мер предосторожности для предотвращения кражи.

Однако, если вы окажетесь на фишинговом веб-сайте, он может получить закрытый ключ и затем расшифровать ваши данные. Для защиты от фишинга сайты используют цифровые сертификаты, выданные специальными удостоверяющими центрами. Сертификат гарантирует, что ключи шифрования действительно принадлежат владельцу сайта.

Вы можете оказаться на фишинговом сайте, либо ваши данные не получат необходимой защиты на исходном сайте (например, если срок действия сертификата сайта истек). В результате хакеры могут:

• Перехватить или заменить ваши личные данные и прочитать вашу переписку.

• Получите ваши платежные данные (номер карты, имя владельца карты, срок действия и CVV2) и используйте их для кражи денег с вашего счета.

Если веб-сайт не может гарантировать безопасное шифрование данных из-за проблем с сертификатом, вы увидите значок (в SmartBox) или значок (на панели инструментов «Защита», которая открывается через  → О сайте). Сайт не загружается, а на странице отображается сообщение о том, что не удалось установить безопасное соединение. В этом случае вы можете решить либо не посещать сайт, либо добавить сертификат в свой список доверенных.

Нажмите «Подробнее» → Сделать исключение для этого сайта. Сертификат останется в списке доверенных на 30 дней, после чего вам снова придется делать исключение.

Внимание. Сделайте это, если вы абсолютно уверены, что сертификат заслуживает доверия. В противном случае хакеры могут получить доступ к вашим личным данным и онлайн-платежам.

Яндекс.Браузер блокирует сайты, имеющие следующие проблемы с сертификатом:

Центр сертификации неизвестен

Возможно, сертификат был установлен хакером или специальной программой. Блокировщики рекламы и подобные приложения могут заменять сертификаты веб-сайтов собственными сертификатами. Если сертификат был установлен приложением, нужно его найти и отключить в нем проверку HTTPS.

Вы также можете доверить свои данные такому сертификату, но помните о двух потенциальных опасностях:

• Ваши данные могут стать доступными для неизвестных разработчиков приложений.

• Сертификат может быть установлен вредоносным ПО, выдающим себя за приложение. Браузеры не имеют возможности проверять подлинность сертификатов, установленных специальными приложениями.

Неверный адрес сайта

Сертификат безопасности сайта принадлежит другому сайту. Сервер может быть просто неправильно настроен, но не исключено, что вы попали на фишинговый сайт. В этом случае хакеры могут перехватить ваши данные.

Самозаверяющий сертификат

Сертификат сайта выдается самим сайтом, а не центром сертификации. Дополнительные сведения см. в разделе Самозаверяющий сертификат. Вредоносное ПО или хакеры могут перехватить ваши данные.

Ненадежный корневой сертификат

Центр, подписавший сертификат, не является доверенным. Вредоносное ПО или хакеры могут перехватить ваши данные. Дополнительные сведения о корневых сертификатах см. в разделе Корневой сертификат.

Срок действия сертификата истек

Отправляемые данные не будут зашифрованы, а это значит, что хакеры могут их перехватить.

Сертификат отозван

Сертификат сайта был скомпрометирован и отозван. Отправляемые данные не будут зашифрованы, а значит, хакеры смогут их перехватить.

Устаревшее шифрование

Сервер использует устаревший, ненадежный алгоритм шифрования. Хакеры могут перехватить ваши данные.

Шифры не поддерживаются

Невозможно установить HTTPS-соединение, поскольку веб-сайт использует шифры, не поддерживаемые браузером. Отправляемые данные не будут зашифрованы, а значит, хакеры смогут их перехватить.

Ключ сертификата не соответствует закрепленному ключу

Ключ сертификата не соответствует закрепленному ключу веб-сайта. Хакеры могут попытаться заменить корневой сертификат. Тогда они могут перехватить ваши данные. Дополнительные сведения о закреплении (связывании) ключа см. в разделе Закрепление открытого ключа HTTP.

Не удалось зашифровать данные через HSTS

Браузер не смог включить шифрование и разорвал соединение. Сервер, на котором расположен сайт, обычно использует шифрование, так как на нем включен протокол HSTS. Отсутствие шифрования может быть признаком хакерской атаки. В этом случае хакеры или вредоносные программы могут перехватить ваши данные.

Если вы не можете найти нужную информацию в справке или у вас возникли проблемы с Яндекс.Браузером для мобильных устройств, опишите свои действия пошагово. Если есть возможность, сделайте скриншот. Это поможет нашим специалистам службы поддержки быстро найти решение проблемы, с которой вы столкнулись.

Примечание. Для решения проблем с сервисами Яндекса обращайтесь в службу поддержки этих сервисов:

Яндекс.Браузер для ПК

Если у вас возникли проблемы с использованием десктопной версии Яндекс.Браузера, вы можете связаться с нами прямо из браузера: перейдите в  → Дополнительно → Сообщить проблему или заполните форму.

Главная страница Яндекса

Если ваш вопрос касается главной страницы Яндекса (например, вы хотите изменить тему, настроить блоки или иконки для сервисов или найти YooMoney), свяжитесь с нами через эту форму.