Российские сайты не открываются из-за сертификатов безопасности: причины и решение проблемы

C начала марта у российских государственных учреждений и организаций иностранные центры сертификации начали отзывать ранее выданные SSL-сертификаты. Причина все та же – санкционная политика иностранных государств. Первоначально с проблемой столкнулся Центробанк и попавшие в санкционный лист банки РФ — ВТБ, Совкомбанк, Промсвязьбанк. Затем сертификатов лишись сайты госорганов, компаний с госучастием и домены обычных коммерческих фирм. Западные поставщики SSL-сертификатов заявили о прекращении их выпуска для российских и белорусских сайтов. Продлить ранее выданные сертификаты теперь тоже нельзя. Как следствие, при попытке перейти на нужный сайт пользователь получает сообщение об ошибке с надписью: «Соединение небезопасно». А небезопасные соединения браузер блокирует. 

SSL-сертификат или Secure Socket Layer (в переводе на русский язык – «уровень защищенного сокета») – это средство защиты информации в Интернете от фишинга и других схем кибермошенничества. Цифровой сертификат позволяет подтвердить подлинность веб-сайта и установить с ним зашифрованное, а значит, безопасное соединение. Иначе говоря, это цифровая подпись сайта. При ее наличии обмен данными происходит по протоколу SSL, что обеспечивает безопасную передачу информации браузером пользователя веб-серверу. Если на сайте установлен SSL-сертификат, вы можете свободно передать свои персональные и банковские данные, не опасаясь, что они станут доступны третьим лицам.
Сейчас применяется новая, более совершенная версия SSL-сертификатов под названием TLS. Но так как интернет-пользователям больше привычна аббревиатура SSL, TLS-сертификаты продолжили называть по-старому — SSL.

Для этого нужно посмотреть в адресную строку. Сайт, защищенный сертификатом безопасности, будет помечен значком закрытого замка. Если нажать на него, появится оповещение о безопасном подключении. Кликнув на надпись: «Сертификат», отобразятся сведения кому, кем и на сколько выдан SSL-сертификат. На сайтах, не защищенных сертификатами, нет значка с закрытым замком, а в адресной строке отображается надпись: «Не защищено».
Также на сайтах c SSL URL-адрес (находится в адресной строке) будет начинаться с указания на протокол HTTPS. Если URL-адрес начинается с HTTP, то этот сайт не защищен SSL-сертификатом и обмен данными с ним небезопасен. 

Дело в том, что практически все владельцы сайтов в той или иной мере выступают операторами персональных данных. Если функционал сайта предусматривает оставление заявки для обратной связи, указание имейла, публикацию комментариев, подписку на новостную рассылку, регистрацию личного кабинета, возможность оплаты товаров, работ или услуг, то все это подпадает под определение «Обработка персональных данных». Согласно положениям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»  оператор при обработке персональных данных обязан обеспечить их безопасность, в том числе путем принятия технических мер безопасности. Установка на сайт SSL-сертификата является одной из таких мер. Поэтому браузеры блокируют доступ к сайтам c отозванными иностранными сертификатами или вовсе не имеющим таких сертификатов. Даже если пользователь не собирается оставлять свои персональные данные, браузер ограничит ему доступ к небезопасному сайту. 

Теперь есть. Раньше сертификаты безопасности выдавали только иностранные удостоверяющие центры через свои партнерские компании. После массового отзыва в начале марта зарубежных сертификатов Минцифры анонсировало скорый запуск работы национального удостоверяющего центра по бесплатной выдаче TLS-сертификатов российским компаниям, лишившимся сертификатов безопасности из-за санкций. Как пояснили в министерстве, получить TLS-сертификат можно дистанционно на портале госуслуг. Здесь же публикуется список доменов, которым уже выпустили сертификаты. При этом в ведомстве пообещали, что поддерживать отечественные TLS-сертификаты будут все работающие на территории России браузеры и операционные системы.
Уже в конце марта научно-исследовательский институт «Восход» сообщил о готовности информационной системы национального удостоверяющего центра, которая обеспечивает выпуск TLS-сертификатов. Однако в институте уточнили, что сертификаты выпускают с применением не только российских криптографических алгоритмов, но и иных, а работоспособность сайтов с их использованием поддерживают только российские браузеры «Яндекс» и «Атом». А это значит, что проблемы доступа к сайтам из-за SSL-сертификатов все равно останутся. 

Это происходит ввиду того, что корневой сертификат российского удостоверяющего центра, то есть файл с данными об отечественном удостоверяющем центре, пока интегрирован только в браузеры РФ. В иностранные браузеры и операционные системы, которые массово используются в России, он не встроен. Поэтому при открытии через них сайт ошибка о небезопасном соединении все равно появится. 

Способ № 1. Установите «Яндекс.Браузер»

Самый легкий способ решения проблемы – установить российский браузер. Скачать «Яндекс.Браузер» можно по ссылке https://browser.yandex.ru/. Нажмите «Скачать», откройте скачанный файл и нажмите «Установить». Способ посоветовало Минцифры РФ после появления перебоев в доступе к госуслугам.

Способ № 2. Установите браузер Atom

Это второй российский браузер, установка которого позволит решить проблему блокировки перехода на сайт. Скачать браузер Atom можно по ссылке https://browser.ru/. Нажмите «Установить» и откройте скачанный файл, после чего начнется установка.

Способ № 3. Установите корневой сертификат удостоверяющего центра РФ в Windows

Этот способ позволит открывать сайты через иностранные браузеры — Google Chrome, Mozilla Firefox, Opera и другие, а не только через «Яндекс.Бразуер» и Atom.

В Windows 10 выполните следующие действия:

• перейдите по ссылке https://www.gosuslugi.ru/tls;
• найдите раздел «Корневой сертификат удостоверяющего центра» и нажмите кнопку «Скачать сертификат»;
• откройте скачанный zip-файл, кликните на файл rootca_ssl_rsa2022.cer и нажмите кнопку «Установить сертификат»;
• нажмите «Далее» и выберите пункт «Поместить все сертификаты в следующее хранилище»;
• кликните кнопку «Обзор» и, выбрав «Доверенные корневые центры сертификации», нажмите «Ок»;
• кликните кнопку «Далее», затем «Готово». Если компьютер попросит подтвердить установку, нажмите «Да». Сертификат установится, появится оповещение «Импорт успешно выполнен».

Способ № 4. Обратитесь в IT-отдел вашей компании

Менее продвинутым пользователям ПК вышеописанные действия могут показаться сложными. Поэтому рекомендуем ознакомить с инструкцией сотрудников IT-отдела, чтобы они помогли выполнить необходимые настройки.