Сбербанк вынудит клиентов устанавливать «российский сертификат безопасности»
Сбер начал перевод своих сайтов на российские сертификаты удостоверяющих центров
В этом обещании все «прекрасно» и почти все – ложь.
Сбер первым в стране начал установку сертификатов, выпущенных Удостоверяющим центром Минцифры на все свои сайты, а также рабочие ресурсы и системы.
Ложь, ложь и еще раз ложь. Т.н. «национальные сертификаты» выдаются с марта и уже установлены на нескольких сайтах (из миллионов существующих). Удостоверяющего центра Минцифры просто не существует – Минцифры не обладает полномочиями по созданию удостоверяющих центров и выпуску TLS-сертификатов для конечных пользователей. Т.н. «национальный удостоверяющий центр» – детище подведомственного Минцифры НИИ «Восход», у которого Минцифры (сюрприз!) отозвало аккредитацию удостоверяющего центра. Подробно эта ситуация расписана здесь (у кого не открывается - попробуйте в режиме "Инкогнито" или смотрите перепечатку здесь). @sberbank.ru, есть что возразить?
Данное решение обеспечит независимость банка от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ к ресурсам Сбера.
Установка сертификата, который выпустил неизвестно кто неизвестно по какому праву – гарантирует какой-какой доступ?
Но главное не это, главное что скоро при заходе на сайт Сбера браузер (приложение обновится само – вы и не заметите) будет вопить: соединение не защищено, свалить или довериться какому-то непонятному сертификату, подсовываемому Сбером? Свалить/довериться/довериться и больше не спрашивать? Последний вариант приведет к запоминанию браузером инструкции: всегда доверять соединению, «защищенном» с помощью сертификата, выданного удостоверяющим центром Минцифры непонятно кем непонятно по какому праву, с любым сайтом, а не только сберовским…