Protect: захист від ненадійних сертифікатів

Для захисту від фішингу багато сайтів використовують сертифікати, що їх видають авторитетні центри засвідчення. Сертифікат містить відкритий ключ, який використовується для шифрування даних, які користувач надсилає на сайт під час з’єднання за протоколом HTTPS. Центр засвідчення підтверджує, що відкритий ключ, який використовується для шифрування, справді належить власнику сайту.

У рамках комплексного захисту Protect Яндекс.Браузер перевіряє сертифікати сайтів. Якщо виникають сумніви в тому, що сертифікат належить власнику сайту, браузер попереджає про це.

Якщо автор сертифіката невідомий

У цьому випадку сертифікат може бути встановлено або адміністратором мережі, або зловмисником. Ви побачите таке попередження:

Можна або відмовитися від відвідування сайту, або додати сертифікат до списку надійних, натиснувши в діалоговому вікні кнопку Подробиці, а далі кнопку Зробити виняток для цього сайту. У списку надійних сертифікат перебуватиме протягом 30 днів, а далі вам доведеться знову зробити для нього виняток.

Увага. Натискайте кнопку Зробити виняток для цього сайту, лише якщо ви впевнені в надійності сертифікату. Інакше зловмисники можуть отримати доступ до ваших особистих даних!

Якщо ви не впевнені в надійності сертифікату, а відвідати сайт дуже потрібно, необхідно вжити таких заходів безпеки:

  • Для домашнього комп'ютера. Оновіть антивірус і проскануйте комп'ютер на наявність шкідливого ПЗ. Якщо антивірус виявить і видалить установлений зловмисником сертифікат, попередження в браузері більше не з’являтиметься. Якщо антивірус не видалить підозрілий сертифікат, ви можете видалити його самі засобами Windows. Будьте обережні — якщо сертифікат було встановлено не шкідливим ПЗ, а корисною програмою, його видалення може призвести до порушення роботи системи.
  • Для службового комп'ютера. З питань видалення підозрілого сертифіката зверніться до системного адміністратора. Якщо він не встановлював цей сертифікат, він його знищить. Якщо адміністратор установив сертифікат із метою безпеки, можете натискати кнопку Довіряти цьому сертифікату. Але врахуйте, що після цього адміністратор зможе переглядати ваші особисті дані й електронні платежі.

Якщо сертифікат встановлено спеціальним ПЗ

Антивіруси, блокувальники реклами, програми для моніторингу мережі й аналогічні спеціальні програми можуть замінювати сертифікати сайту на власні. Щоб розшифровувати трафік, вони створюють власний кореневий сертифікат та встановлюють його в операційну систему з позначкою «надійний».

Однак сертифікат, установлений спеціальною програмою, не можна вважати надійним, оскільки він не належить довіреному центру сертифікації. Виникають такі потенційно небезпечні ситуації:

  • Доступ до ваших даних можуть отримати невідомі вам люди — розробники спеціальних програм.
  • Сертифікат може бути встановлено шкідливим ПЗ, що діє під виглядом спеціальної програми. Сучасні браузери не вміють перевіряти справжність сертифікатів, установлених спеціальними програмами.

Яндекс.Браузер попереджає про такі проблеми:

Щоб відвідати сайт:

  1. З'ясуйте, яка програма замінила сертифікат. Для цього натисніть сторінці попередження на відповідне посилання.
  2. Вирішіть, чи готові ви довірити свої особисті дані виробнику сертифіката:
    • Якщо готові, натисніть кнопку Довіряти цьому сертифікату.
    • Якщо не готові, вимкніть у програмі перевірку з’єднань HTTPS. Можете скористатися інструкціями для програм:
      • Антивірус Касперського
      • ESET NOD32
      • AdGuard (окрім програми AdGuard, існує однойменна прикладна програма, яка не створює своїх сертифікатів, тому для неї перевірку відключати не потрібно)
      Увага. Вимкнувши перевірку HTTPS, ви не залишитеся без захисту. Яндекс.Браузер самостійно перевіряє безпеку завантажуваних файлів, блокує шкідливі сторінки і банери, використовує додатковий захист для сторінок банків і платіжних систем.

      Якщо після відключення перевірки HTTPS браузер і далі попереджає про підозрілий сертифікат, а програма, що інсталювала сертифікат, вам не потрібна, спробуйте тимчасово закрити цю програму.

Інші проблеми із сертифікатами

Якщо через проблеми із сертифікатом на сайті безпечне шифрування неможливе, Яндекс.Браузер попереджає про це, а в правій частині Розумного рядка з’являється значок . Ми не радимо відвідувати такі сайти або, тим більше, вводити на них особисті дані чи здійснювати електронні платежі.

Проблема Повідомлення браузера Опис проблеми У чому полягає небезпека

Сплив термін дії сертифікату

Не вдалося підтвердити, що це сервер example.com. Термін дії його сертифікату безпеки сплив <...> днів тому. Можливо, сервер налаштовано неправильно або хтось намагається перехопити ваші дані. Зверніть увагу, що на комп’ютері інстальовано <поточний час>. Якщо він неправильний змініть його й оновіть сторінку.

Термін дії сертифікату сайту сплив.

Передані дані не шифруватимуться, і зловмисники можуть їх перехопити.

Неправильна адреса сайту

Не вдалося підтвердити, що це сервер example.com. Його сертифікат безпеки належить до example1.com. Можливо, сервер налаштовано неправильно або хтось намагається перехопити ваші дані.

Немає способу впевнитися, що браузер з’єднано з правильним сайтом.

Якщо сайт фішинговий, зловмисники можуть перехопити ваші дані.

Самозасвідчений сертифікат

Не вдалося підтвердити, що це сервер example.com. Операційна система комп’ютера не довіряє його сертифікату безпеки. Можливо, сервер налаштовано неправильно або хтось намагається перехопити ваші дані.

Сертифікат сайту виданий самим сайтом, а не центром засвідчення. Додаткові відомості див. у статті Самозасвідчений сертифікат.

Шкідливе ПЗ або зловмисники можуть перехопити ваші дані.

Недовірений кореневий сертифікат

Не вдалося підтвердити, що це сервер example.com. Операційна система комп’ютера не довіряє його сертифікату безпеки. Можливо, сервер налаштовано неправильно або хтось намагається перехопити ваші дані.

Центр, що підписав сертифікат, не є довіреним.

Шкідливе ПЗ або зловмисники можуть перехопити ваші дані.

Ключ сертифіката не збігається із закріпленим ключем

Зазвичай сайт example.com використовує шифрування для захисту ваших даних. Однак цього разу на запит браузера він надіслав підозрілу відповідь. Можливо, інший сайт намагається «удати» із себе example.com або ж обірвалося під’єднання до мережі Wi-Fi. Ваші дані, як і раніше, в безпеці: про всяк випадок Яндекс.Браузер розірвав з’єднання до обміну інформацією. Перейти на сайт example.com неможливо, оскільки він використовує закріплення сертифіката. Це могло статися через помилку мережі або атаку на сайт. Швидше за все, він поновить роботу за деякий час.

Ключ кореневого сертифіката не збігається з ключем, закріпленим на сайті. Це спричинено або неправильним налаштуванням сервера, або тим, що зловмисники намагаються підмінити кореневий сертифікат.

Детальніше про кореневий сертифікат див. у статті Ланцюжок довіри, а про закріплення (прив’язування) ключа див. статтю HTTP Public Key Pinning.

Можливо, сайт було підмінено шкідливим ПЗ. Зловмисники можуть перехопити ваші дані.

Не вдалося ввімкнути шифрування під час з’єднання HSTS

Зазвичай сайт example.com використовує шифрування для захисту ваших даних. Однак цього разу на запит браузера він надіслав підозрілу відповідь. Можливо, інший сайт намагається «удати» із себе example.com або ж обірвалося під’єднання до мережі Wi-Fi. Ваші дані, як і раніше, в безпеці: про всяк випадок Яндекс.Браузер розірвав з’єднання до обміну інформацією. Перейти на сайт example.com неможливо, оскільки він використовує HSTS-протокол. Це могло статися через помилку мережі або атаку на сайт. Швидше за все, він поновить роботу за деякий час.

Браузер не зміг увімкнути шифрування і розірвав з’єднання. Сервер, на якому міститься сайт, зазвичай використовує шифрування, оскільки на ньому активовано HSTS-протокол. Відсутність шифрування може бути ознакою хакерської атаки. У такому разі доступ до сайту по HTTP небезпечний.

Імовірно, сайт атаковано. Зловмисники або шкідливе ПЗ можуть перехопити ваші дані.

Сертифікат відкликано

Зазвичай сайт example.com використовує шифрування для захисту ваших даних. Однак цього разу на запит браузера він надіслав підозрілу відповідь. Можливо, інший сайт намагається «удати» із себе example.com або ж обірвалося під’єднання до мережі Wi-Fi. Ваші дані, як і раніше, в безпеці: про всяк випадок Яндекс.Браузер розірвав з’єднання до обміну інформацією. Перейти на сайт example.com неможливо, оскільки його сертифікат відкликано. Це могло статися через помилку мережі або атаку на сайт. Швидше за все, він поновить роботу за деякий час.

Сертифікат сайту було скомпрометовано й відкликано.

Передані дані не шифруватимуться, і зловмисники можуть їх перехопити.

Застаріле шифрування

Ви намагаєтеся звернутися до сервера у домені example.com, але його сертифікат підписано за допомогою ненадійного алгоритму (SHA-1 тощо). Це означає, що облікові дані безпеки та сам сервер можуть бути підроблені. Можливо, ви маєте справу зі зловмисниками.

Сервер використовує застарілий ненадійний алгоритм шифрування.

Зловмисники можуть перехопити ваші дані.

Шифри не підтримуються

Сайт example.com надіслав некоректну відповідь.

Неможливо встановити з’єднання HTTPS, оскільки набір шифрів, що їх використовує сайт, не підтримується браузером.

Передані дані не шифруватимуться, і зловмисники можуть їх перехопити.