Защита от недоверенных сертификатов

Мобильный Яндекс Браузер проверяет сертификаты сайтов. Если из-за проблем с сертификатом сайт не обеспечивает безопасное шифрование ваших данных, Браузер предупреждает об этом.

  1. Зачем нужен сертификат сайта
  2. Чем опасен недоверенный сертификат
  3. Блокировка сайтов с недоверенными сертификатами
  4. Причины блокировки

Зачем нужен сертификат сайта

Ваши личные или платежные данные при отправке на сайт должны быть защищены. Сайты используют для безопасного соединения протокол HTTPS. Протокол включает асимметричный алгоритм шифрования, когда данные зашифровываются открытым и расшифровываются закрытым ключом. Для каждого сеанса связи Браузер заново генерирует закрытый ключ и передает его на сайт с мерами предосторожности, исключающими кражу.

Если вы попадете на фишинговый сайт, он может получить закрытый ключ и расшифровать ваши данные. Для защиты от фишинга сайты используют цифровые сертификаты, выданные удостоверяющими центрами. Сертификат гарантирует, что ключи для шифрования действительно принадлежат владельцу сайта.

Чем опасен недоверенный сертификат

Если вы откроете фишинговый сайт или ваши данные окажутся без защиты на оригинальном сайте (например, потому что у сертификата истек срок действия) — злоумышленники смогут:

  • Перехватить или подменить ваши личные данные, а также прочитать вашу переписку.
  • Получить ваши платежные данные (номер карты, имя владельца, срок действия и CVV2) и с их помощью украсть деньги с вашего счета.

Блокировка сайтов с недоверенными сертификатами

Если из-за проблем с сертификатом сайт не обеспечивает безопасное шифрование, вы увидите:

  • в Умной строке — значок ;
  • вместо страницы сайта — предупреждение, что безопасное соединение невозможно.

Не открывайте сайт или внесите сертификат в список надежных.

Чтобы открыть сайт, в появившемся окне нажмите Продолжить.

Причины блокировки

Яндекс Браузер блокирует сайты, если:

Автор сертификата неизвестен

Возможно, сертификат установил злоумышленик или программа (антивирусы, блокировщики рекламы и похожие приложения могут заменять сертификаты сайта своими). Если сертификат установло приложение, надо найти его и отключить в нем проверку HTTPS.

Если доверяете данные такому сертификату — помните, что:

  • Данные могут получить неизвестные вам разработчики приложения.
  • Сертификат могло установить вредоносное ПО, которое притворяется приложением. Браузеры пока не умеют проверять подлинность сертификатов, установленных специальными приложениями.
Адрес сайта неверный
Сертификат безопасности сайта относится к другому сайту. Возможно, сервер настроен неправильно, но есть вероятность, что вы попали на фишинговый сайт. В этом случае злоумышленники могут перехватить ваши данные.
Самозаверенный сертификат
Сайт не получил сертификат от удостоверяющего центра, а выдал его сам себе. Подробнее см. статью Самозаверенный сертификат. Вредоносное ПО или злоумышленники могут перехватить ваши данные.
Недоверенный корневой сертификат
Центр, подписавший сертификат, недоверенный. Вредоносное ПО или злоумышленники могут перехватить ваши данные. Подробнее о корневом сертификате см. статью Цепочка доверия.
Истек срок действия сертификата
Данные не будут шифроваться, и злоумышленники могут их перехватить.
Сертификат отозван
Сертификат сайта скомпрометирован и отозван. Данные не будут шифроваться, и злоумышленники могут их перехватить.
Шифрование устарело
Сервер использует устаревший, ненадежный алгоритм шифрования. Злоумышленники могут перехватить ваши данные.
Шифры не поддерживаются
Невозможно установить соединение HTTPS: сайт использует шифры, которые не поддерживает Браузер. Данные не будут шифроваться, и злоумышленники могут их перехватить.
Ключ сертификата не совпадает с закрепленным ключом
Ключ корневого сертификата не совпадает с ключом, закрепленным на сайте. Возможно, злоумышленники пытаются подменить корневой сертификат, чтобы перехватить ваши данные. Подробнее о закреплении (привязывании) ключа см. статью HTTP Public Key Pinning.
Не удалось включить шифрование при соединении HSTS
Браузер не смог включить шифрование и разорвал соединение. Сервер, на котором расположен сайт, обычно использует шифрование, так как на нем включен HSTS-протокол. Если шифрования нет — это может быть признаком хакерской атаки. Злоумышленники или вредоносное ПО могут перехватить ваши данные.

Если вы не нашли информацию в Справке или у вас возникает проблема в работе Яндекс Браузера, напишите нам. Подробно расскажите, что вы делали и что происходило. Если возможно, прикрепите скриншот. Так мы поможем вам быстрее.

Примечание. Чтобы решить проблему в работе сервисов Яндекса, обращайтесь в службу поддержки этих сервисов:
Яндекс Браузер на компьютере
О проблемах Яндекс Браузера на компьютере пишите прямо из Браузера:  → Дополнительно → Сообщить о проблеме или через форму.
Мобильное приложение Яндекс — с Алисой
О проблемах в работе приложения Яндекс — с Алисой пишите через форму.
Главная страница Яндекса
Если вопрос касается главной страницы Яндекса (изменить тему оформления, настроить блоки главной страницы или иконки сервисов и т. д.), пишите через форму. Выберите опцию Вопрос о главной странице Яндекса.
Яндекс Почта
О работе Почты (отключить рекламу, настроить сбор писем с других ящиков, восстановить удаленные письма, найти письма, попавшие в спам и т. д.) пишите через форму.
Поиск и выдача
О работе Поиска и выдачи (ранжирование сайта в результатах Поиска, некорректные результаты и т. д.) пишите через форму.