Российские TLS-сертификаты, выпускаемые Национальным удостоверяющим центром (НУЦ) Минцифры России, обеспечивают защищенное соединение по протоколу HTTPS для сайтов российских банков, госучреждений и других организаций, попавших под санкции. Эти сертификаты стали необходимы после того, как зарубежные удостоверяющие центры (CA) начали отзывать или отказываться продлевать сертификаты для российских доменов. Минцифры предоставляет юридическим лицам возможность бесплатно получить TLS-сертификат в течение 5 рабочих дней через портал Госуслуги.
Однако основная проблема заключается в том, что сертификаты НУЦ Минцифры не включены в списки доверенных корневых сертификатов большинства операционных систем и браузеров. Это приводит к ошибкам, таким как NET::ERR_CERT_AUTHORITY_INVALID, при попытке открыть сайты, использующие такие сертификаты, в популярных браузерах, таких как Google Chrome, Microsoft Edge, Mozilla Firefox или Opera. Для корректной работы необходимо вручную установить корневой и промежуточный сертификаты на устройство или использовать браузеры с встроенной поддержкой, такие как Яндекс Браузер или Атом.
В этой статье подробно описаны шаги по установке российских TLS-сертификатов на различные устройства и браузеры, а также рассмотрены потенциальные риски и альтернативные решения.
Содержание:
Скачать Российские TLS сертификаты
Установка сертификатов на Windows
Установка сертификатов на macOS
Установка сертификатов на Android
Установка сертификатов в Mozilla Firefox
Проверка поддержки сертификатов на вашем устройстве
Чтобы проверить, доверяет ли ваш браузер сертификатам НУЦ Минцифры, перейдите на тестовый сайт, например, https://fgiscs.minstroyrf.ru/. Если сертификат не доверенный, вы увидите предупреждение об ошибке, например:
Your connection isn't private. NET::ERR_CERT_AUTHORITY_INVALID. Issuer: Russian Trusted Sub CA
Это указывает на необходимость установки корневого сертификата Russian Trusted Root CA и промежуточного Russian Trusted Sub CA в хранилище доверенных сертификатов вашей системы или браузера.
Скачивание сертификатов
Сертификаты и инструкции по их установке доступны на портале Госуслуги по адресу: https://www.gosuslugi.ru/crt. Там же опубликован список доменов, для которых выпущены сертификаты, посмотреть можно здесь https://www.gosuslugi.ru/tls (более 7000 на текущий момент).
Скачайте следующие файлы в зависимости от вашей платформы:
– Windows и Android:
1. Корневой сертификат: russian_trusted_root_ca.cer
2. Промежуточный сертификат: russian_trusted_sub_ca.cer
– macOS:
1. Конфигурационный файл с корневым и промежуточным сертификатами: russiantrustedca.pem
– iOS:
1. Профиль конфигурации: russiantrusted.mobileconfig
Перед установкой проверьте подлинность корневого сертификата, чтобы избежать установки поддельных файлов. Для этого используйте PowerShell:
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 "C:\Temp\russian_trusted_root_ca.cer"; $cert.Thumbprint
Ожидаемый отпечаток: 8FF915CCAB7BC16F8C5C8099D53E0E115B3AEC2F. Если отпечаток не совпадает, не устанавливайте сертификат.
Установка сертификатов на Windows
Для Windows 10 и Windows 11 установка выполняется следующим образом:
1. Скачайте файлы russian_trusted_root_ca.cer и russian_trusted_sub_ca.cer
2. Дважды щелкните по файлу russian_trusted_root_ca.cer.
3. Нажмите Установить сертификат (Install Certificate).
4. Выберите Текущий пользователь (Current User) и нажмите Далее (Next).
5. Выберите Поместить все сертификаты в следующее хранилище (Place all certificates in the following store), затем нажмите Обзор (Browse) и выберите Доверенные корневые центры сертификации (Trusted Root Certification Authorities).
6. Нажмите Далее (Next) и Готово (Finish).
7. Повторите шаги для файла russian_trusted_sub_ca.cer, но выберите хранилище Промежуточные центры сертификации (Intermediate Certification Authorities).
8. Очистите кэш браузера: в настройках браузера найдите раздел Конфиденциальность и безопасность -> Очистить данные (Privacy and Security -> Clear browsing data).
Для автоматизации установки на нескольких компьютерах в домене используйте групповые политики (GPO):
1. Откройте редактор GPO (gpmc.msc).
2. Перейдите в Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Управление сертификатами (Computer Configuration -> Policies -> Administrative Templates -> System -> Certificate Services).
3. Импортируйте сертификаты в хранилища Доверенные корневые центры сертификации и Промежуточные центры сертификации.
Установка сертификатов на macOS
Для компьютеров Mac выполните следующие действия:
1. Скачайте файл russiantrustedca.pem
2. Откройте файл — он автоматически запустит приложение Связка ключей (Keychain Access).
3. В разделе Сертификаты (Certificates) появятся Russian Trusted Root CA и Russian Trusted Sub CA.
4. Дважды щелкните по Russian Trusted Root CA, раскройте раздел Доверие (Trust).
5. В поле Параметры использования сертификата (When using this certificate) выберите Всегда доверять (Always Trust).
6. Закройте окно, введите пароль учетной записи и нажмите Обновить настройки (Update Settings).
7. Очистите кэш браузера: в настройках браузера выберите Конфиденциальность -> Удалить все данные сайтов (Privacy -> Remove All Website Data).
Установка сертификатов на Android
Для устройств под управлением Android выполните следующие шаги:
1. Скачайте файлы russian_trusted_root_ca.cer и russian_trusted_sub_ca.cer
2. Перейдите в Настройки -> Безопасность -> Установка сертификатов (Settings -> Security -> Install certificates) (название может варьироваться в зависимости от версии Android).
3. Введите название сертификата, например, Russian Trusted Root CA.
4. Выберите VPN и приложения (VPN and apps) и нажмите ОК.
5. При появлении предупреждения о безопасности выберите Установить в любом случае (Install anyway).
6. Введите пароль устройства, если требуется.
В нижней части экрана появится уведомление «Сертификат ЦС установлен»
7. Повторите процесс для russian_trusted_sub_ca.cer.
8. Очистите кэш браузера: Настройки -> Приложения -> [Ваш браузер] -> Хранилище -> Очистить кэш (Settings -> Apps -> [Your browser] -> Storage -> Clear cache).
Проверьте установку:
– Перейдите в Настройки -> Безопасность -> Надежные учетные данные (Settings -> Security -> Trusted credentials).
– На вкладке Пользователь (User) должны отображаться Russian Trusted Root CA и Russian Trusted Sub CA.
Установка сертификатов на iOS
Для iPhone и iPad установка выполняется через профиль конфигурации:
1. Откройте браузер Safari и перейдите на https://gu-st.ru/content/Other/doc/russiantrusted.mobileconfig.
2. Нажмите Разрешить (Allow) для загрузки профиля.
3. Перейдите в Настройки -> Профиль загружен (Settings -> Profile Downloaded).
4. Нажмите Установить (Install), введите пароль устройства и подтвердите установку.
5. Включите доверие сертификату:
– Перейдите в Настройки -> Основные -> Об этом устройстве -> Доверие сертификатам (Settings -> General -> About -> Certificate Trust Settings).
– Включите переключатель напротив Russian Trusted Root CA и подтвердите действие.
– Оповещении «Корневой сертификат» нажмите «Дальше»
6. Очистите кэш браузера: Настройки -> Safari -> Очистить историю и данные сайтов (Settings -> Safari -> Clear History and Website Data).
Установка сертификатов в Mozilla Firefox
Mozilla Firefox использует собственное хранилище сертификатов, поэтому установка в систему Windows или macOS не влияет на браузер. Для добавления сертификатов:
1. Откройте Firefox и перейдите в Настройки -> Конфиденциальность и защита (Preferences -> Privacy & Security) или введите в адресной строке about:preferences#privacy.
2. Прокрутите до раздела Сертификаты (Certificates) и нажмите Просмотр сертификатов (View Certificates).
3. На вкладке Центры сертификации (Authorities) нажмите Импортировать (Import).
4. Выберите файл russian_trusted_root_ca.cer
5. Установите галочки Доверять при идентификации веб-сайтов (Trust this CA to identify websites) и Доверять при идентификации пользователей почты (Trust this CA to identify email users).
6. Нажмите ОК и перезапустите браузер.
7. Очистите кэш: Настройки -> Конфиденциальность и защита -> Очистить данные (Preferences -> Privacy & Security -> Clear Data).
Использование российских браузеров как альтернатива
Если вы не хотите устанавливать сертификаты на устройство, используйте браузеры с встроенной поддержкой российских TLS-сертификатов:
– Яндекс Браузер
– Атом (разработан VK)
Эти браузеры автоматически доверяют сертификатам НУЦ Минцифры, что позволяет открывать сайты без ошибок. Однако эксперты рекомендуют использовать такие браузеры только для доступа к сайтам с российскими сертификатами (например, Сбербанк, Госуслуги), а для других задач применять основные браузеры, такие как Chrome или Firefox.
Потенциальные риски установки сертификатов
Установка корневых сертификатов НУЦ Минцифры связана с определенными рисками, так как корневой сертификат позволяет удостоверяющему центру подписывать любые сертификаты, включая потенциально вредоносные. Это может привести к атакам типа MITM (Man-in-the-Middle), когда злоумышленники перехватывают трафик. Подобные инциденты фиксировались в других странах, например, в Казахстане.
Для минимизации рисков:
– Устанавливайте сертификаты только на отдельное устройство или виртуальную машину, используемые исключительно для доступа к российским сайтам.
– Используйте VPN для дополнительного шифрования трафика.
– Регулярно проверяйте список установленных сертификатов в системе и удаляйте подозрительные.
– Рассмотрите использование Яндекс Браузера или Атома вместо установки сертификатов.
Дополнительные рекомендации
– После установки сертификатов всегда очищайте кэш браузера, чтобы избежать ошибок при загрузке сайтов.
– Проверяйте актуальность инструкций на портале Госуслуги, так как процесс установки может измениться.
– Если сайт продолжает выдавать ошибку после установки сертификатов, проверьте настройки доверия сертификатам в системе или обратитесь в поддержку Госуслуг.
– Для корпоративных сред настройте автоматическую установку сертификатов через GPO или MDM-системы для упрощения администрирования.
Следуя этим инструкциям, вы сможете настроить безопасный доступ к сайтам, использующим российские TLS-сертификаты, на любых устройствах и в любых браузерах.
