Захист від ненадійних сертифікатів

Для захисту від фішингу багато сайтів використовують сертифікати, що видаються авторитетними засвідчувальними центрами. Сертифікат містить відкритий ключ, використовуваний для шифрування даних, які користувач посилає на сайт у разі з'єднання за протоколом HTTPS. Засвідчувальний центр підтверджує, що відкритий ключ, який використовується під час шифрування, дійсно належить власникові сайту.

Класичний Яндекс.Браузер перевіряє сертифікати сайтів. Якщо виникають сумніви в тому, що сертифікат належить власникові сайту, браузер попереджає про це.

Якщо автор сертифіката невідомий

У цьому випадку сертифікат може бути встановлено або адміністратором мережі, або зловмисником. Ви побачите таке попередження:

Ви можете або відмовитися від відвідування сайту, або внести сертифікат до списку надійних. У цьому списку сертифікат міститиметься протягом 30 днів, після чого вам доведеться знову підтвердити його надійність.

Увага. Натисніть на кнопку Довіряти цьому сертифікату, лише якщо ви впевнені в надійності сертифіката. Інакше зловмисники можуть отримати доступ до ваших особистих даних!

Якщо ви не впевнені у надійності сертифіката, а відвідати сайт вам дуже потрібно, уживіть таких заходів безпеки:

  • Для домашнього комп'ютера. Оновіть антивірус і проскануйте комп'ютер на наявність шкідливого ПЗ. Якщо антивірус виявить і видалить встановлений зловмисником сертифікат, попередження у браузері більше не з'являтиметься. Якщо антивірус не видалить підозрілий сертифікат, ви можете видалити його самі засобами Windows. Будьте обережні — якщо сертифікат було встановлено не шкідливим ПЗ, а корисною програмою, його видалення може призвести до порушення роботи системи.
  • Для службового комп'ютера. Для видалення підозрілого сертифіката зверніться до системного адміністратора. Якщо він не встановлював цей сертифікат, він його знищить. Якщо сертифікат було встановлено адміністратором із метою безпеки, можете натискати на кнопку Довіряти цьому сертифікату. За умови, що ви готові довірити свої особисті дані та електронні платежі системному адміністратору, оскільки він зможе їх переглядати.

Якщо сертифікат встановлено спеціальним ПЗ

Антивіруси, блокувальники реклами, програми для моніторингу мережі та аналогічні спеціальні програми можуть замінювати сертифікати сайту своїми власними (щоб розшифровувати трафік). Проте у разі заміни сертифіката спеціальним ПЗ виникають такі потенційні небезпеки:

  • Ваші дані можуть опинитися у розпорядженні невідомих вам людей — розробників спеціального ПЗ.
  • Сертифікат може бути встановлено шкідливим ПЗ, що видає себе за спеціальну програму. Сьогодні у браузерів немає способу повністю переконатися у справжності сертифіката, встановленого спеціальним ПЗ.

Класичний Яндекс.Браузер попереджає про такі проблеми:

Щоб відвідати сайт:

  1. З'ясуйте, яка програма замінила сертифікат. Для цього натисніть на сторінці попередження на відповідне посилання.
  2. Вирішіть, чи готові ви довірити свої особисті дані виробнику сертифіката:
    • Якщо готові, натисніть на кнопку Довіряти цьому сертифікату.
    • Якщо не готові, вимкніть у програмі перевірку з'єднань HTTPS. Ви можете скористатися інструкціями для програм:
      • Антивірус Касперського
      • ESET NOD32
      • AdGuard (крім програми AdGuard, існує однойменне доповнення, яке не створює своїх сертифікатів, тому для нього перевірку вмикати не потрібно)
      Увага. Вимкнувши перевірку HTTPS, ви не залишитеся без захисту. Яндекс.Браузер самостійно перевіряє безпеку завантажуваних файлів, блокує шкідливі сторінки і банери, використовує додатковий захист для сторінок банків і платіжних систем.

      Якщо після вимкнення перевірки HTTPS браузер продовжує попереджати про підозрілий сертифікат, а програма, що встановила сертифікат, вам не потрібна, спробуйте тимчасово закрити цю програму.