ИБ-эксперт: сайты Сбербанка, Россельхозбанка, «Открытия» и «Юникредита» перестанут работать в Chrome и Firefox

Софт Безопасность Бизнес ИТ в банках ИТ в госсекторе
мобильная версия
, Текст: Денис Воейков

Эксперт по безопасности обратил внимание на то, что четыре российских банка из первой десятки по размерам активов используют сертификаты безопасности «провинившегося» перед Google и Mozilla разработчика, из-за чего пользователи Chrome и Firefox с октября не смогут зайти на сайты этих финансовых организаций.


Сайты банков перестанут открываться

С октября 2018 г. на сайты как минимум четырех российских банков из первой десятки по размерам активов невозможно будет зайти из браузеров Google Chrome и Mozilla Firefox. Свои соображения на этот счет в Twitter высказал сооснователь прокси- и VPN-сервиса Vee Security Артем Тамоян. По его заверению интернет-ресурсы Сбербанка, Россельхозбанка, банка «Открытие» и Юникредит банка используют «неблагонадежные» сертификаты SSL (Secure Sockets Layer — криптографический протокол для безопасной связи между сайтом и пользователем) компании Symantec, которые Google и Mozilla намерены перестать поддерживать.

«Поменяйте уже возможно украденный сертификат на нормальный, пожалуйста, — адресовал Тамоян свое обращение непосредственно к Сбербанку. — А то несекьюрно».

Представители Сбербанка отреагировали на твит эксперта рекомендацией для входа в «Сбербанк онлайн» пользоваться «не ссылками в поисковике, а переходить по гиперссылке с официального сайта» банка.

Онлайн-сервисы российских банков оказались под угрозой ограничения доступа к ним

После выхода материала пресс-служба Сбербанка связалась с редакцией и сообщила, что банку известно о данной проблеме с осени 2017 года. «Для ее решения мы составили план поэтапной замены сертификатов и запустили процедуру выпуска новых сертификатов, — заверили в организации. — В марте текущего года в соответствие с планом мы начали поэтапную замену сертификатов на новые, она будет завершена к октябрю 2018 г. Обновление сертификатов проходит без влияния на клиентов. Никаких угроз персональным данным и конфиденциальной информации банка нет».

В пресс-службе банка «Открытие» после выхода материала также сообщили CNews, что организации известно о существовании описанной проблемы. «Мы уже проводим мероприятия по замене сертификатов на всех интернет-ресурсах банка, которые эта проблема может затронуть», — заверили собеседники редакции.

Также после публикации материала в Юникредит банке заверили CNews, что организация в курсе этой проблемы — с момента появления первых сообщений о ней в начале 2018 г. «Сертификаты безопасности для тех интернет-ресурсов банка, для которых это актуально, обновляются в настоящий момент, — рассказали собеседники редакции. — Клиентам мы рекомендуем всегда пользоваться только официальными сервисами банка и при наличии малейших сомнений связаться с банком по телефону горячей линии или в чате и уточнить, является ли тот или иной ресурс официальным».

В Россельхозбанке прокомментировать CNews ситуацию не смогли.

Почему гранды не доверяют Symantec

Напомним, несмотря на то, что Symantec являлся одним из крупнейших удостоверяющих центров в мире по линии безопасности, в 2015 г. компания выпустила фальшивые сертификаты SSL с расширенной проверкой для доменов google.com и www.google.com. Причиной этого стала халатность нескольких сотрудников, которые по результатам расследования были уволены. Но этим проблему разрешить не удалось.

В марте 2017 г. инженеры Google и Mozilla обнаружили нарушения в 127 выданных компанией сертификатах SSL. В ходе углубленной проверки оказалось, что их число достигает 30 тыс. После этого Google сразу объявил, что в 2018 г. перестанет рассматривать эти сертификаты как действительные, поэтому пользователи Google Chrome при заходе на использующие их сайты увидят сообщение об ошибке.

Со своей стороны, официальные представители Symantec отвергли выдвинутые обвинения, назвав результаты расследования «преувеличенными и вводящими в заблуждение». В частности, они признали проблему только со 127 сертификатами и заявили о предвзятости Google, уделившей внимание в своем заявлении лишь Symantec, несмотря на то, что проблемы с выдачей были выявлены сразу у нескольких центров.

Между тем, представители Mozilla поддержали своих коллег из Google в их выводах. И Google, и Mozilla порекомендовали Symantec полностью перестроить свою инфраструктуру, отвечающую за выпуск сертификатов безопасности, чтобы восстановить к себе доверие.

Symantec выбрала более простой путь. В августе 2017 г. стало известно, что она продала свое подразделение, занимающееся выдачей сертификатов безопасности для веб-сайтов, за $950 млн и 30% акций компании DigiCert.

Что будет дальше

В ходе разбирательств в середине 2017 г. Google разработал для себя дорожную карту урегулирования проблемы. В планы компании, в частности, входил выпуск в апреле 2018 г. выпуск браузера Chrome версии 66. В нем пользователи должны были увидеть, что все сертификаты Symantec, выпущенные до 1 июня 2016 г., ошибочны, хотя к тому моменту большая их часть и так должна была стать просроченной.

С октября 2018 г. Chrome по плану будет считать ошибочными все сертификаты Symantec, выпущенные до 1 декабря 2017 г. Владельцам веб-сайтов и другим разработчикам, использующим сертификаты Symantec в своих приложениях, придется обратиться к правопреемнику компании за новым сертификатом SSL или сменить поставщика сертификатов вовсе.