С октября 2018 г. на сайты как минимум четырех российскихбанков из первой десятки по размерам активов невозможно будет зайти избраузеров Google Chrome и Mozilla Firefox. Свои соображения на этот счет в Twitter высказалсооснователь прокси- и VPN-сервисаVee Security Артем Тамоян. По егозаверению интернет-ресурсы Сбербанка, Россельхозбанка, банка «Открытие» иЮникредит банка используют «неблагонадежные» сертификаты SSL (Secure SocketsLayer — криптографический протокол для безопасной связи между сайтом ипользователем) компании Symantec, которые Google и Mozilla намерены перестатьподдерживать.

«Поменяйте уже возможно украденный сертификат на нормальный,пожалуйста, — адресовал Тамоян свое обращение непосредственно к Сбербанку. — Ато несекьюрно».

Представители Сбербанка отреагировали на твит экспертарекомендацией для входа в «Сбербанк онлайн» пользоваться «не ссылками впоисковике, а переходить по гиперссылке с официального сайта» банка.

После выхода материала пресс-служба Сбербанка связалась с редакцией и сообщила, что банку известно о данной проблеме с осени 2017 года. «Для еерешения мы составили план поэтапной замены сертификатов и запустили процедурувыпуска новых сертификатов, — заверили в организации. — В марте текущего года в соответствие с планом мыначали поэтапную замену сертификатов на новые, она будет завершена к октябрю2018 г. Обновление сертификатов проходит без влияния на клиентов. Никаких угроз персональным данным и конфиденциальной информации банка нет».

В пресс-службе банка «Открытие» после выхода материала также сообщили CNews, что организации известно о существовании описанной проблемы. «Мы уже проводим мероприятия по замене сертификатовна всех интернет-ресурсах банка, которые эта проблема может затронуть», — заверили собеседники редакции.

Также после публикации материала в Юникредит банке заверили CNews, что организация в курсе этой проблемы — с момента появления первых сообщений о ней в начале 2018 г. «Сертификаты безопасности для тех интернет-ресурсов банка, для которых это актуально, обновляются в настоящий момент, — рассказали собеседники редакции. — Клиентам мы рекомендуем всегда пользоваться только официальными сервисами банка и при наличии малейших сомнений связаться с банком по телефону горячей линии или в чате и уточнить, является ли тот или иной ресурс официальным».

В Россельхозбанке прокомментировать CNews ситуацию не смогли.

Почему гранды недоверяют Symantec

Напомним, несмотря на то, что Symantec являлся одним изкрупнейших удостоверяющих центров в мире по линии безопасности, в 2015 г. компаниявыпустила фальшивые сертификаты SSL с расширенной проверкой для доменов google.comи www.google.com. Причиной этого сталахалатность нескольких сотрудников, которые по результатам расследования былиуволены. Но этим проблему разрешить не удалось.

В марте 2017 г. инженеры Google и Mozilla обнаружилинарушения в 127 выданных компанией сертификатах SSL. В ходе углубленнойпроверки оказалось, что их число достигает 30 тыс. После этого Google сразу объявил,что в 2018 г. перестанет рассматривать эти сертификаты как действительные, поэтомупользователи Google Chrome при заходе на использующие их сайты увидят сообщениеоб ошибке.

Со своей стороны, официальные представители Symantecотвергли выдвинутые обвинения, назвав результаты расследования «преувеличеннымии вводящими в заблуждение». В частности, они признали проблему только со 127сертификатами и заявили о предвзятости Google, уделившей внимание в своемзаявлении лишь Symantec, несмотря на то, что проблемы с выдачей были выявленысразу у нескольких центров.

Между тем, представители Mozilla поддержали своих коллег изGoogle в их выводах. И Google, и Mozilla порекомендовали Symantec полностьюперестроить свою инфраструктуру, отвечающую за выпуск сертификатовбезопасности, чтобы восстановить к себе доверие.

Symantec выбрала более простой путь. В августе 2017 г. сталоизвестно, что она продала свое подразделение, занимающееся выдачей сертификатовбезопасности для веб-сайтов, за $950 млн и 30% акций компании DigiCert.

Что будет дальше

В ходе разбирательств в середине 2017 г. Google разработалдля себя дорожную карту урегулирования проблемы. В планы компании, в частности,входил выпуск в апреле 2018 г. выпуск браузера Chrome версии 66. В немпользователи должны были увидеть, что все сертификаты Symantec, выпущенные до 1июня 2016 г., ошибочны, хотя к тому моменту большая их часть и так должна быластать просроченной.

С октября 2018 г. Chrome по плану будет считать ошибочнымивсе сертификаты Symantec, выпущенные до 1 декабря 2017 г. Владельцам веб-сайтови другим разработчикам, использующим сертификаты Symantec в своих приложениях,придется обратиться к правопреемнику компании за новым сертификатом SSL или сменитьпоставщика сертификатов вовсе.