Мобильные устройства и персональные компьютеры миллионов россиян оказались под угрозой из-за перехода России на отечественные сертификаты безопасности сайтов. Из-за российского вторжения в Украину большинство зарубежных компаний, сертификатами которых пользовались почти все российские сайты, отозвали свои разрешения на их использование. Заменить иностранные сертификаты должно Министерство цифрового развития, связи и массовых коммуникаций (Минцифры) с помощью подконтрольной государству компании «Ростелеком».
Однако отечественная альтернатива небезопасна, выяснил «Холод». Через российский сертификат безопасности злоумышленники и государство могут получить доступ к персональным, финансовым и иным данным владельца устройства. Более того, с помощью уязвимостей сертификата злоумышленники смогут получить доступ не только к мобильным приложениям и информации, но даже управлять самим устройством — вплоть до включения фонарика.
Впервые о переходе на отечественные сертификаты безопасности власти заговорили осенью 2022 года, однако активный процесс начался только в 2023 году. Теперь для того, чтобы воспользоваться российскими сервисами (например, сайтами Сбера, Почты России, Минобороны, президента России и других), пользователь должен либо установить на свой гаджет сертификат Минцифры вручную, либо пользоваться браузерами «Яндекс» или «Атом» (в них сертификаты Минцифры установлены по умолчанию).
Ни производители крупнейших интернет-браузеров, ни эксперты по цифровой безопасности не признают сертификаты Минцифры надежными. Они уверены, что данные пользователя о геолокации, банковские данные и другая персональная информация могут оказаться в руках сотрудников «Ростелекома» и Минцифры, а оттуда попасть к злоумышленникам или сотрудникам госструктур.
Для минимизации рисков «Холод» рекомендует не устанавливать сертификаты Минцифры на свои устройства или запускать сайты с российским сертификатом на «чистом» устройстве. Для этого вполне подойдет старый смартфон. Также в настройках браузеров и самих смартфонов можно удалить российский сертификат от Минцифры — для этого в соответствующем списке нужно найти «Russian Trusted Root CA» и удалить его из списка.
для Chrome: «Настройки» — «Конфиденциальность и безопасность» — «Безопасность» — «Настроить сертификаты» — «Центры сертификации» — строчка «Russian Trusted Root CA» — «Удалить».
для Firefox: «Настройки» — «Приватность и защита» — «Сертификаты» — «Просмотр сертификатов» — строчка «Russian Trusted Root CA» — «Удалить».
для iPhone: «Настройки» — «Основные» — «Об этом устройстве» — «Доверие сертификатам». Если помимо двух строк «Версия хранилища» и «Версия надежного ресурса», больше ничего, значит сертификатов Минцифры на устройстве не установлено. Если есть внизу еще какие-то сертификаты (здесь помимо «Russian Trusted Root CA» могут быть и иные ненадежные сертификаты), удалите «Russian Trusted Root CA» и другие, которые не нравится.
для Android: «Настройки» — «Безопасность и конфиденциальность» — «Дополнительные настройки безопасности» — «Шифрование и учетные данные» — «Установка сертификатов» — строчка «Russian Trusted Root CA» — «Удалить».
Подробнее о том, чем опасны сертификаты Минцифры, читайте в материале «Холода».