Protect: защита от недоверенных сертификатов

В рамках комплексной защиты Protect мобильный Яндекс.Браузер проверяет сертификаты сайтов. Если из-за проблем с сертификатом сайт не может обеспечить безопасное шифрование ваших данных, браузер предупреждает об этом.

  1. Зачем нужен сертификат сайта
  2. Чем опасен недоверенный сертификат
  3. Блокировка сайтов с недоверенными сертификатами
  4. Причины блокировки

Зачем нужен сертификат сайта

Когда вы посылаете на сайт свои личные или платежные данные, они должны быть защищены. Для безопасного соединения сайты используют протокол HTTPS, шифрующий данные в незащищенных каналах интернета. Данные зашифровываются с помощью открытого ключа, и расшифровываются с помощью закрытого ключа, который для каждого сеанса связи генерируется браузером заново и передается на сайт с мерами предосторожности, исключающими кражу.

Однако, если вы попадете на фишинговый сайт, он может получить закрытый ключ и затем расшифровать ваши данные. Для защиты от фишинга сайты используют цифровые сертификаты, выданные авторитетными удостоверяющими центрами. Сертификат гарантирует, что открытый ключ, используемый при шифровании, действительно принадлежит владельцу сайта.

Чем опасен недоверенный сертификат

Вы можете оказаться на фишинговом сайте или ваши данные окажутся без должной защиты на оригинальном сайте (например, если истек срок действия сертификата). В результате злоумышленники могут:

  • Перехватить или подменить ваши личные данные, а также прочитать вашу переписку.
  • Получить ваши платежные данные (номер карты, имя владельца, срок действия и CVV2) и использовать их для кражи денег с вашего счета.

Блокировка сайтов с недоверенными сертификатами

Если из-за проблем с сертификатом сайт не может обеспечить безопасное шифрование, в левой части Умной строки появляется значок  и вы увидите следующее предупреждение:

«Невозможно установить безопасное соединение. Злоумышленники могут пытаться похитить ваши данные (например, пароли, сообщения или номер банковской карты)».

Вы можете либо отказаться от посещения сайта, либо внести сертификат в список надежных, нажав в диалоге кнопку Подробности, а затем кнопку Сделать исключение для этого сайта. В списке надежных сертификат будет находиться в течение 30 дней, после чего вам придется снова сделать для него исключение.

Внимание. Нажимайте кнопку Сделать исключение для этого сайта, только если вы уверены в надежности сертификата. Иначе злоумышленники могут получить доступ к вашим личным данным!

Причины блокировки

Яндекс.Браузер блокирует сайты, у которых есть следующие проблемы с сертификатами:

Автор сертификата неизвестен

Сертификат может быть установлен либо злоумышленником, либо специальной программой. Антивирусы, блокировщики рекламы и аналогичные приложения могут заменять сертификаты сайта своими собственными. Если сертификат установлен приложением, вам надо выявить его и отключить в нем проверку HTTPS.

Вы также можете решить доверить свои данные такому сертификату, но следует иметь в виду две потенциальные опасности:

  • Ваши данные могут оказаться в распоряжении неизвестных вам разработчиков приложения.
  • Сертификат может быть установлен вредоносным ПО, притворяющимся приложением. Сегодня браузеры не умеют проверять подлинность сертификатов, установленных специальными приложениями.
Неверный адрес сайта
Сертификат безопасности сайта относится к другому сайту. Возможно, сервер настроен неправильно, но есть вероятность, что вы попали на фишинговый сайт. В этом случае злоумышленники могут перехватить ваши данные.
Самозаверенный сертификат

Сертификат сайта выдан самим сайтом, а не удостоверяющим центром. Подробнее см. статью Самозаверенный сертификат. Вредоносное ПО или злоумышленники могут перехватить ваши данные.

Недоверенный корневой сертификат
Центр, подписавший сертификат, не является доверенным. Вредоносное ПО или злоумышленники могут перехватить ваши данные. Подробнее о корневом сертификате см. статью Цепочка доверия.
Истек срок действия сертификата
Передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.
Сертификат отозван
Сертификат сайта был скомпрометирован и отозван. Передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.
Устаревшее шифрование
Сервер использует устаревший ненадежный алгоритм шифрования. Злоумышленники могут перехватить ваши данные.
Шифры не поддерживаются
Невозможно установить соединение HTTPS, потому что сайт использует шифры, которые не поддерживаются браузером. Передаваемые данные не будут шифроваться, и злоумышленники могут их перехватить.
Ключ сертификата не совпадает с закрепленным ключом

Ключ корневого сертификата не совпадает с ключом, закрепленным на сайте. Возможно, злоумышленники пытаются подменить корневой сертификат. В этом случае они могут перехватить ваши данные. Подробнее о закреплении (привязывании) ключа см. статью HTTP Public Key Pinning.

Не удалось включить шифрование при соединении HSTS
Браузер не смог включить шифрование и разорвал соединение. Сервер, на котором расположен сайт, обычно использует шифрование, так как на нем включен HSTS-протокол. Отсутствие шифрования может быть признаком хакерской атаки. В этом случае злоумышленники или вредоносное ПО могут перехватить ваши данные.