Фейк: Госдума начала взламывать компьютеры россиян с помощью «Яндекс Браузера»

«Яндекс» опроверг сообщения о тайной установке сертификата в Windows

Фото: РИА «Новости»

В Сети начали распространяться сообщения, что Госдума стала взламывать компьютеры россиян с помощью «Яндекс Браузера», который якобы в фоновом режиме встраивает в Windows государственный корневой сертификат Russian Trusted Root CA, не уведомляя пользователя. В публикациях утверждают, что это позволяет государственным структурам перехватывать защищенный HTTPS-трафик без предупреждений браузера. На самом деле это неправда, информацию опровергли в «Яндексе».

Фейк

«Яндекс Браузер» незаметно для пользователя добавляет в хранилище Windows сертификат Минцифры Russian Trusted Root CA. По словам авторов таких публикаций, это создает потенциальную возможность для перехвата и расшифровки HTTPS-трафика на промежуточных серверах, что может открыть доступ к паролям, логинам и сессионным данным.

Для проверки предлагают через оснастку certmgr.msc отыскать указанный сертификат в доверенных корневых и промежуточных центрах и, если он присутствует, удалить его, а потом изменить пароли, завершить все активные сеансы в аккаунтах.

Правда

Утверждения о том, что «Яндекс Браузер» будто бы скрытно устанавливает в Windows сертификат Минцифры, открывая тем самым возможность перехвата паролей и переписки, не соответствуют действительности.

На самом деле речь идет не о внедрении в систему, а о наличии поддержки российских сертификатов на уровне самого браузера. При этом Минцифры прямо указало, что «Яндекс Браузер» есть в числе продуктов, поддерживающих российские сертификаты безопасности.

Проще говоря, этот сертификат существует не для того, чтобы кто-то мог читать чужой интернет-трафик, а для того, чтобы браузер мог убедиться в подлинности сайта.

В официальной документации «Яндекс Браузера» уточнили, что сертификаты НУЦ применимы исключительно к сайтам из публичного списка и служат для безопасного обмена ключами, а не для расшифровки трафика.

Следовательно, утверждение о том, что браузер якобы создает канал для перехвата HTTPS, слишком грубое и некорректное. Как отметили отраслевые разборы, опасения по поводу российских сертификатов обусловлены не вопросом автоматического доступа к паролям, а вопросом, как выстроена доверенная цепочка и кто в ней фигурирует.

Обычный пользователь должен понимать, что, если бы браузер действительно втайне добавлял сертификаты в системное хранилище Windows, это можно было бы легко отследить как отдельное действие.

Однако в открытых материалах Минцифры и справке «Яндекс Браузера» речь идет о поддержке работы с российскими сертификатами внутри механизма проверки доверия браузера, список доверенных сертификатов операционной системы не меняют.

Официальные разъяснения также подтверждают, что поддержка сертификатов Национального удостоверяющего центра встроена в «Яндекс Браузер» на уровне базовых настроек, а в других браузерах или программах пользователям необходимо устанавливать их вручную, следуя официальным инструкциям.

Эту информацию подтвердили и сами представители «Яндекс Браузера». В официальном комментарии объяснили, что при установке или обновлении программа не вносит изменений в системное хранилище сертификатов. Возможность работы с сайтами, имеющими национальные сертификаты, реализована исключительно на внутреннем уровне браузера и не затрагивает реестр доверенных сертификатов операционной системы Windows.

Также в компании отметили, что защиту соединений строят на механизмах, которые предусмотрены современными стандартами TLS, в том числе на международном механизме Certificate Transparency, позволяющем отслеживать все сертификаты в публичных журналах и проверять их корректность.

Если сертификат отсутствует в этих реестрах или не соответствует требованиям, браузер блокирует соединение. Соответственно, описанный в фейковых публикациях сценарий скрытого MITM с применением поддельного сертификата технически неосуществим. Все данные между пользователем и сайтом по-прежнему шифруются стандартными TLS-алгоритмами и передаются в зашифрованном виде.

Таким образом, сообщения о том, что «Яндекс Браузер» якобы втайне устанавливает государственный корневой сертификат в систему Windows и тем самым создает условия для скрытого перехвата HTTPS-трафика, не подтверждают ни заявления Минцифры, ни официальная документация, ни комментарии разработчиков. Распространяемые в интернете сообщения базируются на неверном понимании принципов работы доверенных сертификатов и защищенных TLS-соединений.

Этот материал создан для платформы — агрегатора инструментов для борьбы с фейками «Лапша Медиа». «360» стал фактчекером площадки по противодействию фейковым новостям.

Задизайнено в Студии Артемия Лебедева Информация о проекте