Ошибка. Нет полного доверия к сертификату подписи

С недавнего времени при заходе на сайт Сбербанка большинство пользователей стали видеть предупреждение о его небезопасности. Сам Сбер в качестве решения этой проблемы предлагает установку сертификатов Минцифры. Что это все значит и насколько безопасно пользоваться сайтом Сбербанка с такими сертификатами?

Что случилось с сайтом Сбера

«Подключение не защищено. Не сообщайте этому сайту конфиденциальную информацию. Например, пароли и номера банковских карт. К ней могут получить доступ злоумышленники». Такой формулировкой описывает теперь сайт sberbank.ru самый популярный в интернете браузер Chrome. Но ведь именно чтобы ввести пароль и данные карт, мы на сайта Сбербанка и заходим! Поэтому предупреждение звучит крайне угрожающе. Так в чем же дело?

Немного краткой теории. Соединения с сайтами бывают двух основных видов: защищенное (начинается на https, см. в адресной строке) и незащищенное (начинается на http). Разница между ними простая: в первом случае данные шифруются, во втором — нет. Чем это грозит на практике?

Если же соединение не зашифровано, то злоумышленник будет видеть весь ваш трафик с этим сайтом как на ладони. И провайдер тоже.

Конечно, если точка доступа Wi-Fi закрытая (а значит, соединение само по себе закрыто от злоумышленника за соседним столиком) или вы вообще подключены по проводу, вероятность того, что провайдер будет лезть в ваш трафик и искать там пароли, крайне мала. Но гарантии безопасности уже нет. О чем браузер и предупреждает.

Но сертификаты (как и паспорта) не выдает кто попало. Это делают специальные удостоверяющие центры — аналоги паспортных столов. И в каждом устройстве/браузере зашит список центров, которым устройство/браузер доверяет. То есть наличие сертификата в конечном счете означает, что удостоверяющий центр, которому можно доверять, гарантирует: это тот самый сайт.

Вот тут и появилась проблема для попавшего под санкции госбанка. Доверенные удостоверяющие центры сплошь иностранные, да еще и из стран, которые российские власти называют недружественными. Отечественный сертификат Минцифры планировали включить в список доверенных, да не успели.

«Иностранные центры отказываются выдавать новые/продлевать старые SSL-сертификаты. Из „неприятности“ это превращается в реальную проблему. Срок действия многих ранее выданных сертификатов начинает истекать, и соединение перестает быть безопасным», — объясняет заместитель директора компании «Цифроматика» Артур Батуллин.

Спасение или новая опасность

Однако если начать устанавливать корневой сертификат по инструкции, можно увидеть еще одно предупреждение безопасности. Это еще что?

Дело в том, что установка корневого сертификата в систему — это очень ответственный шаг, почти как вступление в брак. Вы даете разрешение сертификату подтверждать вообще всё. И это создает теоретическую возможность для расшифровки вашего трафика даже на сайтах, которые используют любые другие сертификаты.

Дмитрий Кузеванов, технический директор компании «Азбука Вкуса»:

Атака довольно сложная и, естественно, незаконная: для нее требуется, чтобы сам удостоверяющий центр Минцифры вдруг выдал поддельный сертификат для нужного сайта. Иначе не получится.

Дмитрий Гачко, основатель ГК ITglobal.com:

— Понятно, что можно злоупотребить, выдав сертификат, например, для YouTube, и ваш браузер не будет об этом сигнализировать, но злоупотребить может и любой другой из существующих владельцев корневых сертификатов. Пойдет ли кто-то на такой шаг и по какой причине — вот в чем вопрос.

Трафик с сайтов, которые используют сертификаты от Минцифры, расшифровать проще — надо только получить в этом поддержку самого Минцифры.

Как наиболее безопасно открыть сайт Сбера

Так что же делать-то? Не установишь сертификат Минцифры — соединение с сайтом Сбера станет небезопасным. Установишь — безопасность соединений с другими сайтами может нарушиться. Выход — использовать российский браузер, который сам по себе доверяет отечественным сертификатам. Нам известно о двух таких — «Яндекс.Браузер» от одноименной компании и «Атом» от VK.

Владимир Пузанов, директор бренда BQ:

— Глобально устанавливать любые корневые сертификаты небезопасно, независимо от страны происхождения. При этом национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации). Если пользователь пользуется российскими браузерами, то дополнительно ничего устанавливать нет необходимости.

При этом разработчики «Яндекс.Браузера» уверяют, что допускают использование сертификата Минцифры только на сайтах из специального списка. То есть если «Яндекс.Браузер» увидит, что сертификатом Минцифры подписан, например, Google, то он все равно такой подписи доверять не станет. Можно просто использовать «Яндекс.Браузер» или «Атом» только на сайтах, которые подписаны Минцифрой, если сомневаетесь в этих российских разработках.

А вот перед владельцами iPhone дилеммы вообще не стоит: из-за ограничений системы у них браузеры могут доверять только корневым сертификатам из самой iOS. Так что вариант с российским браузером тут не поможет. Либо устанавливать корневой сертификат для Сбера в систему и учитывать все риски, либо пользоваться небезопасным соединением с онлайн-банком (и тоже учитывать все риски).

Оставлено
:
14 мая 2020 г. 9:37:07(UTC)

в сертификате есть URL на CRL. Нашли?

Я нашёл в “Промежуточном сертификате тестового Удостоверяющего центра” параметр “Точка распределения списка отзыва CRL” с адресом URL=http://testca2012.cryptopro.ru/cdp/b42969ffafd33888fc1343496661dd3337bd6a09.crl. Добавил его к существуещему списку crl:

X509CRL crl = (X509CRL) CertificateFactory.getInstance(“X.509”).generateCRL(new FileInputStream(“http://testca2012.cryptopro.ru/cdp/b42969ffafd33888fc1343496661dd3337bd6a09.crl”));
crlList.add(crl);

но всё равно в момент создания подписи:

cadesSignature.addSigner(JCP.PROVIDER_NAME, Digest, PublickeyOID, Pk, Certs, CAdESType.CAdES_X_Long_Type_1, “http://testca2012.cryptopro.ru/tsp/tsp.srf”, false, new AttributeTable(table), null, CrlList);

выходит та же ошибка:

Если же делаю проверку онлайн, всё подписывает нормально. Предполагаю, что либо адрес .crl-файла должен быть другой, либо я его как-то не так готовлю для cadesSignature.addSigner.

Через IE = Internet Explorer, а не Microsoft Edge

Попробовал через Internet Explorer 11 на виндовс 10. Ошибка:

Не удаётся безопастно подключится к этой странице
Возможно на сайте используются устаревшие или ненадёжные параметры безопасности протокола TSL. Если это будет повторяться, обратитесь к владельцу веб-сайта

Может ещё какую программу для доступа установить надо. А то Вы упомянули “1) Криптопровайдер с поддержкой ГОСТ 2012”, а что это такое я не совсем (а скорее совсем) не понимаю. Крипто Про 5 версии является “Криптопровайдером с поддержкой ГОСТ 2012” или имеется ввиду что-то другое?

Тогда поясните, зачем тема с CRL поднимается,если в сертификате есть OCSP и всё, что нужно – чтобы был доступ к сервисам УЦ.

Насколько я понимаю, вопрос о приобретении OCSP-серверов на каждый узел пока в процессе рассмотрения. Потому пока исхожу из внеобходимости использования CRL.

Эта статья описывает типичные ошибки работы КриптоПро ЭЦП Browser plug-in  в браузерах  и предлагает способы их решения.

Появляется окно КриптоПро CSP Вставьте ключевой носитель

Появление данного окна значит, что у Вас не вставлен носитель с закрытым ключом для выбранного Вами сертификата.

Необходимо вставить ключевой носитель. Убедитесть, что устройство отображается в Диспетчере Устройств Windows. Установите драйверы на устройство с сайта производителя если они не установлены.

Если предыдущие действия не помогли, необходимо переустановить сертификат в хранилище Личное текущего пользователя с привязкой к закрытому ключу. См статью.

Не удалось создать подпись из-за ошибки: Не удается построить цепочку сертификатов для доверенного корневого центра. (0x800B010A)

Эта ошибка возникает, когда невозможно проверить статус сертификата (нет доступа к спискам отзыва или OCSP службе), либо не установлены корневые сертификаты.

Скриншоты с примерами сертификатов, у которых не строится цепочка доверия.

Если вы используете квалифицированный сертификат, то попробуйте установить в доверенные корневые эти 2 сертификата. Это сертификаты Головного УЦ Минкомсвязи и Минцифры. От них, при наличии интернета, должна построится цепочка доверия у любого квалифицированного сертификата.

https://e-trust.gosuslugi.ru/#/portal/registry/ufo-certificate-card/34656 – страница сертифката, ссылка с серийным номером скачает файл сертификата

Чтобы установить скачанный сертификат в доверенные корневые центры сертификации, нажмите по нему правой кнопкой-Выберите пункт –Установить сертификат- Локальный компьютер (если такой выбор есть) – Поместить все сертификаты в следующие хранилище-Обзор-Доверенные корневые центры сертификации-Ок- Далее- Готово- когда появится предупреждение системы безопасности об установке сертификата- нажмите Да-Ок.

Если этого недостаточно, обратитесь в УЦ, выдавший вам сертификат, за сертификатом самого УЦ.

Важно: Если вы создаете CAdES-T (доверенное время) или CAdES-XLongType 1 (доверенное время и доказательства подлинности), ошибка цепочки может возникать если нет доверия к сертификату оператора TSP службы. В этом случае необходимо установить в доверенные корневые центры сертификации корневой сертификат УЦ, предоставляющего службу TSP.

При создании подписи появляется окно с ошибкой “Не удается найти сертификат и закрытый ключ для расшифровки. (0x8009200B)”, в информации о сесртификате отображается “нет привязки к закрытому ключу”

Выполните привязку сертификата к закрытому ключу.

Важно: На наших демо-страницах подпись будет создана даже если привязки к ЗК нет. При этом сертификат должен находиться в контейнере. Сообщение “нет привязки к закрытому ключу” в данном случае будет носить информационный характер. Однако для обеспечения совместимости со сторонними площадками мы рекомендуем выполнять привязку сертификата к закрытому ключу.

Подпись создается, но также отображается статус “ошибка при проверке цепочки сертификатов”.

Это значит, что нет доступа к спискам отозванных сертификатов.

Причина ошибки – истёк срок действия лицензий на КриптоПро CSP и/или КриптоПро TSP Client 2.0 и/или Криптопро OCSP Client 2.0.

Для создания CAdES-BES подписи должна быть действующая лицензия на КриптоПро CSP.

Для создания CAdES-T должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0.

Для создания XLT1 должны быть действующими лицензии на: КриптоПро CSP, КриптоПро TSP Client 2.0, КриптоПро OCSP Client 2.0

Посмотреть статус лицензий можно через: Пуск- Все программы- КРИПТО-ПРО- Управление лицензиями КриптоПро PKI.

Чтобы активировать имеющуюся лицензию:

– введите в поле информацию о лицензии и нажмите OK чтобы сохранить её.

Отказано в доступе (0x80090010)

Ошибка: Invalid algorithm specified. (0x80090008)

Ошибка возникает, если Вы используете сертификат, алгоритм которого не поддерживается Вашим криптопровайдером.

Пример: У вас установлен КриптоПро CSP 3.9 а сертификат Выпущен по ГОСТ 2012.

Или если используется алгоритм хеширования, не соответствующий сертификату.

Так же проверьте актуальность версии КриптоПро CSP.

Электронная подпись для физических лиц

Электронная подпись для юридических лиц

Электронная подпись для ИС Маркировка

Электронная подпись для Росреестра

Электронная подпись для Госуслуг

Электронная подпись для Налог.ру

Электронная подпись для ЕГАИС

Показать все сертификаты

Собрать свой сертификат

Офис в городе Калининград

Калининградская область, г. Калининград, ул. Кирпичная, 7, офис 303

Офис в городе Псков

Псковская область, г. Псков, ул. 128-й Стрелковой Дивизии, 6, офис 508

8 800 250-42-35

Главная
Часто задаваемые вопросыКак установить корневой сертификат и список отозванных сертификатов

Как установить корневой сертификат и список отозванных сертификатов

Для работы с электронной подписью необходимо установить на компьютер:

• криптопровайдер ViPNet CSP (выдается клиентам бесплатно);
• контейнер ключа электронной подписи;
• сертификат проверки ключа;
• корневой сертификат удостоверяющего центра;
• список отозванных сертификатов.

Правильно настроить рабочее место вам помогут инструкции:
Инструкция по настройке рабочего места для работы с ЭП (ViPNet CSP и eToken);
Инструкция по настройке рабочего места для работы с ЭП (ViPNet CSP и JaCarta LT).

Быстрая помощь
от менеджера

Другие вопросы

Как установить ViPNet CSP?

Как продлить сертификат электронной подписи?

Можно ли считать простую электронную подпись аналогом собственноручной подписи?

Какую электронную подпись необходимо приобрести для работы на федеральных торговых площадках

Как и где приобрести универсальную электронную подпись?

посмотреть все вопросы

Мы подберем вам сертификат!

Оставьте номер телефона, и сотрудник отдела продаж свяжется с вами в течение 1 часа

Мы расскажем, от чего зависит цена на сертификат электронной подписи и какой тариф вам подойдет!
Отправляя заявку, я соглашаюсь на обработку своих персональных данных АО «Инфотекс Интернет Траст» в соответствии с Политикой обработки персональных данных пользователей сайтов АО «Инфотекс Интернет Траст»

8 800 250-42-35

Задать вопрос онлайн

Личный кабинет
Договор-оферта на услуги УЦ для физических лиц

Договор-оферта на услуги УЦ для юридических лиц
Регламент УЦ (квал.)

Политика УЦ по обработке персональных данных

Руководство по обеспечению безопасности

Корневые и отозванные сертификаты

О компании

Получить ЭЦП

Контакты и адреса

Частые вопросы

Лицензии

Статьи

Электронная подпись в других городах

Электронная подпись для физических лиц

Электронная подпись для налоговой

Усиленная квалифицированная электронная подпись

Электронная подпись для торгов

Электронная подпись для юридических лиц

Подписание и шифрование файла для Росалкогольрегулирования (КриптоАРМ)

Ошибка. Нет полного доверия к сертификату подписи

Данная ошибка возникает в случае, если необходимо установить списки отозванных сертификатов.

Для установки отозванных сертификатов Удостоверяющего Центра выполните следующие действия:

Сохранение списков отозванных сертификатов

• Загрузите список отозванных сертификатов Головного Удостоверяющего Центра с данного сайта
• Загрузите список отозванных сертификатов Подчиненного Удостоверяющего Центра, для этого:
• Откройте Ваш сертификат
• Списки отзыва сертификатов успешно сохранены

Установка списков отозванных сертификатов

• Запустите пограмму КриптоАРМ
• Нажмите Вид и выберите Эксперт
• Затем нажмите правой кнопкой мыши на Список отзыва сертификатов и нажмите Импорт
• Откроется Мастер установки сертификатов, нажмите Далее
• В открывшемся окне нажмите Выбрать
• Выберите список отозванных сертификатов с расширением crl. Затем нажмите Открыть
• Нажмите Далее
• Выберите хранилище Промежуточные центры сертификации, нажмите Далее
• Нажмите Готово
• Повторите все вышеперечисленные действия со вторым списком отозванных сертификатов

Сертификаты были успешно установлены.

СПИСКА ОТОЗВАННЫХ СЕРТИФИКАТОВ УДОСТОВЕРЯЮЩЕГО

ЦЕНТРА ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА

Список отозванных сертификатов, издаваемый УЦ ФК, соответствует стандарту X.509v2 согласно RFC 5280 “Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL) Profile” с учетом RFC 4491 “Using the GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms with the Internet X.509 Public Key Infrastructure Certificate and CRL Profile”.

Приложение N 14

от 4 декабря 2013 г. N 279

Как аннулировать электронную подпись:

• Сформировать заявление.
• Подать заявку в Удостоверяющий центр Федерального казначейства лично или онлайн.
• Проверить ЭЦП в списке отозванных сертификатов ФК.

Чем регулируется отзыв

Для пользователей возможна отмена электронной подписи по внутреннему и внешнему документообороту, закупкам, сдаче отчетности в контролирующие ведомства. Но аннулируется не электронный носитель (ключ ЭЦП), а сертификат. Он является основой верификации, запуска и работы подписи.

Следите за изменениями в закупках с помощью КонсультантПлюс!

Настройте индивидуальный профиль и получайте сообщения о новостях и поправках сразу, как они появляются в системе. А пояснения экспертов и сравнение редакций НПА помогут понять запутанные формулировки и разобраться в новых правилах. Попробуйте бесплатно!

Получить бесплатный доступ к материалам КонсультантПлюс на 2 дня

Каковы основания для отзыва

Обычно ЭЦП аннулируют пользователи (руководитель или специалист заказчика), но иногда закрытие инициирует и Федеральное казначейство. В приказе №11н указано, по какой причине удостоверяющий центр отзывает сертификат у организации:

• истечение срока действия;
• поломка или неисправность носителя ЭЦП;
• закрытие или ликвидация территориального органа ФК (ТОФК), а вместе с ним и удостоверяющего центра, который выпустил ключ.

А вот в каких случаях инициатива исходит от заказчика:

• увольнение владельца ключа ЭП;
• снятие с пользователя полномочий администратора с ЭЦП;
• поломка носителя;
• неисправность системы шифрования и криптографической защиты ключа;
• закрытие или ликвидация заказчика.

Неисправную или недействительную ЭП отзывают. Ключ закрывают по заявлению владельца, по требованию ТОФК или по решению суда. Инициатор отправляет заявку о неисправности и несоответствии сведений, а специалист удостоверяющего центра ТОФК отзывает ЭП и вносит информацию в специальный список.

Как отозвать ЭЦП

Существует два варианта, как отключить электронную подпись: лично и онлайн. Если заказчик обращается в ТОФК лично, он формирует заявление на бумажном носителе и показывает сотруднику удостоверяющего центра паспорт. Если же в УЦ обращается не владелец сертификата, а его представитель, понадобится доверенность.

При подаче заявления онлайн паспорт заявителя не требуется.

Пошаговая инструкция, как отозвать сертификат на электронную подпись при увольнении онлайн:

Шаг 1. Переходим на официальный сайт Казначейства в раздел Удостоверяющий центр.

Шаг 2. Находим сервис онлайн-подачи документов для получения ЭП: система автоматически отправит пользователя на Портал заявителя.

Шаг 3. Заходим в раздел «Получение и изменение статуса сертификата».

Шаг 4. Переходим в блок «Изменение статуса сертификата». Заполняем заявку и указываем основание для отзыва.

Шаг 5. Сохраняем, подписываем и отправляем запрос.

Работник удостоверяющего центра проверяет и обрабатывает заявку. Суть проверки — соответствие информации из заявления сведениям из реестра. Если обращение сформировано корректно, принимается положительное решение и отзывается ключ ЭЦП. Заявителю направят уведомление с результатами проверки и решением УЦ.

При отзыве ЭЦП по причине смены реквизитов или административных полномочий, поломки носителя, окончания срока действия ключа, ликвидации заказчика действует аналогичный алгоритм. Ответственный специалист формирует заявку, выбирает необходимое основание и передает запрос о закрытии ЭП в удостоверяющий центр.

Как проверить, что подпись отозвана

Все отозванные сертификаты казначейство заносит в специальный список. Перечень аннулированных сертификатов размещен в открытом доступе в интернете.

Об авторе этой статьи

Бухгалтер, эксперт проекта

Практикующий бухгалтер.
Работаю с начала учебы в ВУЗе. Есть опыт работы и в коммерции, и в бюджете. С 2006 по 2012 работала бухгалтером-кассиром и кадровиком. С 2012 по настоящее время — главный бухгалтер в бюджетном учреждении. Помимо прямой бухгалтерии занимаюсь закупочной и планово-экономической деятельностью. 4 года пишу тематические статьи для профильные изданий.

Другие публикации автора

• Техподдержка по электронным подписям
• Корневые сертификаты и списки отзыва
• Установка списка отозванных сертификатов

Список отозванных сертификатов нужен, чтобы проверить сертификат средствами ГКО и «Такскома».

Чтобы установить список отзыва:

• Откройте личный сертификат пользователя в «КриптоПро CSP» (меню «Пуск» – «Панель управления» — «КриптоПро CSP» — «Сервис») нажмите кнопку «Просмотреть сертификаты в контейнере» — «Обзор» — выберите нужный ключевой контейнер (сертификат) – нажмите кнопку «Далее» — откройте сертификат с помощью кнопки «Свойства».
• Перейдите на вкладку «Состав» и выберите из списка «Точки распространения списков отзыва»;
• В блоке «Имя точки распространения» скопируйте ссылку (выделите ее и нажмите Ctrl+C);
• Откройте браузер и скопируйте ссылку в адресную строку, нажав Ctrl+V;
• Сохраните файл на компьютер в произвольное место;
• Откройте папку с ранее сохраненным файлом, нажмите на него правой кнопкой мыши и выберите «Установить список отзыва (CRL)»;
• Следуйте указаниям «Мастера импорта сертификатов».

Важно! На этапе выбора хранилища сертификата необходимо выбрать пункт «Автоматически выбрать хранилище на основе типа сертификата».

Помогла ли статья решить вопрос?

Благодарим за отзыв!

Спасибо, что сообщили нам!

Что такое корневые сертификаты, списки отозванных и зачем они нужны?

Корневой сертификат (CA) — это файл, в котором указана информация об удостоверяющем центре. Для корректной работы личного сертификата необходимо установить корневые сертификаты (а именно «промежуточный», выданный Удостоверяющему центру, и «головной корневой» сертификаты, называемые «цепочкой доверия») Удостоверяющего центра, который выпустил данный сертификат.

Списки отозванных сертификатов (CRL)– список аннулированных сертификатов.

Корневые сертификаты и списки отозванных необходимы для проверки информации о действительности и подлинности электронной подписи пользователя.

Где скачать корневые сертификаты?

Корневые сертификаты зависят от Удостоверяющего центра, выдавшего сертификат. Посмотреть, кем выдан сертификат, можно в открытой части сертификата (файл с расширением .cer). Информация указана в поле «Кем выдан» на вкладке «Общие».

Если сертификат выдан УЦ:

• ООО «Такском» – сертификаты можно загрузить с нашего сайта: раздел «Техподдержка» – «Корневые сертификаты и списки отзыва» или с помощью «Мастера настройки».
• Федеральная налоговая служба – можно загрузить с сайта ФНС.
• Для других – необходимо обратиться в Удостоверяющий центр, выдавший сертификат.

Какие корневые сертификаты нужны для работы с сертификатами УЦ «Такском»?

Для работы с сертификатами УЦ ООО «Такском» необходимо установить следующие корневые и промежуточные сертификаты:

Для сертификатов «Биржа СПбМТСБ» и «Неквалифицированная ЭП»

Чтобы проверить ГОСТ сертификата, необходимо:

• В браузере открыть «Панель управления» – «Свойства браузера» – «Содержание» – «Сертификаты»;
• Нажать на необходимый сертификат двойным кликом и выбрать вкладку «Состав»;
• Проверить строку «Алгоритм подписи».

Как проверить, установлены ли корневые сертификаты?

Необходимо открыть сертификат (файл с расширением .cer) и перейти на вкладку «Путь сертификации».

Пример корректно установленной цепочки доверия

Если «цепочка доверия» установлена некорректно, на каком-либо сертификате или на самой цепочке могут быть красные «крестики» (пример на скриншоте ниже).

Пример некорректно установленной цепочки доверия

Как установить корневые сертификаты и списки отозванных?

Для установки списка отозванных сертификатов воспользуйтесь инструкцией: инструкция по установке списка отозванных сертификатов.

Установить корневые сертификаты можно несколькими способами:

Откройте «Мастер настройки рабочего места», нажмите «Настроить» и следуйте подсказкам системы. Инструкция по работе с «Мастером настройки».

Важно при установке сертификата обязательно выбирать только соответствующую папку:

• корневые сертификаты необходимо устанавливать в папку «Доверенные корневые центры сертификации»;
• промежуточные – в «Промежуточные центры сертификации».