Protect: захист від ненадійних сертифікатів

У рамках комплексного захисту Protect Яндекс.Браузер перевіряє сертифікати сайтів. Якщо через проблеми із сертифікатом сайт не може гарантувати безпечне шифрування даних, браузер попередить про це.

  1. Навіщо потрібен сертифікат сайту
  2. Які небезпеки несе недовірений сертифікат
  3. Блокування сайтів із недовіреними сертифікатами
  4. Можливі причини блокування
  5. Якщо автор сертифіката невідомий
  6. Якщо сертифікат встановлений програмою

Навіщо потрібен сертифікат сайту

Ваші особисті або платіжні дані під час надсилання на сайт повинні бути захищеними. В інтернеті сайти використовують для безпечного з’єднання протокол HTTPS. Протокол містить асиметричний алгоритм шифрування, коли шифрування даних здійснюється за допомогою відкритого ключа, а розшифрування – за допомогою закритого. Для кожного сеансу зв’язку браузер повторно генерує закритий ключ і передає його на сайт із запобіжними заходами, що виключають крадіжку.

Однак, якщо ви потрапите на фішинговий сайт, він може отримати закритий ключ, а потім розшифрувати ваші дані. Для захисту від фішингу сайти використовують цифрові сертифікати, видані спеціальними центрами засвідчення. Сертифікат гарантує, що ключі, які використовуються під час шифрування, дійсно належать власнику сайту.

Які небезпеки несе недовірений сертифікат

Ви можете опинитися на фішинговому сайті або ваші дані перебуватимуть без належного захисту на оригінальному сайті (наприклад, якщо у сайту сплив термін дії сертифікату). У результаті зловмисники можуть:

  • Перехопити або підмінити ваші особисті дані, а також прочитати ваше листування.
  • Отримати ваші платіжні дані (номер картки, ім’я власника, термін дії та CVV2) і використовувати їх для крадіжки грошей із вашого рахунку.

Блокування сайтів із недовіреними сертифікатами

Якщо через проблеми із сертифікатом сайт не може гарантувати безпечне шифрування, у правій частині Розумного рядка відображається значок і з’являється попередження про те, що неможливо встановити безпечне з'єднання. У цьому разі ви можете або відмовитися від відвідування сайту, або внести сертифікат до списку надійних.

Увага. Робіть це, лише якщо ви повністю впевнені в надійності сертифіката. Інакше зловмисники можуть отримати доступ до ваших особистих даних та електронних платежів!

Можливі причини блокування

Яндекс.Браузер блокує сайти, які мають такі проблеми із сертифікатами:

Автор сертифіката невідомий

Ви побачите повідомлення «Неможливо встановити безпечне з'єднання. Зловмисники можуть намагатися викрасти ваші дані (наприклад, паролі, повідомлення або номер банківської картки)».

Докладніше див. розділ Якщо автор сертифіката невідомий.

Сертифікат встановлений спеціальною програмою

Ви побачите повідомлення «Ви спробували перейти на сайт example.com, сертифікату безпеки якого не слід довіряти. Сертифікат видано невідомим Яндексу центром сертифікації, проте операційна система вважає його надійним...».

Докладніше див. розділ Якщо сертифікат встановлений програмою.

Неправильна адреса сайту

Ви побачите повідомлення «Не вдалося підтвердити, що це сервер example.com. Його сертифікат безпеки належить до example1.com. Можливо, сервер налаштовано неправильно або хтось намагається перехопити ваші дані».

Це означає, що сертифікат безпеки, який зберігається на сервері, не стосується сайту, який ви відкриваєте. Є ймовірність, що ви потрапили на фішинговий сайт. У цьому випадку зловмисники можуть перехопити ваші дані.

Самозасвідчений сертифікат

Ви побачите повідомлення «Не вдалося підтвердити, що це сервер example.com. Операційна система комп’ютера не довіряє його сертифікату безпеки. Можливо, сервер налаштовано неправильно або хтось намагається перехопити ваші дані».

Отже, сайт видав сертифікат сам собі. У цьому разі шкідливе ПЗ або зловмисники можуть перехопити ваші дані. Додаткові відомості див. у статті Самозасвідчений сертифікат.

Недовірений кореневий сертифікат

Ви побачите повідомлення «Не вдалося підтвердити, що це сервер example.com. Операційна система комп’ютера не довіряє його сертифікату безпеки. Можливо, сервер налаштовано неправильно або хтось намагається перехопити ваші дані».

Отже, центр, який підписав сертифікат, ненадійний і не може гарантувати справжність сайту. Шкідливе ПЗ або зловмисники можуть перехопити ваші дані. Детальніше про кореневий сертифікат див. у статті Ланцюжок довіри.

Сплив термін дії сертифікату

Ви побачите повідомлення «Не вдалося підтвердити, що це сервер example.com. Термін дії його сертифікату безпеки сплив <...> днів тому. Можливо, сервер налаштовано неправильно або хтось намагається перехопити ваші дані. Зверніть увагу, що на комп’ютері інстальовано <поточний час>. Якщо він неправильний, змініть його й оновіть сторінку».

Якщо сертифікат прострочено, дані, що передаються, не будуть шифруватися, і зловмисники зможуть їх перехопити.

Сертифікат відкликано

Ви побачите повідомлення «Зазвичай сайт example.com використовує шифрування для захисту ваших даних. Однак цього разу на запит браузера він надіслав підозрілу відповідь. Можливо, інший сайт намагається «удати» із себе example.com або ж обірвалося під’єднання до мережі Wi-Fi. Ваші дані, як і раніше, в безпеці: про всяк випадок Яндекс.Браузер розірвав з’єднання до обміну інформацією. Перейти на сайт example.com неможливо, оскільки його сертифікат відкликано. Це могло статися через помилку мережі або атаку на сайт. Найімовірніше, він поновить роботу за деякий час».

Отже, сертифікат сайту було скомпрометовано і відкликано. У цьому разі дані, що передаються, не будуть шифруватися, і зловмисники зможуть їх перехопити.

Застаріле шифрування

Ви побачите повідомлення «Ви намагаєтеся звернутися до сервера в домені example.com, але його сертифікат підписано за допомогою ненадійного алгоритму (SHA-1 тощо). Це означає, що облікові дані безпеки та сам сервер можуть бути підроблені. Можливо, ви маєте справу зі зловмисниками».

Якщо сервер використовує застарілий ненадійний алгоритм шифрування, зловмисники можуть перехопити ваші дані. Окрім того, зростає ймовірність того, що ви потрапили на фішинговий сайт.

Шифри не підтримуються

Ви побачите повідомлення «Сайт example.com надіслав некоректну відповідь».

Це означає, що браузер не може встановити з'єднання HTTPS, оскільки сайт використовує шифри, які браузер не підтримує. У цьому разі дані, що передаються, не будуть шифруватися, і зловмисники зможуть їх перехопити.

Ключ сертифіката не збігається із закріпленим ключем

Ви побачите повідомлення «Зазвичай сайт example.com використовує шифрування для захисту ваших даних. Однак цього разу на запит браузера він надіслав підозрілу відповідь. Можливо, інший сайт намагається «удати» із себе example.com або ж обірвалося під’єднання до мережі Wi-Fi. Ваші дані, як і раніше, в безпеці: про всяк випадок Яндекс.Браузер розірвав з’єднання до обміну інформацією. Перейти на сайт example.com неможливо, оскільки він використовує закріплення сертифіката. Це могло статися через помилку мережі або атаку на сайт. Найімовірніше, він поновить роботу за деякий час».

Отже, ключ кореневого сертифіката не збігається з ключем, закріпленим на сайті. Можливо, зловмисники намагаються підмінити кореневий сертифікат. У цьому випадку вони можуть перехопити ваші дані. Детальніше про закріплення (прив’язування) ключа див. статтю HTTP Public Key Pinning.

Не вдалося ввімкнути шифрування під час з’єднання HSTS

Ви побачите повідомлення «Зазвичай сайт example.com використовує шифрування для захисту ваших даних. Однак цього разу на запит браузера він надіслав підозрілу відповідь. Можливо, інший сайт намагається «удати» із себе example.com або ж обірвалося під’єднання до мережі Wi-Fi. Ваші дані, як і раніше, в безпеці: про всяк випадок Яндекс.Браузер розірвав з’єднання до обміну інформацією. Перейти на сайт example.com неможливо, оскільки він використовує HSTS-протокол. Це могло статися через помилку мережі або атаку на сайт. Найімовірніше, він поновить роботу за деякий час».

Це означає, що браузер не зміг увімкнути шифрування й розірвав з’єднання. Сервер, на якому міститься сайт, зазвичай використовує шифрування, оскільки на ньому активовано HSTS-протокол. Відсутність шифрування може бути ознакою хакерської атаки. У цьому випадку зловмисники або шкідливе ПЗ можуть перехопити ваші дані.

Якщо автор сертифіката невідомий

У цьому разі сертифікат може бути встановлений або адміністратором мережі, або невідомою особою. Ви побачите таке попередження:

Можна або відмовитися від відвідування сайту, або додати сертифікат до списку надійних, натиснувши в діалоговому вікні кнопку Подробиці, а далі кнопку Зробити виняток для цього сайту. У списку надійних сертифікат перебуватиме протягом 30 днів, а далі вам доведеться знову зробити для нього виняток.

Увага. Натискайте кнопку Зробити виняток для цього сайту, лише якщо ви впевнені в надійності сертифікату. Інакше зловмисники можуть отримати доступ до ваших особистих даних!

Якщо ви не впевнені в надійності сертифікату, а відвідати сайт дуже потрібно, необхідно вжити таких заходів безпеки:

  • Для домашнього комп'ютера. Оновіть антивірус і проскануйте комп'ютер на наявність шкідливого ПЗ. Якщо антивірус виявить і видалить установлений зловмисником сертифікат, попередження в браузері більше не з’являтиметься. Якщо антивірус не видалить підозрілий сертифікат, ви можете видалити його власноруч засобами операційної системи.
    Увага. Будьте обережні — якщо сертифікат було встановлено не шкідливим ПЗ, а корисною програмою, його видалення може призвести до порушення роботи системи.
  • Для службового комп'ютера. З питань видалення підозрілого сертифіката зверніться до системного адміністратора. Якщо він не встановлював цей сертифікат, він його знищить. Якщо сертифікат було встановлено адміністратором, натискайте кнопку Довіряти цьому сертифікату. Але врахуйте, що після цього адміністратор зможе переглядати ваші особисті дані й електронні платежі.

Якщо сертифікат встановлений програмою

Антивіруси, блокувальники реклами, програми для моніторингу мережі та інші програми можуть замінювати сертифікати сайту на власні. Щоб розшифровувати трафік, вони створюють власний кореневий сертифікат та встановлюють його в операційну систему з позначкою «надійний».

Однак сертифікат, установлений спеціальною програмою, не можна вважати надійним, оскільки він не належить довіреному центру сертифікації. Виникають такі потенційно небезпечні ситуації:

  • Доступ до ваших даних можуть отримати невідомі вам люди — розробники спеціальних програм.
  • Сертифікат може бути встановлено шкідливим ПЗ, що діє під виглядом спеціальної програми. Сучасні браузери не вміють перевіряти справжність сертифікатів, установлених спеціальними програмами.

Яндекс.Браузер попереджає про такі проблеми:

Щоб відвідати сайт:

  1. З'ясуйте, яка програма замінила сертифікат. Для цього натисніть сторінці попередження на відповідне посилання.
  2. Вирішіть, чи готові ви довірити свої особисті дані виробнику сертифіката:
    • Якщо готові, натисніть кнопку Довіряти цьому сертифікату.
    • Якщо не готові, вимкніть у програмі перевірку з’єднань HTTPS. Можете скористатися інструкціями для програм:
      Увага. Вимкнувши перевірку HTTPS, ви не залишитеся без захисту. Яндекс.Браузер самостійно перевіряє безпеку завантажуваних файлів, блокує шкідливі сторінки і банери, використовує додатковий захист для сторінок банків і платіжних систем.

      Якщо після відключення перевірки HTTPS браузер і далі попереджає про підозрілий сертифікат, а програма, що інсталювала сертифікат, вам не потрібна, спробуйте тимчасово закрити цю програму.