Protect: защита от недоверенных сертификатов

Для защиты от фишинга многие сайты используют сертификаты, выдаваемые авторитетными удостоверяющими центрами. Сертификат содержит открытый ключ, используемый для шифрования данных, которые пользователь посылает на сайт при соединении по протоколу HTTPS. Удостоверяющий центр подтверждает, что открытый ключ, который используется при шифровании, действительно принадлежит владельцу сайта.

В рамках комплексной защиты Protect бета-версия Яндекс.Браузерапроверяет сертификаты сайтов. Если возникают сомнения в том, что сертификат принадлежит владельцу сайта, браузер предупреждает об этом.

Если автор сертификата неизвестен

В этом случае сертификат может быть установлен либо администратором сети, либо злоумышленником. Вы увидите следующее предупреждение:

Вы можете либо отказаться от посещения сайта, либо внести сертификат в список надежных, нажав в диалоге кнопку Подробности, а затем кнопку Сделать исключение для этого сайта. В списке надежных сертификат будет находиться в течение 30 дней, после чего вам придется снова сделать для него исключение.

Внимание. Нажимайте кнопку Сделать исключение для этого сайта, только если вы уверены в надежности сертификата. Иначе злоумышленники могут получить доступ к вашим личным данным!

Если вы не уверены в надежности сертификата, а посетить сайт вам очень нужно, примите следующие меры безопасности:

  • Для домашнего компьютера. Обновите антивирус и просканируйте компьютер на наличие вредоносного ПО. Если антивирус обнаружит и удалит установленный злоумышленником сертификат, предупреждение в браузере больше появляться не будет. Если антивирус не удалит подозрительный сертификат, вы можете удалить его сами средствами Windows. Будьте осторожны — если сертификат был установлен не вредоносным ПО, а полезной программой, его удаление может привести к нарушению работы системы.
  • Для служебного компьютера. Для удаления подозрительного сертификата обратитесь к системному администратору. Если он не устанавливал данный сертификат, он его удалит. Если сертификат был установлен администратором в целях безопасности, можете нажимать кнопку Доверять этому сертификату. Но учтите, что после этого администратор сможет просматривать ваши личные данные и электронные платежи.

Если сертификат установлен специальным ПО

Антивирусы, блокировщики рекламы, программы для мониторинга сети и аналогичные специальные программы могут заменять сертификаты сайта своими собственными. Чтобы расшифровывать трафик, они создают собственный корневой сертификат и устанавливают его в операционную систему, помечая как надежный.

Однако сертификат, установленный специальной программой, не может считаться надежным, потому что не принадлежит доверенному центру сертификации. Возникают следующие потенциальные опасности:

  • Ваши данные могут оказаться в распоряжении неизвестных вам людей — разработчиков специальных программ.
  • Сертификат может быть установлен вредоносным ПО, притворяющимся специальной программой. Сегодня браузеры не умеют проверять подлинность сертификатов, установленных специальными программами.

Бета-версия Яндекс.Браузера предупреждает о таких проблемах:

Чтобы посетить сайт:

  1. Выясните, какая программа заменила сертификат. Для этого нажмите на странице предупреждения соответствующую ссылку.
  2. Решите, готовы ли вы доверить свои личные данные изготовителю сертификата:
    • Если готовы, нажмите кнопку Доверять этому сертификату.
    • Если не готовы, отключите в программе проверку соединений HTTPS. Вы можете воспользоваться инструкциями для программ:
      • Антивирус Касперского
      • ESET NOD32
      • Dr Web
      • AdGuard (помимо программы AdGuard существует одноименное дополнение, которое не создает своих сертификатов, поэтому для него проверку отключать не нужно)
      Внимание. Отключив проверку HTTPS, вы не останетесь без защиты. Яндекс.Браузер самостоятельно проверяет безопасность загружаемых файлов, блокирует вредоносные страницы и баннеры, использует дополнительную защиту для страниц банков и платежных систем.

      Если после отключения проверки HTTPS браузер продолжает предупреждать о подозрительном сертификате, а программа, установившая сертификат, вам не нужна, попробуйте временно закрыть эту программу.

Другие проблемы с сертификатами

Если из-за проблем с сертификатом сайт не может обеспечить безопасное шифрование, бета-версия Яндекс.Браузера предупреждает об этом, а в правой части Умной строки появляется значок . Мы не рекомендуем посещать такие сайты и, тем более, вводить на них личные данные или осуществлять электронные платежи.

Проблема Сообщение браузера Описание проблемы В чем опасность

Истек срок действия сертификата

Не удалось подтвердить, что это сервер example.com. Срок действия его сертификата безопасности истек <...> дней назад. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные. Обратите внимание, что на компьютере установлено <текущее время>. Если оно неправильное, измените его и обновите страницу.

У сертификата сайта истек срок действия.

Передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.

Неверный адрес сайта

Не удалось подтвердить, что это сервер example.com. Его сертификат безопасности относится к example1.com. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные.

Нет способа убедиться, что браузер соединен с правильным сайтом.

Если сайт фишинговый, злоумышленники могут перехватить ваши данные.

Самозаверенный сертификат

Не удалось подтвердить, что это сервер example.com. Операционная система компьютера не доверяет его сертификату безопасности. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные.

Сертификат сайта выдан самим сайтом, а не удостоверяющим центром. Подробнее см. статью Самозаверенный сертификат.

Вредоносное ПО или злоумышленники могут перехватить ваши данные.

Недоверенный корневой сертификат

Не удалось подтвердить, что это сервер example.com. Операционная система компьютера не доверяет его сертификату безопасности. Возможно, сервер настроен неправильно или кто-то пытается перехватить ваши данные.

Центр, подписавший сертификат, не является доверенным.

Вредоносное ПО или злоумышленники могут перехватить ваши данные.

Ключ сертификата не совпадает с закрепленным ключом

Обычно сайт example.com использует шифрование для защиты ваших данных. Однако в этот раз он прислал на запрос браузера подозрительный ответ. Возможно, другой сайт пытается выдать себя за example.com, либо оборвалось подключение к сети Wi-Fi. Ваши данные по-прежнему в безопасности: на всякий случай Яндекс.Браузер разорвал соединение до обмена информацией. Перейти на сайт example.com невозможно, так как он использует закрепление сертификата. Это могло произойти из-за ошибки сети или атаки на сайт. Скорее всего, он заработает через некоторое время.

Ключ корневого сертификата не совпадает с ключом, закрепленным на сайте. Это вызвано либо неправильными настройками сервера, либо тем, что злоумышленники пытаются подменить корневой сертификат.

Подробнее о корневом сертификате см. статью Цепочка доверия, а о закреплении (привязывании) ключа см. статью HTTP Public Key Pinning.

Возможно, сайт был подменен вредоносным ПО. Злоумышленники могут перехватить ваши данные.

Не удалось включить шифрование при соединении HSTS

Обычно сайт example.com использует шифрование для защиты ваших данных. Однако в этот раз он прислал на запрос браузера подозрительный ответ. Возможно, другой сайт пытается выдать себя за example.com, либо оборвалось подключение к сети Wi-Fi. Ваши данные по-прежнему в безопасности: на всякий случай Яндекс.Браузер разорвал соединение до обмена информацией. Перейти на сайт example.com невозможно, так как он использует HSTS протокол. Это могло произойти из-за ошибки сети или атаки на сайт. Скорее всего, он заработает через некоторое время.

Браузер не смог включить шифрование и разорвал соединение. Сервер, на котором расположен сайт, обычно использует шифрование, так как на нем включен HSTS-протокол. Отсутствие шифрования может быть признаком хакерской атаки. В этом случае доступ к сайту по HTTP небезопасен.

Есть вероятность, что сайт находится под хакерской атакой. Злоумышленники или вредоносное ПО могут перехватить ваши данные.

Сертификат отозван

Обычно сайт example.com использует шифрование для защиты ваших данных. Однако в этот раз он прислал на запрос браузера подозрительный ответ. Возможно, другой сайт пытается выдать себя за example.com, либо оборвалось подключение к сети Wi-Fi. Ваши данные по-прежнему в безопасности: на всякий случай Яндекс.Браузер разорвал соединение до обмена информацией. Перейти на сайт example.com невозможно, так как его сертификат отозван. Это могло произойти из-за ошибки сети или атаки на сайт. Скорее всего, он заработает через некоторое время.

Сертификат сайта был скомпрометирован и отозван.

Передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.

Устаревшее шифрование

Вы пытаетесь обратиться к серверу в домене example.com, но его сертификат подписан с помощью ненадежного алгоритма (SHA-1 и т. п.). Это значит, что учётные данные безопасности и сам сервер могут быть поддельными. Возможно, вы имеете дело со злоумышленниками.

Сервер использует устаревший ненадежный алгоритм шифрования.

Злоумышленники могут перехватить ваши данные.

Шифры не поддерживаются

Сайт example.com отправил некорректный ответ.

Невозможно установить соединение HTTPS, потому что набор шифров, которые использует сайт, не поддерживается браузером.

Передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.