Защита от недоверенных сертификатов

Мобильный Яндекс.Браузер проверяет сертификаты сайтов. Если из-за проблем с сертификатом сайт не может обеспечить безопасное шифрование ваших данных, браузер предупреждает об этом.

  1. Зачем нужен сертификат сайта
  2. Чем опасен недоверенный сертификат
  3. Блокировка сайтов с недоверенными сертификатами
  4. Причины блокировки

Зачем нужен сертификат сайта

Ваши личные или платежные данные при отправке на сайт должны быть защищены. В интернете сайты используют для безопасного соединения протокол HTTPS. Протокол включает асимметричный алгоритм шифрования, когда данные зашифровываются с помощью открытого ключа и расшифровываются с помощью закрытого ключа. Для каждого сеанса связи браузер заново генерирует закрытый ключ и передает его на сайт с мерами предосторожности, исключающими кражу.

Однако, если вы попадете на фишинговый сайт, он может получить закрытый ключ и затем расшифровать ваши данные. Для защиты от фишинга сайты используют цифровые сертификаты, выданные специальными удостоверяющими центрами. Сертификат гарантирует, что ключи, используемые при шифровании, действительно принадлежат владельцу сайта.

Чем опасен недоверенный сертификат

Вы можете оказаться на фишинговом сайте или ваши данные окажутся без должной защиты на оригинальном сайте (например, если у сайта истек срок действия сертификата). В результате злоумышленники могут:

  • Перехватить или подменить ваши личные данные, а также прочитать вашу переписку.
  • Получить ваши платежные данные (номер карты, имя владельца, срок действия и CVV2) и использовать их для кражи денег с вашего счета.

Блокировка сайтов с недоверенными сертификатами

Если из-за проблем с сертификатом сайт не может обеспечить безопасное шифрование, в Умной строке появляется значок  и появляется предупреждение о невозможности установить безопасное соединение. В этом случае вы можете либо отказаться от посещения сайта, либо внести сертификат в список надежных.

Нажмите в диалоге кнопку Подробности, а затем кнопку Сделать исключение для этого сайта. В списке надежных сертификат будет находиться в течение 30 дней, после чего вам придется снова сделать для него исключение.

Внимание. Делайте это, только если вы полностью уверены в надежности сертификата. Иначе злоумышленники могут получить доступ к вашим личным данным и электронным платежам!

Причины блокировки

Яндекс.Браузер блокирует сайты, у которых есть следующие проблемы с сертификатами:

Автор сертификата неизвестен

Сертификат может быть установлен либо злоумышленником, либо специальной программой. Антивирусы, блокировщики рекламы и аналогичные приложения могут заменять сертификаты сайта своими собственными. Если сертификат установлен приложением, вам надо выявить его и отключить в нем проверку HTTPS.

Вы также можете решить доверить свои данные такому сертификату, но следует иметь в виду две потенциальные опасности:

  • Ваши данные могут оказаться в распоряжении неизвестных вам разработчиков приложения.
  • Сертификат может быть установлен вредоносным ПО, притворяющимся приложением. Сегодня браузеры не умеют проверять подлинность сертификатов, установленных специальными приложениями.
Неверный адрес сайта
Сертификат безопасности сайта относится к другому сайту. Возможно, сервер настроен неправильно, но есть вероятность, что вы попали на фишинговый сайт. В этом случае злоумышленники могут перехватить ваши данные.
Самозаверенный сертификат

Сертификат сайта выдан самим сайтом, а не удостоверяющим центром. Подробнее см. статью Самозаверенный сертификат. Вредоносное ПО или злоумышленники могут перехватить ваши данные.

Недоверенный корневой сертификат
Центр, подписавший сертификат, не является доверенным. Вредоносное ПО или злоумышленники могут перехватить ваши данные. Подробнее о корневом сертификате см. статью Цепочка доверия.
Истек срок действия сертификата
Передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.
Сертификат отозван
Сертификат сайта был скомпрометирован и отозван. Передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.
Устаревшее шифрование
Сервер использует устаревший ненадежный алгоритм шифрования. Злоумышленники могут перехватить ваши данные.
Шифры не поддерживаются
Невозможно установить соединение HTTPS, потому что сайт использует шифры, которые не поддерживаются браузером. Передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.
Ключ сертификата не совпадает с закрепленным ключом

Ключ корневого сертификата не совпадает с ключом, закрепленным на сайте. Возможно, злоумышленники пытаются подменить корневой сертификат. В этом случае они могут перехватить ваши данные. Подробнее о закреплении (привязывании) ключа см. статью HTTP Public Key Pinning.

Не удалось включить шифрование при соединении HSTS
Браузер не смог включить шифрование и разорвал соединение. Сервер, на котором расположен сайт, обычно использует шифрование, так как на нем включен HSTS-протокол. Отсутствие шифрования может быть признаком хакерской атаки. В этом случае злоумышленники или вредоносное ПО могут перехватить ваши данные.