Захист від ненадійних сертифікатів

Мобільний Яндекс.Браузер здійснює перевірку сертифікатів сайтів. Якщо через проблеми із сертифікатом сайт не може гарантувати безпечне шифрування даних, браузер попередить про це.

  1. Навіщо потрібен сертифікат сайту
  2. Які небезпеки несе недовірений сертифікат
  3. Блокування сайтів із недовіреними сертифікатами
  4. Причини блокування

Навіщо потрібен сертифікат сайту

Коли ви надсилаєте на сайт особисті або платіжні дані, вони повинні бути захищені. В інтернеті сайти використовують для безпечного з’єднання протокол HTTPS. Протокол містить асиметричний алгоритм шифрування, коли шифрування даних здійснюється за допомогою відкритого ключа, а розшифрування – за допомогою закритого. Для кожного сеансу зв’язку браузер повторно генерує закритий ключ і передає його на сайт із запобіжними заходами, що виключають крадіжку.

Однак, якщо ви потрапите на фішинговий сайт, він може отримати закритий ключ, а потім розшифрувати ваші дані. Для захисту від фішингу сайти використовують цифрові сертифікати, видані спеціальними центрами засвідчення. Сертифікат гарантує, що відкритий ключ, який використовується для шифрування, дійсно належить власнику сайту.

Які небезпеки несе недовірений сертифікат

Ви можете опинитися на фішинговому сайті або ваші дані перебуватимуть без належного захисту на оригінальному сайті (наприклад, якщо у сайту сплив термін дії сертифікату). У результаті зловмисники можуть:

  • Перехопити або підмінити ваші особисті дані, а також прочитати ваше листування.
  • Отримати ваші платіжні дані (номер картки, ім’я власника, термін дії та CVV2) і використовувати їх для крадіжки грошей із вашого рахунку.

Блокування сайтів із недовіреними сертифікатами

Якщо через проблеми із сертифікатом сайт не може гарантувати безпечне шифрування, у лівій частині Розумного рядка з’явиться значок  і ви побачите таке попередження:

«Неможливо установити безпечне з’єднання. Зловмисники можуть намагатися викрасти ваші дані (наприклад, паролі, повідомлення або номер банківської картки)».

Можна або відмовитися від відвідування сайту, або додати сертифікат до списку надійних, натиснувши в діалоговому вікні кнопку Подробиці, а далі кнопку Зробити виняток для цього сайту. У списку надійних сертифікат перебуватиме протягом 30 днів, а далі вам доведеться знову зробити для нього виняток.

Увага. Натискайте кнопку Зробити виняток для цього сайту, лише якщо ви впевнені в надійності сертифікату. Інакше зловмисники можуть отримати доступ до ваших особистих даних!

Причини блокування

Яндекс.Браузер блокує сайти, які мають такі проблеми із сертифікатами:

Автор сертифіката невідомий

Сертифікат може бути встановлено зловмисником або спеціальною програмою. Антивіруси, блокувальники реклами й аналогічні програми можуть замінювати сертифікати сайту власними сертифікатами. Якщо сертифікат установлено програмою, потрібно виявити його і вимкнути перевірку HTTPS.

Також ви можете вирішити довірити особисті дані такому сертифікату, проте слід мати на увазі дві потенційні небезпеки:

  • Доступ до ваших даних можуть отримати невідомі вам розробники програм.
  • Сертифікат може бути встановлено шкідливим ПЗ, що діє під виглядом програми. Сучасні браузери не вміють перевіряти справжність сертифікатів, установлених спеціальними програмами.
Неправильна адреса сайту
Сертифікат безпеки сайту належить до іншого сайту. Можливо, сервер налаштовано неправильно, проте, вірогідно, ви потрапили на фішинговий сайт. У цьому випадку зловмисники можуть перехопити ваші дані.
Самозасвідчений сертифікат

Сертифікат сайту виданий самим сайтом, а не центром засвідчення. Додаткові відомості див. у статті Самозасвідчений сертифікат. Шкідливе ПЗ або зловмисники можуть перехопити ваші дані.

Недовірений кореневий сертифікат
Центр, що підписав сертифікат, не є довіреним. Шкідливе ПЗ або зловмисники можуть перехопити ваші дані. Детальніше про кореневий сертифікат див. у статті Ланцюжок довіри.
Сплив термін дії сертифікату
Дані, що передаються, не будуть шифруватися, і зловмисники зможуть їх перехопити.
Сертифікат відкликано
Сертифікат сайту було скомпрометовано і відкликано. Дані, що передаються, не будуть шифруватися, і зловмисники зможуть їх перехопити.
Застаріле шифрування
Сервер використовує застарілий ненадійний алгоритм шифрування. Зловмисники можуть перехопити ваші дані.
Шифри не підтримуються
Неможливо встановити з’єднання HTTPS, оскільки сайт використовує шифри, які не підтримуються браузером. Дані, що передаються, не будуть шифруватися, і зловмисники зможуть їх перехопити.
Ключ сертифіката не збігається із закріпленим ключем

Ключ кореневого сертифіката не збігається з ключем, закріпленим на сайті. Можливо, зловмисники намагаються підмінити кореневий сертифікат. У цьому випадку вони можуть перехопити ваші дані. Детальніше про закріплення (прив’язування) ключа див. статтю HTTP Public Key Pinning.

Не вдалося ввімкнути шифрування під час з’єднання HSTS
Браузер не зміг увімкнути шифрування і розірвав з’єднання. Сервер, на якому міститься сайт, зазвичай використовує шифрування, оскільки на ньому активовано HSTS-протокол. Відсутність шифрування може бути ознакою хакерської атаки. У цьому випадку зловмисники або шкідливе ПЗ можуть перехопити ваші дані.