Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

Зачем нужны отечественные TLS-сертификаты и как их установить

Недавно Минцифры объявило о доступности российских TLS-сертификатов. Установить их могут любые отечественные сайты, но прежде всего это важно для ресурсов, у которых в 2022 году были отозваны международные сертификаты безопасности. Редакция ZOOM.CNews рассказывает, для чего они нужны и как установить новые сертификаты на смартфон и компьютер.
Содержание:
Зачем нужны отечественные TLS-сертификаты и как их установить
Зачем нужны отечественные TLS-сертификаты и как их установить
Версия для печати

Что такое TLS-сертификат

TLS (Transport Layer Security – протокол защиты транспортного уровня) – это криптографический протокол, который пришел на смену SSL. Он обеспечивает защиту данных во время их передачи между узлами в Cети.

TLS сейчас используется повсеместно – в браузерах, электронной почте, мгновенных сообщениях и даже IP-телефонии. В идеале TLS-сертификат должен быть у каждого сайта. Если же интернет-ресурс не имеет TLS, то при переходе на него в браузере появляется предупреждение о том, что сайт небезопасен.

Зачем нужны российские TLS-сертификаты

В 2022 году у многих отечественных сайтов были отозваны международные сертификаты безопасности. В частности, это касается страниц Центробанка, Сбера, Промсвязьбанка, ВТБ и других финансовых учреждений.


Чтобы российские сайты не зависели от международных сертификатов, но продолжали обеспечивать безопасность, осенью этого года Минцифры выпустило отечественные TLS-сертификаты. Их уже получили около 7000 доменов.

Чтобы вы могли спокойно зайти на страницу с отечественными TLS, устройство должно его распознавать и доверять ему. По умолчанию наши смартфоны и ПК распознают только международные сертификаты – поэтому российский аналог надо установить отдельно.

Что делать пользователям?

Имейте в виду, что для доступа к заблокированным сервисам через приложение, а не сайт, российская цифровая подпись не понадобится. Мобильные клиенты работают по-прежнему.

Если вам критически важно получить доступ к заблокированным ресурсам через сайт, есть два варианта решения проблемы. Один из них относительно простой, второй – сложнее и менее безопасный.

Первый – использовать российские браузеры. Если вы совершенно оправдано опасаетесь вмешиваться в системные настройки своего устройства, то проще всего установить Яндекс Браузер или Атом, которые уже поддерживают российские TLS-сертификаты. Если через них заходить на нужные сайты, то браузеры сами будут применять TLS, когда это требуется.

Второй вариант – установить российские TLS-сертификаты на все устройства вручную. Если вам важно иметь доступ к ресурсам из любого браузера, понадобится встроить распознавание TLS в операционную систему смартфона или ПК. Но имейте в виду: вмешиваться в системные настройки смартфона небезопасно.

Найти файлы для установки сертификатов можно на портале Госуслуг: введите в строке запроса на главной странице «Электронный сертификат безопасности» – «Установка сертификата пользователем».


Признаем, установка – это задача не для слабонервных, поэтому попробуем разобраться вместе. К тому же мы проверили этот способ на наиболее популярных ОС: Android, Windows и iOS. Если вы захотите поставить сертификаты на MacOS, то принцип действий будет аналогичным.

Как установить TLS-сертификат на Android

Для корректной работы сайтов с отечественными TLS на Android-гаджетах понадобится два сертификата – корневой и выпускающий. Так что путь установки придется проходить дважды. 

1. Установите корневой сертификат

  • Скачайте корневой сертификат для Android на ваше устройство. В браузере Chrome для этого надо зайти в меню (три точки справа вверху) и нажать значок скачивания. 
  • В настройках девайса отыщите раздел «Сертификат» либо «Установка сертификата» и выберите «Сертификат СА», «Сертификат центра сертификации» или аналогичное название. Раздел может находиться в меню «Безопасность» – «Хранилище учетных данных» или схожих по наименованию пунктах — их название зависит от оболочки Android. Мы рекомендуем просто ввести слово «Сертификат» в строке поиска в настройках, чтобы не тратить время на поиски.
  • Может появиться предупреждение о нарушении конфиденциальности данных — нажмите «Все равно установить».
  • При запросе введите код-пароль устройства, затем нажмите «Подтвердить» и выберите в загрузках «Russian Trusted Root CA.cer». Остается дождаться уведомления о завершении установки. 




2. Установите выпускающий сертификат

Теперь необходимо скачать сертификат Russian Trusted Sub CA и повторить шаги выше. Для корректной работы сертификатов после установки нужно обязательно очистить кэш браузера.

Как установить TLS-сертификат на iOS

Имейте в виду: в нашем случае iPhone завис после загрузки конфигурационного файла. Устройство пришлось перезагружать и скачивать сертификат заново — тогда все заработало.

Также учтите, что для iOS нужно скачать всего один конфигурационный профиль, но установку важно провести сразу после скачивания, иначе профиль автоматически удалится.

Порядок действий следующий:

  • При скачивании сертификата появляется всплывающее окно с предупреждением о загрузке – нажмите в нем «Разрешить». 
  • В настройках выберите «Профиль загружен» и нажмите «Установить» в окне «Установка профиля».
  • Введите код-пароль, в окне «Предупреждение» тапните «Установить». Затем в окне «Установка профиля» снова выберите «Установить».
  • Наконец, в окне «Профиль установлен» нажмите «Готово».





  • Теперь нужно, чтобы ваш гаджет доверял сертификатам. Для этого в настройках откройте раздел «Основные» – «Об этом устройстве» – «Доверие сертификатам». 
  • Передвиньте ползунок вправо у пункта «Russian Trusted Root CA», а на оповещении «Корневой сертификат» нажмите «Дальше». 
  • Последний шаг – очистите кэш браузера. Все готово, теперь ваш смартфон или планшет будет распознавать российские TLS-сертификаты и доверять им.




Как установить TLS-сертификаты на Windows

На компьютерах с ОС Windows также понадобится провести установку два раза. 

1. Установите корневой сертификат

  • Скачайте корневой сертификат Russian Trusted Root CA.cer на портале Госуслуг. Для этого кликните на его текст правой клавишей мыши и в выпадающем меню выберите «Сохранить как».


  • Войдите в папку «Загрузки», откройте загруженный файл и выберите «Установить сертификат».
  • В окне «Мастер импорта сертификатов» нужно выбрать пункт «Текущий пользователь» – «Далее».
  • Теперь выберите «Поместить все сертификаты в следующее хранилище» – «Обзор» – «Доверенные корневые центры сертификации» – «Далее».
  • В окне «Завершение мастера импорта сертификатов» нажмите «Готово», а затем – «ОК».





В процессе также может появиться всплывающее окно «Предупреждение системы безопасности» – нажмите «Да», чтобы завершить установку. 

2. Установите выпускающий сертификат

  • Скачайте выпускающий сертификат Russian Trusted Sub CA.cer, зайдите в папку с загрузками, откройте его и выберите «Установить сертификат».
  • В открывшемся окне «Мастер импорта сертификатов» кликните на пункт «Текущий пользователь – «Далее». Затем нажмите «Автоматически выбрать хранилище на основе типа сертификата» – «Далее».
  • В окне «Завершение мастера импорта сертификатов» нажмите «Готово», а затем «ОК». Установка сертификатов будет полностью завершена.

Обзор смарт-часов HUAWEI WATCH GT 5 46 мм: первый тест в России




Помните, что для корректной работы сертификатов нужно очистить кэш всех браузеров, которыми вы пользуетесь на своем ПК.

Как удалить TLS-сертификаты

Если вы уже установили сертификаты, но ваше устройство стало работать некорректно или вы начали беспокоиться о безопасности данных, то все установленное можно удалить:

На Android: в настройках откройте раздел «Надежные сертификаты» — «Надежные учетные данные» — «Пользователь». В списке сертификатов найдите Russian Trusted Root CA и Russian Trusted Sub CA, по очереди удалите их. Некоторые производители сразу предлагают удалить все пользовательские сертификаты — если такой пункт есть, можно им воспользоваться.


На iOS: войдите в «Настройки» – «Основные» – «VPN и управление устройством». Зайдите в профиль Russian Trusted Root CA и нажмите «Удалить сертификат» внизу экрана. 



На компьютере с ОС Windows в разделе «Параметры конфиденциальности устройства» введите в поиске «сертификат». В выпадающем меню выберите «Управление сертификатами компьютеров» – откроется окно «Сертификаты». Вам нужна папка «Доверенные корневые центры сертификации» — «Сертификаты». Последовательно выберите файлы Russian Trusted Root CA.cer и Russian Trusted Sub CA.cer и удалите их, нажав на красный крестик. Инструкция подходит для Windows 10 и 11, в более ранних версиях названия пунктов могут отличаться.




Подводим итоги

При установке отечественных сертификатов безопасности вам придется игнорировать многочисленные предупреждения системы – и это неспроста. Новые настройки могут привести к сбоям в работе устройства, в его системе защиты появятся новые уязвимости, а ваши конфиденциальные данные окажутся под угрозой.

К тому же даже российские TLS-сертификаты не гарантируют стабильную работу сайтов через популярные зарубежные браузеры. Например, в 2019 году в Казахстане попытка перевести сайты на национальные сертификаты привела к их полной блокировке всеми иностранными браузерами. 

Так что, вероятно, пока безопаснее использовать отечественные браузеры — в них уже подключаются российские TLS при открытии определенных страниц. Но все-таки постарайтесь не вводить конфиденциальные данные через веб-обозреватель — для этого лучше использовать мобильные приложения.

Версия для печати