Как установить российские сертификаты Минцифры на любое устройство
|
Обновлено 28 сентября 2022 21
Сегодня Сбер перевел сайт sberbank.ru на сертификаты Минцифры, а в ближайшее время на них перейдут веб-версии Сбербанк Онлайн и СберБизнес.
Чтобы сайты Сбера продолжали работать без проблем и открываться в браузере, необходимо вручную установить сертификаты Минцифры.
Для этого необходимо перейти на сайт Госуслуг, на котором можно скачать сертификаты для iOS, macOS, Windows и Android. Сейчас расскажем, как установить сертификаты на iOS и macOS.
Как установить сертификаты Минцифры на iOS
1. Перейдите на сайт Госуслуг и в разделе iOS скачайте профиль для установки на iOS, а затем нажмите кнопку Разрешить
2. Откройте Настройки → Профиль загружен → Установить
3. Введите пароль от айфона и еще раз нажмите Установить
4. Перейдите в Настройки → Основные → Об этом устройстве → Доверие сертификатам
5. Активируйте тумблер возле Russian Trusted Root CA
Как установить сертификаты Минцифры на macOS
1. Перейдите на сайт Госуслуг и в разделе macOS скачайте сертификаты для установки на macOS
2. Перейдите в Загрузки и откройте скачанный файл russiantrustedca.pem
3. Откроется Связка ключей и в разделе Сертификаты будет два сертификата: Russian Trusted Root CA и Russian Trusted Sub CA
4. Дважды нажмите на Russian Trusted Root CA → раскройте в появившемся окне раздел Доверие
5. В пункте Параметры использования сертификата выберите Всегда доверять
6. Закройте окно → введите пароль от учетной записи Mac и нажмите кнопку Обновить настройки
7. Повторите пункты 4, 5, 6 для Russian Trusted Sub CA
(43 голосов, общий рейтинг: 4.44 из 5)
🤓 Хочешь больше? Подпишись на наш Telegram.
iPhones.ru
Все очень просто.
- Безопасность,
- браузеры,
- Сбер
Илья Сидоров
@ilyasidorov
Редактор новостей и автор статей на iPhones.ru.
Современные интернет построен так, что у каждого сайта, работающего с данными пользователей, должен быть TLS-сертификат — цифровая подпись домена, подтверждающая его подлинность. Если этот сертификат отозван, ни один браузер не пустит пользователя на сайт — это сделано из соображений безопасности.
В конце сентября Сбер перевёл свой основной сайт на российский сертификат, выпущенный Национальным удостоверяющим центром Минцифры. В будущем на такие перейдут все сервисы Сбера — так же могут поступить и другие системообразующие организации, попавшие под зарубежные санкции (велика вероятность, что они не смогут продлить существующие сертификаты).
Чтобы они у вас открывались, необходимо установить российские сертификаты на свои устройства.
Что нужно знать до установки
- Сертификат понадобится на всех устройствах, с которых вы планируете заходить на требующие его отечественные сайты. Их придётся установить на смартфон, компьютер и/или планшет отдельно.
- Для доступа к российским сервисам через приложение, а не сайт, сертификат не нужен — приложение «Госуслуг», мобильный клиент «СберБанк Онлайн» и другие программы продолжат работать.
- На официальном сайте «Госуслуг» есть список порталов, которым выдали отечественный сертификат — доступ без российской цифровой подписи будет ограничен только к ним.
Самый простой способ — использовать российский браузер
Сейчас необходимые сертификаты поддерживаются только российскими веб-обозревателями — Яндекс Браузером и Atom от VK (Mail.Ru). Подробности о работе приложения от «ВКонтакте» неизвестны, но Яндекс.Браузер раскрыл свои алгоритмы. Он применяет сертификаты не для всего рунета, а только для тех доменов, которым выданы эти цифровые подписи — если применять сертификаты сразу на всех сайтах, порталы без их наличия просто не открывались бы.
Однако если вы не хотите использовать отечественный браузер на всех своих устройствах, российские сертификаты можно встроить и в саму операционную систему. В таком случае получится использовать любой веб-обозреватель, будь то Chrome, Opera, Safari или любой другой.
Установка на Android (Xiaomi и другие)
- Откройте «Госуслуги» и зайдите на страницу «Поддержка работы сайтов с российскими сертификатами».
- Перейдите к разделу сертификатов для Android и скачайте корневой.
- После окончания загрузки перейдите в «Настройки» смартфона, а затем в окне поиска введите «Сертификат» (если этого поля для поиска нет, потяните пункты настроек вниз).
- Выберите «Сертификат центра сертификации» (название пункта может отличаться в зависимости от прошивки»). Если возникнет предупреждение о возможной угрозе конфиденциальности, пропустите его — нажмите «Всё равно установить» и введите код-пароль от смартфона (который используется при разблокировке).
- В открывшемся файловом менеджере в папке «Загрузки» или Downloads (либо в разделе «Недавние») выберите Russian Trusted Root CA — имя файла может быть russian_trusted_root_ca.cer. Если сертификат успешно установлен, на экране появится соответствующая надпись.
- Вернитесь на сайт «Госуслуг» и аналогичным образом установите второй сертификат — выпускающий. На этапе выбора сертификата вам потребуется выбрать Russian Trusted Sub CA, то есть другой файл — russian_trusted_sub_ca.cer.
Чтобы проверить, успешно ли установились сертификаты, необходимо вернуться к «Настройкам» смартфона и в поле поиска ввести «Надежные сертификаты» (или «Надежные учетные данные») и открыть найденный пункт. В нём в категории «Пользователь» должны быть два сертификата: Russian Trusted Root CA и Russian Trusted Sub CA.
Установка на смартфонах и планшетах Samsung
В гаджетах Samsung используется фирменная прошивка, в которой порядок установки сертификатов немного отличается.
- Откройте «Госуслуги» и зайдите на страницу «Поддержка работы сайтов с российскими сертификатами».
- Перейдите к разделу сертификатов для Android и скачайте корневой.
Может появиться следующая ошибка (это нормально, пропустите её нажатием кнопки «ОК»):
- Перейдите в «Настройки» смартфона, а затем в окне поиска введите «Сертификат» (значок лупы в правом верхнем углу).
- Выберите пункт «Сертификат СA», а затем его же ещё раз в новом меню. Если возникнет предупреждение о возможной угрозе конфиденциальности, пропустите его — нажмите «Установить в любом случае» и введите код-пароль от смартфона (который используется при разблокировке).
- В открывшемся файловом менеджере в папке «Загрузки» или Downloads (или разделе «Недавние») выберите Russian Trusted Root CA — имя файла может быть russian_trusted_root_ca.cer. Если сертификат успешно установлен, на экране появится соответствующая надпись.
- Вернитесь на сайт «Госуслуг» и аналогичным образом установите второй сертификат — выпускающий. На этапе выбора сертификата вам потребуется выбрать Russian Trusted Sub CA, то есть другой файл — russian_trusted_sub_ca.cer.
Невозможно установить сертификаты CA
Этот сертификат от приложения null необходимо установить в меню «Настройки». Устанавливайте сертификаты только от ЦС надежных организаций.
Чтобы проверить, успешно ли установились сертификаты, необходимо вернуться к «Настройкам» смартфона и в поле поиска ввести «Сертификаты безопасности» (либо «Надежные сертификаты» или «Надежные учетные данные») и открыть найденный пункт. В нём в категории «Сертификаты безопасности» во вкладке «Пользователь» должны быть два сертификата: Russian Trusted Root CA и Russian Trusted Sub CA.
Установка на iOS (iPhone и iPad)
- Откройте «Госуслуги» и зайдите в раздел «Поддержка работы сайтов с российскими сертификатами».
- Перейдите к разделу сертификатов для iOS и нажмите на кнопку «Скачать профиль». После этого на экране появится уведомление «Веб-сайт пытается загрузить профиль конфигурации. Разрешить?» — разрешите. Затем должно появиться уведомление о том, что профиль загружен.
- Перейдите в «Настройки» устройства и выберите появившийся пункт «Профиль загружен» (под вашим именем в iCloud). Откроется окно установки профиля — нажмите в правом верхнем углу «Установить» и введите код-пароль (который используется при разблокировке).
- Отобразится окно-предупреждение — снова нажмите «Установить» в правом верхнем углу, а затем эту же кнопку внизу. Должно появиться меню с оглавлением «Профиль установлен» — справа вверху нажмите на «Готово».
- Теперь необходимо включать доверие сертификатам. Вернитесь в «Настройки» устройства и перейдите в раздел «Основные» ➝ «Об этом устройстве» ➝ «Доверие сертификатам» (в самом низу). Включите доверие сертификату Russian Trusted Root CA, сдвинув переключатель справа от него (ползунок должен стать зелёным). В появившемся окне нажмите «Дальше».
Установка на компьютер Windows
- Откройте «Госуслуги» и зайдите в раздел «Поддержка работы сайтов с российскими сертификатами».
- Перейдите к разделу сертификатов для Windows и скачайте первый — корневой.
- Запустите скачанный файл russian_trusted_root_ca.cer, затем нажмите «Открыть», а после — «Установить сертификат».
- Откроется «Мастер импорта сертификатов». Выберите пункт «Текущий пользователь» и кнопку «Далее».
- Отметьте пункт «Поместить все сертификаты в следующее хранилище», нажмите на кнопку «Обзор» и кликните на папку «Доверенные корневые центры сертификации». Затем нажмите на «ОК» и «Далее». В новом окне завершения нажмите «Готово». Если откроется предупреждение системы безопасности, нажмите «Да».
- Вернитесь на сайт «Госуслуг» и аналогичным образом установите второй сертификат — выпускающий. Единственная загвоздка — в меню импорта сертификатов выберите «Автоматические выбирать хранилище на основе типа сертификата».
Установка на macOS (Mac, MacBook)
- Откройте «Госуслуги» и зайдите в раздел «Поддержка работы сайтов с российскими сертификатами».
- Перейдите к разделу сертификатов для macOS и скачайте первый — корневой.
- Запустите скачанный файл RussianTrustedCA.pem. Откроется приложение «Связка ключей», введите имя пользователя и пароль от текущего профиля на компьютере, а затем нажмите на «Изменить связку ключей».
- В «Связке ключей» на вкладке «Сертификаты» в пункте «Вход» (слева) найдите Russian Trusted Root CA и Russian Trusted Sub CA — выберите первый. Раскройте вкладку «Доверие» (под значком сертификата слева) и установите значение «Всегда доверять» в пункте «Параметры использования сертификата». Введите имя пользователя и пароль, а затем нажмите на «Обновить настройки».
- Повторите те же действия из четвёртого пункта, но уже для второго сертификата — Russian Trusted Sub CA.
Многие учреждения начинают переходить на использование российских сертификатов. Такие сертификаты не поддерживаются обычными браузерами в iPhone или iPad, сайты с таким сертификатом не будут открываться на телефонах с iOS на борту.
Для получения защищённого доступа к таким сайтам и онлайн-сервисам рекомендуют использовать браузеры с поддержкой российских сертификатов: Яндекс Браузер или Атом. Альтернативный способ — установка корневых сертификатов.
Если вы привыкли работать в других браузерах вы можете установить корневые сертификаты на iPhone или iPad.
Сертификаты для iOS
Инструкция по установке сертификатов на iPhone или iPad. Нужно установить два сертификата — корневой и промежуточный (выпускающий).
Профиль для Apple iOS
Скачайте профиль для Apple iOS → «Разрешить»
«Настройки| → «Профиль загружен» → в окне «Установка профиля» нажмите «Установить».
Установите сертификаты сразу после загрузки, иначе они удалятся автоматически.
Введите пароль от телефона, или ПИН-код → в окне «Предупреждение» нажмите «Установить» → в окне «Установка профиля» выберите «Установить» → в окне «Профиль установлен» нажмите «Готово».
Доверие сертификатам УЦ Минцифры
После установки включите доверие сертификатам УЦ Минцифры. «Настройки» → «Основные» → «Об этом устройстве» → «Доверие сертификатам» → включите доверие сертификату «Russian Trusted Root CA», передвинув ползунок вправо.
В оповещении «Корневой сертификат» нажмите «Дальше».
Сертификаты установлены.
Ссылки
Переход на российские TLS сертификаты
https://www.gosuslugi.ru/crt
В конце прошлого года сайт Сбербанка начал сообщать о возможных проблемах с доступом к сервисам компании при отсутствии сертификатов НУЦ Минцифры России. И с каждым месяцем таких сайтов становится все больше, из-за их постепенного перехода на российские TLS-сертификаты. Сегодня мы расскажем, зачем нужна установка сертификата Минцифры, где его взять и как установить.
Содержание
- Что это такое
- Как понять, установлен ли такой сертификат
- Как установить доверенный корневой сертификат Минцифры на Windows
- Как решить возможные проблемы
- Можно ли обойтись без установки сертификатов
Что это такое
Любой браузер по умолчанию использует TLS-сертификаты, которые помогают шифровать передаваемые сайтам данные при подключении к ним по протоколу HTTPS. Ну а в итоге жизнь мошенников сильно затрудняется, и, например, при попытке подключения к фишинговому сайту браузер сможет предупредить вас о проблемах с безопасностью и не даст совершить ошибку, предоставив свои данные не тем людям.
В общем, TLS-сертификат — это хорошо и безопасно. Проблема в том, что в большинстве своем такие сертификаты выдавались зарубежными компаниями, а в прошлом году они перестали сотрудничать с российскими органами и компаниями со всеми вытекающими отсюда последствиями вроде отсутствия доступа к сервисам Сбербанка через интернет-банк — браузер просто не может проверить надежность сайта и по умолчанию помечает его в качестве подозрительного.
Решение проблемы есть, и их даже несколько. Вы можете перейти на использование российских Яндекс.Браузер и Atom, которые по умолчанию поддерживают отечественные сертификаты. Но тем, кто привык к Chrome, Firefox, Safari и другим зарубежным браузерам может быть некомфортно работать в непривычной программе. Поэтому вы можете вручную установить сертификаты Минцифры для Сбербанк и сайтов других организаций в любой удобный вам браузер. Рекомендации по переходу на последние, кстати, были разработаны совместно с ФСБ.
Как понять, установлен ли такой сертификат
Для этого достаточно перейти на официальный сайт Сбербанка по этой ссылке. Здесь вы увидите уже знакомое многим предупреждение о скором переходе всех сервисов Сбера на российские сертификаты НУЦ Минцифры, а чуть ниже появится такая плашка:
Если вы ее видите, значит, у вас нет нужного сертификата. Пора это исправить.
Как установить доверенный корневой сертификат Минцифры на Windows
Установить необходимые сертификаты можно через сайт Госуслуг. Причем авторизация в сервисе вам для этого не понадобится. Для ручной установки просто перейдите на сайт по этой ссылке. Здесь вам еще раз предложат установить Яндекс.Браузер и Atom, но если вам это не нужно, пролистайте страницу чуть вниз.
- Выберите операционную систему, в которую вы хотите установить сертификат, и кликните по соответствующему пункту меню левой кнопкой мыши. Мы же в качестве примера разберем процесс установки сертификата на компьютер под управлением Windows.
- Сразу же после этого вы увидите на экране подробную инструкцию по установке сертификата.
- Нажмите кнопку «Скачать корневой сертификат» и сохраните его на компьютер.
- Найдите загруженный файл сертификата, кликните по нему правой кнопкой мыши и выберите «Установить сертификат» в открывшемся контекстном меню.
- Подтвердите установку сертификата, еще раз нажав кнопку «Открыть».
- Выберите «Текущий пользователь» в мастере импорта сертификатов.
- В следующем окне выберите «Поместить все сертификаты в соответствующее хранилище». Нажмите кнопку «Обзор» и выберите «Доверенные корневые центры сертификации» (rootca).
- Нажмите «Далее» и еще раз подтвердите установку сертификата.
Помимо корневого вам потребуется установить еще и электронной выпускающий сертификат. Для этого пролистайте уже открытую нами страницу на Госуслугах еще ниже, найдите раздел «Установите выпускающий сертификат» и нажмите кнопку «Скачать выпускающий сертификат». Но будьте внимательны, процедура его установки немного отличается от рассмотренной выше в плане хранилища такого сертификата.
Сначала точно также найдите загруженный сертификат и выберите «Установить сертификат» в контекстном меню, которое откроется после клика по нему правой кнопкой мыши. После этого подтвердите установку сертификата для текущего пользователя, но на следующем шаге оставьте установленный по умолчанию пункт «Автоматически выбрать хранилище на основе типа сертификата».
Для корректной работы сертификатов перезапустите браузер. Ну а проверить, установились ли нужные нам сертификаты, можно на уже знакомой странице сайта Сбербанка. Если вы увидите сообщение о том, что сертификаты установлены и ваши данные защищены, все прошло хорошо.
Установка российских сертификатов на смартфоны и планшеты под управлением Android и iOS мало отличается от рассмотренного выше алгоритма, а подробные инструкции о том, как это сделать, есть на Госуслугах. Единственный нюанс касается платформы Android, некоторые браузеры для которой просто не умеют работать с отечественными сертификатами. Но об этом мы расскажем чуть ниже.
Как решить возможные проблемы
В некоторых случаях даже правильно установленный сертификат может отказаться работать. Но для решения этой проблемы достаточно просто очистить кэш браузера и перезагрузить нужную страницу. Причем это касается как компьютеров под управлением Windows, так и смартфонов на базе iOS.
С Android все немного сложнее. Некоторые браузеры вроде Opera, Firefox и фирменного браузера Xiaomi просто не могут работать с российскими сертификатами. Никакие настройки тут не помогут, и в этом случае вы не сможете обойтись без перехода на другой браузер. Как минимум, для открытия чувствительных сайтов вроде того же Сбербанка.
Можно ли обойтись без установки сертификатов
Если вы не хотите разбираться в том, как установить доверенный корневой сертификат Минцифры, то без этого пока можно обойтись. Современные браузеры лишь предупреждают о подозрительном статусе сайта без сертификата, а блокировка доступа к нему ограничивается банальной «защитой от дурака».
Для ее обхода достаточно нажать кнопку «Подробнее» при появлении уведомления об отсутствии у сайта сертификата, после чего кликнуть «Посетить веб-сайт» и подтвердить это действие. Другой вопрос в том, что в какой-то момент такая лазейка может быть закрыта, и вы можете потерять доступ к сайтам Сбербанка и Госуслуг, а также не сможете пользоваться другими государственными сервисами. А значит и с установкой сертификата лучше всего не тянуть. Тем более, что, как вы уже поняли, ничего сложного в этом нет.
Если же делать этого все равно ой как не хочется, вы можете установить Яндекс.Браузер или Atom в качестве резервного браузера и использовать его для входа на сайты без сертификатов.
Читайте также
- Как добавить музыку в Яндекс Музыку
- Локальная учетная запись Windows: как ее создать, удалить или изменить