Зачем нужны отечественные TLS-сертификаты и как их установить
Что такое TLS-сертификат
TLS (Transport Layer Security – протокол защиты транспортного уровня) – это криптографический протокол, который пришел на смену SSL. Он обеспечивает защиту данных во время их передачи между узлами в Cети.
TLS сейчас используется повсеместно – в браузерах, электронной почте, мгновенных сообщениях и даже IP-телефонии. В идеале TLS-сертификат должен быть у каждого сайта. Если же интернет-ресурс не имеет TLS, то при переходе на него в браузере появляется предупреждение о том, что сайт небезопасен.
Зачем нужны российские TLS-сертификаты
В 2022 году у многих отечественных сайтов были отозваны международные сертификаты безопасности. В частности, это касается страниц Центробанка, Сбера, Промсвязьбанка, ВТБ и других финансовых учреждений.
Чтобы российские сайты не зависели от международных сертификатов, но продолжали обеспечивать безопасность, осенью этого года Минцифры выпустило отечественные TLS-сертификаты. Их уже получили около 7000 доменов.
Чтобы вы могли спокойно зайти на страницу с отечественными TLS, устройство должно его распознавать и доверять ему. По умолчанию наши смартфоны и ПК распознают только международные сертификаты – поэтому российский аналог надо установить отдельно.
Что делать пользователям?
Имейте в виду, что для доступа к заблокированным сервисам через приложение, а не сайт, российская цифровая подпись не понадобится. Мобильные клиенты работают по-прежнему.
Если вам критически важно получить доступ к заблокированным ресурсам через сайт, есть два варианта решения проблемы. Один из них относительно простой, второй – сложнее и менее безопасный.
Первый – использовать российские браузеры. Если вы совершенно оправдано опасаетесь вмешиваться в системные настройки своего устройства, то проще всего установить Яндекс Браузер или Атом, которые уже поддерживают российские TLS-сертификаты. Если через них заходить на нужные сайты, то браузеры сами будут применять TLS, когда это требуется.
Второй вариант – установить российские TLS-сертификаты на все устройства вручную. Если вам важно иметь доступ к ресурсам из любого браузера, понадобится встроить распознавание TLS в операционную систему смартфона или ПК. Но имейте в виду: вмешиваться в системные настройки смартфона небезопасно.
Найти файлы для установки сертификатов можно на портале Госуслуг: введите в строке запроса на главной странице «Электронный сертификат безопасности» – «Установка сертификата пользователем».
Признаем, установка – это задача не для слабонервных, поэтому попробуем разобраться вместе. К тому же мы проверили этот способ на наиболее популярных ОС: Android, Windows и iOS. Если вы захотите поставить сертификаты на MacOS, то принцип действий будет аналогичным.
Как установить TLS-сертификат на Android
Для корректной работы сайтов с отечественными TLS на Android-гаджетах понадобится два сертификата – корневой и выпускающий. Так что путь установки придется проходить дважды.
1. Установите корневой сертификат
- Скачайте корневой сертификат для Android на ваше устройство. В браузере Chrome для этого надо зайти в меню (три точки справа вверху) и нажать значок скачивания.
- В настройках девайса отыщите раздел «Сертификат» либо «Установка сертификата» и выберите «Сертификат СА», «Сертификат центра сертификации» или аналогичное название. Раздел может находиться в меню «Безопасность» – «Хранилище учетных данных» или схожих по наименованию пунктах — их название зависит от оболочки Android. Мы рекомендуем просто ввести слово «Сертификат» в строке поиска в настройках, чтобы не тратить время на поиски.
- Может появиться предупреждение о нарушении конфиденциальности данных — нажмите «Все равно установить».
- При запросе введите код-пароль устройства, затем нажмите «Подтвердить» и выберите в загрузках «Russian Trusted Root CA.cer». Остается дождаться уведомления о завершении установки.
2. Установите выпускающий сертификат
Теперь необходимо скачать сертификат Russian Trusted Sub CA и повторить шаги выше. Для корректной работы сертификатов после установки нужно обязательно очистить кэш браузера.
Как установить TLS-сертификат на iOS
Имейте в виду: в нашем случае iPhone завис после загрузки конфигурационного файла. Устройство пришлось перезагружать и скачивать сертификат заново — тогда все заработало.
Также учтите, что для iOS нужно скачать всего один конфигурационный профиль, но установку важно провести сразу после скачивания, иначе профиль автоматически удалится.
Порядок действий следующий:
- При скачивании сертификата появляется всплывающее окно с предупреждением о загрузке – нажмите в нем «Разрешить».
- В настройках выберите «Профиль загружен» и нажмите «Установить» в окне «Установка профиля».
- Введите код-пароль, в окне «Предупреждение» тапните «Установить». Затем в окне «Установка профиля» снова выберите «Установить».
- Наконец, в окне «Профиль установлен» нажмите «Готово».
- Теперь нужно, чтобы ваш гаджет доверял сертификатам. Для этого в настройках откройте раздел «Основные» – «Об этом устройстве» – «Доверие сертификатам».
- Передвиньте ползунок вправо у пункта «Russian Trusted Root CA», а на оповещении «Корневой сертификат» нажмите «Дальше».
- Последний шаг – очистите кэш браузера. Все готово, теперь ваш смартфон или планшет будет распознавать российские TLS-сертификаты и доверять им.
Как установить TLS-сертификаты на Windows
На компьютерах с ОС Windows также понадобится провести установку два раза.
1. Установите корневой сертификат
- Скачайте корневой сертификат Russian Trusted Root CA.cer на портале Госуслуг. Для этого кликните на его текст правой клавишей мыши и в выпадающем меню выберите «Сохранить как».
- Войдите в папку «Загрузки», откройте загруженный файл и выберите «Установить сертификат».
- В окне «Мастер импорта сертификатов» нужно выбрать пункт «Текущий пользователь» – «Далее».
- Теперь выберите «Поместить все сертификаты в следующее хранилище» – «Обзор» – «Доверенные корневые центры сертификации» – «Далее».
- В окне «Завершение мастера импорта сертификатов» нажмите «Готово», а затем – «ОК».
В процессе также может появиться всплывающее окно «Предупреждение системы безопасности» – нажмите «Да», чтобы завершить установку.
2. Установите выпускающий сертификат
- Скачайте выпускающий сертификат Russian Trusted Sub CA.cer, зайдите в папку с загрузками, откройте его и выберите «Установить сертификат».
- В открывшемся окне «Мастер импорта сертификатов» кликните на пункт «Текущий пользователь – «Далее». Затем нажмите «Автоматически выбрать хранилище на основе типа сертификата» – «Далее».
- В окне «Завершение мастера импорта сертификатов» нажмите «Готово», а затем «ОК». Установка сертификатов будет полностью завершена.
Помните, что для корректной работы сертификатов нужно очистить кэш всех браузеров, которыми вы пользуетесь на своем ПК.
Как удалить TLS-сертификаты
Если вы уже установили сертификаты, но ваше устройство стало работать некорректно или вы начали беспокоиться о безопасности данных, то все установленное можно удалить:
На Android: в настройках откройте раздел «Надежные сертификаты» — «Надежные учетные данные» — «Пользователь». В списке сертификатов найдите Russian Trusted Root CA и Russian Trusted Sub CA, по очереди удалите их. Некоторые производители сразу предлагают удалить все пользовательские сертификаты — если такой пункт есть, можно им воспользоваться.
На iOS: войдите в «Настройки» – «Основные» – «VPN и управление устройством». Зайдите в профиль Russian Trusted Root CA и нажмите «Удалить сертификат» внизу экрана.
На компьютере с ОС Windows в разделе «Параметры конфиденциальности устройства» введите в поиске «сертификат». В выпадающем меню выберите «Управление сертификатами компьютеров» – откроется окно «Сертификаты». Вам нужна папка «Доверенные корневые центры сертификации» — «Сертификаты». Последовательно выберите файлы Russian Trusted Root CA.cer и Russian Trusted Sub CA.cer и удалите их, нажав на красный крестик. Инструкция подходит для Windows 10 и 11, в более ранних версиях названия пунктов могут отличаться.
Подводим итоги
При установке отечественных сертификатов безопасности вам придется игнорировать многочисленные предупреждения системы – и это неспроста. Новые настройки могут привести к сбоям в работе устройства, в его системе защиты появятся новые уязвимости, а ваши конфиденциальные данные окажутся под угрозой.
К тому же даже российские TLS-сертификаты не гарантируют стабильную работу сайтов через популярные зарубежные браузеры. Например, в 2019 году в Казахстане попытка перевести сайты на национальные сертификаты привела к их полной блокировке всеми иностранными браузерами.
Так что, вероятно, пока безопаснее использовать отечественные браузеры — в них уже подключаются российские TLS при открытии определенных страниц. Но все-таки постарайтесь не вводить конфиденциальные данные через веб-обозреватель — для этого лучше использовать мобильные приложения.