Сертификаты национальных удостоверяющих центров
Для любого сайта, который работает с данными пользователей, важно иметь действующий сертификат. Он позволяет убедиться, что данные передаются именно тому сайту, который указан в адресной строке браузера, а не подделке злоумышленников.
Яндекс Браузер, как и другие современные браузеры, не позволит открыть сайт, если его сертификат отозван. Некоторые российские сайты столкнулись с отказом в выдаче сертификатов. Чтобы пользователь был уверен в безопасности передачи данных на такие сайты, создан Национальный удостоверяющий центр, которому Яндекс Браузер доверяет.
Выдача сертификатов
Первый НУЦ создан на платформе Госуслуг. Чтобы получить сертификат, владелец сайта оформляет заявку на выдачу сертификата. Сервис Госуслуг проверяет принадлежность домена, заносит его в доступный всем список или CT-лог, а затем выдает сертификат.
Как и другие удостоверяющие центры, НУЦ проверяет только принадлежность домена. Владелец сайта не предоставляет Госуслугам доступ к личным данным пользователей. Сертификат, выданный НУЦ, используется только для безопасного обмена секретными ключами между пользователем и сайтом. Использовать его для расшифровки трафика невозможно.
Схема доверия в Браузере
Схема доверия Браузера сертификатам, выданным НУЦ, отличается в зависимости от даты выдачи.
До 19 мая 2022 года
- Сертификаты НУЦ будут признаваться для доменов, которые помещены в публичный список. Если посещаемого сайта нет в этом списке, Браузер заблокирует сайт. Также невозможно выпустить сертификат по маске так, чтобы покрыть все домены второго уровня (например, все *.ru) — на стороне Браузера такое просто не заработает.
После 19 мая 2022 года
- Сертификаты НУЦ будут признаваться для доменов, которые помещены в публичный лог Certificate Transparency. Стандарт CT разработан для контроля работы удостоверяющих центров и отслеживания сертификатов, выпущенных ошибочно или в мошеннических целях.
Что изменится для пользователя
Ничего. Открыв в Браузере сайт с сертификатом от НУЦ, вы увидите в Умной строке значок . Это означает, что сайт может обеспечить безопасную передачу данных благодаря шифрованию.