«суверенный сертификат» от Сбера

С 15 февраля у Сбера заканчивается срок действия лицензии на интернет-эквайринг (прием и отправка  платежей по картам) от бельгийского удостоверяющего центра Globalsign. Продлять сертификат не будут из-за введенных против банка санкций. Банк уже перешел на российские сертификаты в сентябре 2022 года, переведя на них веб-версию «Сбербанк Онлайн». Из-за этого иностранные браузеры иногда блокируют к ней доступ. От скорости перехода на российские сертификаты, которые выдает Национальный удостоверяющий центр Минцифры (НУЦ), зависит работоспособность всех сервисов, который подключили интернет-эквайринг через Сбер. РБК пишет, что интернет-ресурсы, которые проводят платежи через Сбербанк, стали предупреждать о необходимости установить российский браузер или сертификат Минцифры. В банке утверждают, что оплата будет проходить и без этого.

Прикол в чём, для оплаты товаров на маркетплейсах всем нужно установить российские сертификаты на домашние компьютеры или гаджеты. Процедура работает через Госуслуги. Вторая альтернатива, это переход на Яндекс браузер, которым сейчас пользуются только 31% россиян (на Chrome 55%  россиян) или браузер Atom от VK ( используют 0,2% россиян). Ни в Microsoft, ни в Google ни в Apple наших сертификатов нет, и не предвидится, А переучиваться с “Гугла” на Яндекс захотят далеко не все покупатели. Некоторые люди, понятно, перейдут на Яндекс. А некоторые просто сменят магазин и выберут тот, который пока проводит платежи. В любом случае, в конце зимы рынок ждет резкое снижение онлайн-покупок по всем категориям. Но дело не в этом. Насколько альтернатива от Сбера безопасна?

В классическом случае сертификат работает следующим образом: Вы можете быть уверены, что этот веб-сайт, который вы посещаете, принадлежит организации, владеющей доменным именем, которое вы ввели в своем браузере, потому что вы видите маленький замок в URL-адресе. За кулисами это доверие устанавливается, когда вторая сторона гарантирует привязку некоторого криптографического материала к некоторой идентификационной информации на основе некоторых более или менее строгих проверок. Вы можете не знать вторую сторону, но ваш браузер знает, и само существование в хранилище сертификатов вашего браузера (или ОС) выражает это доверие. Представьте, что вы работаете с приложением, которое работает на нескольких системах и в какой-то момент подключается к системе, управляемой третьей стороной? Как узнать, что вы подключены к нужному серверу (при условии, что этот сервер использует данные вашей кредитной карты только для товаров, которые вы хотите приобрести)? Как вы можете быть уверены, что ваши платежные данные не будут скомпрометированы при использовании интернета для их передачи?

Вот вам подсунули любой файл, вы нажали «все равно продолжить», а сертификат — палёный. Ну и прощайте денежки со Сбера. Ведь с помощью такого сертификата потенциально можно перехватывать любой зашифрованный трафик! Насчёт Яндекса и Атом, браузеры потенциально могут перехватывать вообще любой трафик тех, кто им пользуется и отправлять туда куда надо. А на фоне ожидающейся «второй волны мобилизации», использование любых информационных систем от РФ такое себе. А лучше вообще перестать пользоваться услугами санкционных банков и не быть подопытным кроликом.