Зачем нужны отечественные TLS-сертификаты и как их установить

TLS сейчас используется повсеместно – в браузерах, электронной почте, мгновенных сообщениях и даже IP-телефонии. В идеале TLS-сертификат должен быть у каждого сайта. Если же интернет-ресурс не имеет TLS, то при переходе на него в браузере появляется предупреждение о том, что сайт небезопасен.

Зачем нужны российские TLS-сертификаты

В 2022 году у многих отечественных сайтов были отозваны международные сертификаты безопасности. В частности, это касается страниц Центробанка, Сбера, Промсвязьбанка, ВТБ и других финансовых учреждений.

Чтобы российские сайты не зависели от международных сертификатов, но продолжали обеспечивать безопасность, осенью этого года Минцифры выпустило отечественные TLS-сертификаты. Их уже получили около 7000 доменов.

Чтобы вы могли спокойно зайти на страницу с отечественными TLS, устройство должно его распознавать и доверять ему. По умолчанию наши смартфоны и ПК распознают только международные сертификаты – поэтому российский аналог надо установить отдельно.

Что делать пользователям?

Имейте в виду, что для доступа к заблокированным сервисам через приложение, а не сайт, российская цифровая подпись не понадобится. Мобильные клиенты работают по-прежнему.

Если вам критически важно получить доступ к заблокированным ресурсам через сайт, есть два варианта решения проблемы. Один из них относительно простой, второй – сложнее и менее безопасный.

Первый – использовать российские браузеры. Если вы совершенно оправдано опасаетесь вмешиваться в системные настройки своего устройства, то проще всего установить Яндекс Браузер или Атом, которые уже поддерживают российские TLS-сертификаты. Если через них заходить на нужные сайты, то браузеры сами будут применять TLS, когда это требуется.

Второй вариант – установить российские TLS-сертификаты на все устройства вручную. Если вам важно иметь доступ к ресурсам из любого браузера, понадобится встроить распознавание TLS в операционную систему смартфона или ПК. Но имейте в виду: вмешиваться в системные настройки смартфона небезопасно.

Найти файлы для установки сертификатов можно на портале Госуслуг: введите в строке запроса на главной странице «Электронный сертификат безопасности» – «Установка сертификата пользователем».

Признаем, установка – это задача не для слабонервных, поэтому попробуем разобраться вместе. К тому же мы проверили этот способ на наиболее популярных ОС: Android, Windows и iOS. Если вы захотите поставить сертификаты на MacOS, то принцип действий будет аналогичным.

Как установить TLS-сертификат на Android

Для корректной работы сайтов с отечественными TLS на Android-гаджетах понадобится два сертификата – корневой и выпускающий. Так что путь установки придется проходить дважды.

1. Установите корневой сертификат

• Скачайте корневой сертификат для Android на ваше устройство. В браузере Chrome для этого надо зайти в меню (три точки справа вверху) и нажать значок скачивания.
• В настройках девайса отыщите раздел «Сертификат» либо «Установка сертификата» и выберите «Сертификат СА», «Сертификат центра сертификации» или аналогичное название. Раздел может находиться в меню «Безопасность» – «Хранилище учетных данных» или схожих по наименованию пунктах - их название зависит от оболочки Android. Мы рекомендуем просто ввести слово «Сертификат» в строке поиска в настройках, чтобы не тратить время на поиски.
• Может появиться предупреждение о нарушении конфиденциальности данных - нажмите «Все равно установить».
• При запросе введите код-пароль устройства, затем нажмите «Подтвердить» и выберите в загрузках «Russian Trusted Root CA.cer». Остается дождаться уведомления о завершении установки.

2. Установите выпускающий сертификат

Теперь необходимо скачать сертификат Russian Trusted Sub CA и повторить шаги выше. Для корректной работы сертификатов после установки нужно обязательно очистить кэш браузера.

Как установить TLS-сертификат на iOS

Имейте в виду: в нашем случае iPhone завис после загрузки конфигурационного файла. Устройство пришлось перезагружать и скачивать сертификат заново - тогда все заработало.

Также учтите, что для iOS нужно скачать всего один конфигурационный профиль, но установку важно провести сразу после скачивания, иначе профиль автоматически удалится.

• В настройках выберите «Профиль загружен» и нажмите «Установить» в окне «Установка профиля».
• Введите код-пароль, в окне «Предупреждение» тапните «Установить». Затем в окне «Установка профиля» снова выберите «Установить».
• Наконец, в окне «Профиль установлен» нажмите «Готово».

• Теперь нужно, чтобы ваш гаджет доверял сертификатам. Для этого в настройках откройте раздел «Основные» – «Об этом устройстве» – «Доверие сертификатам».
• Последний шаг – очистите кэш браузера. Все готово, теперь ваш смартфон или планшет будет распознавать российские TLS-сертификаты и доверять им.

Как установить TLS-сертификаты на Windows

1. Установите корневой сертификат

• Скачайте корневой сертификат Russian Trusted Root CA.cer на портале Госуслуг. Для этого кликните на его текст правой клавишей мыши и в выпадающем меню выберите «Сохранить как».

• Войдите в папку «Загрузки», откройте загруженный файл и выберите «Установить сертификат».
• В окне «Мастер импорта сертификатов» нужно выбрать пункт «Текущий пользователь» – «Далее».
• Теперь выберите «Поместить все сертификаты в следующее хранилище» – «Обзор» – «Доверенные корневые центры сертификации» – «Далее».
• В окне «Завершение мастера импорта сертификатов» нажмите «Готово», а затем – «ОК».

2. Установите выпускающий сертификат

• Скачайте выпускающий сертификат Russian Trusted Sub CA.cer, зайдите в папку с загрузками, откройте его и выберите «Установить сертификат».
• В открывшемся окне «Мастер импорта сертификатов» кликните на пункт «Текущий пользователь – «Далее». Затем нажмите «Автоматически выбрать хранилище на основе типа сертификата» – «Далее».
• В окне «Завершение мастера импорта сертификатов» нажмите «Готово», а затем «ОК». Установка сертификатов будет полностью завершена.

Помните, что для корректной работы сертификатов нужно очистить кэш всех браузеров, которыми вы пользуетесь на своем ПК.

Как удалить TLS-сертификаты

в настройках откройте раздел «Надежные сертификаты» - «Надежные учетные данные» - «Пользователь». В списке сертификатов найдите Russian Trusted Root CA и Russian Trusted Sub CA, по очереди удалите их. Некоторые производители сразу предлагают удалить все пользовательские сертификаты - если такой пункт есть, можно им воспользоваться.

войдите в «Настройки» – «Основные» – «VPN и управление устройством». Зайдите в профиль Russian Trusted Root CA и нажмите «Удалить сертификат» внизу экрана.

в разделе «Параметры конфиденциальности устройства» введите в поиске «сертификат». В выпадающем меню выберите «Управление сертификатами компьютеров» – откроется окно «Сертификаты». Вам нужна папка «Доверенные корневые центры сертификации» - «Сертификаты». Последовательно выберите файлы Russian Trusted Root CA.cer и Russian Trusted Sub CA.cer и удалите их, нажав на красный крестик. Инструкция подходит для Windows 10 и 11, в более ранних версиях названия пунктов могут отличаться.

Подводим итоги

При установке отечественных сертификатов безопасности вам придется игнорировать многочисленные предупреждения системы – и это неспроста. Новые настройки могут привести к сбоям в работе устройства, в его системе защиты появятся новые уязвимости, а ваши конфиденциальные данные окажутся под угрозой.

К тому же даже российские TLS-сертификаты не гарантируют стабильную работу сайтов через популярные зарубежные браузеры. Например, в 2019 году в Казахстане попытка перевести сайты на национальные сертификаты привела к их полной блокировке всеми иностранными браузерами.

Так что, вероятно, пока безопаснее использовать отечественные браузеры - в них уже подключаются российские TLS при открытии определенных страниц. Но все-таки постарайтесь не вводить конфиденциальные данные через веб-обозреватель - для этого лучше использовать мобильные приложения.