Подключаем сертификат от Минцифры: инструкция для интернет-магазинов

Рассказывает Анна Кожевина, аккаунт-директор scrum-студии «Сибирикс».

Что произошло? 

Эта история началась еще в марте 2022 года, когда зарубежные компании стали отзывать сертификаты безопасности у российских сайтов — зайдя на сайты, пользователи видели предупреждения о небезопасности ресурса.

Любой сайт в Сети должен иметь сертификат удостоверяющего центра, который гарантирует пользователям бесперебойный и безопасный доступ. Раньше их выдавали только иностранные компании. Но в ответ на отключения Минцифры разработало собственный TSL-сертификат. Как следует из пояснений министерства, он «обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам». 

Российский сертификат использует те же правила и криптографические алгоритмы, что и документы, выдаваемые зарубежными центрами. 

Сбер объявил о переводе своих сервисов на сертификат Минцифры еще в сентябре. Процесс перехода занял несколько месяцев и с февраля новые правила вступили в силу. Поэтому сейчас мы видим, что магазины, не подключившие российский TSL-сертификат не могут принимать оплату через Сбер, а пользователи и вовсе не могут зайти через привычные браузеры Chrome или Safari на любые ресурсы Сбера. 

После отключения Сбер от иностранных сертификатов на сайтах ИМ можно было увидеть примерно такую картину:

Без проблем делать покупки в сервисах с эквайрингом Сбера могут только те покупатели, которые заходят на сайт интернет-магазина через браузер Яндекса или Атом — эти приложения уже давно поддерживают российские сертификаты безопасности. Или те, кто установил сертификат в другом браузере.

Что делать интернет-магазинам?

Итак, проблема не на стороне интернет-магазина, а на стороне банка. Бежать устанавливать  сертификат Минцифры для своего сайта не надо (иначе он будет работать только в российских браузерах, как все сайты Сбера сейчас). Надо точечно донастроить работу вашего интернет-магазина с платежным шлюзом.  

Сбер предлагает подробные инструкции по тому, как доработать интернет-магазин или приложение для работы с платежным шлюзом после перехода онлайн-сервисов Сбера работу с новыми сертификатами. Кстати, эта страница, как и все остальные страницы сайтов Сбера, открывается без проблем только в Яндекс.Браузере или Атоме. 

1. Итак, согласно инструкции, при использовании собственной платежной страницы придется вносить изменения в бэкенд сайта или приложения. Изменения небольшие — нужно вручную добавить сертификат НУЦ Минцифры в доверенные. Это может сделать программист или системный администратор.

2. В случае, если это сложно сделать оперативно, можно отключить на время проверку уже неработающих сертификатов. Не самый правильный вариант (отключать проверку банально не безопасно), но поможет как временное решение, если вариант с подключением нового сертификата по какой-то причине не удался.

При работе с платежной страницей банка в мобильном приложении нужно добавить сертификат в само приложение — на этот счет Сбер также подготовил инструкции для обеих ОС. Если приложение работает с SDK банка, нужно использовать его последнюю версию.

3. Если по каким-то причинам перечисленное выше не сработало, нужно проинформировать пользователей о том, что создать и оплатить заказ они могут только в Яндекс.Браузере или Атоме (желательно сразу дать ссылку на скачивание). Или в своем браузере, если им удасться установить сертификат Минцифры. Несмотря на обилие инструкций по его подключению в браузере, далеко не у всех получается это сделать с первого раза.  

4. Если ваш сайт еще в разработке, рекомендуем обратиться к программистам и заранее добавить сертификат НУЦ Минцифры в доверенные.

---

Читайте также:  Больше чем сайт: что стоит за разработкой маркетплейса

---

Что будет дальше?

С большой долей вероятности интернет-магазины с эквайрингом от других банков столкнутся с этой проблемой в обозримом будущем. Возможно, проблема коснется и других сервисов, которые перейдут на российский TSL-сертификат. 

Стоит ли сейчас сломя голову бежать и подключать сертификат Минцифры для своего платежного шлюза? Как разработчики, мы придерживаемся принципа «пока работает — не трогай». Вероятно, банк или другой сервис, с которыми вы работаете, уведомит вас заранее о переходе на новые сертификаты. Тогда у вас будет время решить эту задачу без паники и не вызывая недовольство пользователей. 

Если смотреть еще дальше, то вполне вероятно, что нас ждет эра Яндекс.Браузера, а значит и миграция пользователей с поиска Google на Яндекс, так как обычно люди пользуются встроенным в браузер поиском.

Анна Кожевина,
аккаунт-директор scrum-студии «Сибирикс»