С сентября прошлого года Сбер переносит свои сервисы на отечественные сертификаты безопасности. Теперь дошла очередь до платёжного шлюза — страницы для ввода данных карты при оплате в интернет-магазинах. В этой связи необходимо знать несколько нюансов.
О каких сертификатах речь?
Большинство современных сайтов устанавливают защищённое соединение с пользователями. Для этого применяются криптографические протоколы TLS или SSL. Но чтобы браузер мог удостовериться, что он обменивается информацией с настоящим, а не подменным ресурсом, существуют TLS-сертификаты. Выпуск таких документов обеспечивают удостоверяющие центры (УЦ).
До весны прошлого года в РФ не было ни одного удостоверяющего центра, даже государственные сайты пользовались услугами иностранных заверителей. Но после отзыва сертификатов у некоторых российских подсанкционных организаций в марте 2022 года Минцифры начало выдавать свои TLS-аналоги.
Однако при посещении сайта с российским сертификатом браузер может выдать ошибку незащищённого соединения. Дело в том, что ни один иностранный браузер или операционная система не доверяют УЦ Минцифры.
Что означает переход Сбера на отечественные сертификаты?
С сентября 2022 года клиенты Сбербанка, использующие браузеры иностранной разработки, видят ошибку незащищённого соединения при посещении сервиса «Сбербанк Онлайн». Но 30 декабря крупнейший отечественный банк перевёл на сертификаты Минцифры и платёжный шлюз, которым пользуются многие интернет-магазины.
Чтобы не напугать миллионы клиентов ошибкой, Сбер придумал следующую схему:
Если браузер посетителя платёжного шлюза поддерживает российский сертификат, он направляется на привычную страницу securepayments.sberbank.ru.
Если используется иностранный браузер, Сбер направляет на один из пяти альтернативных доменов, которые по-прежнему защищены сертификатом от зарубежного УЦ: securecardpayment.ru, secure-payment-way.ru и другие.
Тем не менее использование столь критического сервиса вне официального доменного имени Сбера может вызвать вопросы у пользователей. Если не знать об этом нюансе, указанные выше адреса легко сойдут за мошеннические.
Поэтому эксперты рекомендуют два способа. Можно заходить на страницы оплаты через «Яндекс.Браузер» и «Атом» — эти веб-обозреватели встроили корневой сертификат от Минцифры. Либо установить отечественный сертификат вручную, чтобы он поддерживался всей операционной системой.
