Фейк: Госдума начала взламывать компьютеры россиян с помощью «Яндекс Браузера»
«Яндекс» опроверг сообщения о тайной установке сертификата в Windows
:format(webp)/YXJ0aWNsZXMvaW1hZ2UvMjAyNi83LzE1MDUyNjMxOTYtMC0wLTMyNzItMTg0MC0xMjgweDAtODAtMC0wLTM5YjBiZTUxYzc4Njc3ZmY0MmU2MjhmMWRmOGYxOTJjX3Z0dkVPb2ouanBn.webp?w=1920)
В Сети начали распространяться сообщения, что Госдума стала взламывать компьютеры россиян с помощью «Яндекс Браузера», который якобы в фоновом режиме встраивает в Windows государственный корневой сертификат Russian Trusted Root CA, не уведомляя пользователя. В публикациях утверждают, что это позволяет государственным структурам перехватывать защищенный HTTPS-трафик без предупреждений браузера. На самом деле это неправда, информацию опровергли в «Яндексе».
Фейк
«Яндекс Браузер» незаметно для пользователя добавляет в хранилище Windows сертификат Минцифры Russian Trusted Root CA. По словам авторов таких публикаций, это создает потенциальную возможность для перехвата и расшифровки HTTPS-трафика на промежуточных серверах, что может открыть доступ к паролям, логинам и сессионным данным.
Для проверки предлагают через оснастку certmgr.msc отыскать указанный сертификат в доверенных корневых и промежуточных центрах и, если он присутствует, удалить его, а потом изменить пароли, завершить все активные сеансы в аккаунтах.
Правда
Утверждения о том, что «Яндекс Браузер» будто бы скрытно устанавливает в Windows сертификат Минцифры, открывая тем самым возможность перехвата паролей и переписки, не соответствуют действительности.
На самом деле речь идет не о внедрении в систему, а о наличии поддержки российских сертификатов на уровне самого браузера. При этом Минцифры прямо указало, что «Яндекс Браузер» есть в числе продуктов, поддерживающих российские сертификаты безопасности.
Проще говоря, этот сертификат существует не для того, чтобы кто-то мог читать чужой интернет-трафик, а для того, чтобы браузер мог убедиться в подлинности сайта.
В официальной документации «Яндекс Браузера» уточнили, что сертификаты НУЦ применимы исключительно к сайтам из публичного списка и служат для безопасного обмена ключами, а не для расшифровки трафика.
Следовательно, утверждение о том, что браузер якобы создает канал для перехвата HTTPS, слишком грубое и некорректное. Как отметили отраслевые разборы, опасения по поводу российских сертификатов обусловлены не вопросом автоматического доступа к паролям, а вопросом, как выстроена доверенная цепочка и кто в ней фигурирует.
Обычный пользователь должен понимать, что, если бы браузер действительно втайне добавлял сертификаты в системное хранилище Windows, это можно было бы легко отследить как отдельное действие.
Однако в открытых материалах Минцифры и справке «Яндекс Браузера» речь идет о поддержке работы с российскими сертификатами внутри механизма проверки доверия браузера, список доверенных сертификатов операционной системы не меняют.
Официальные разъяснения также подтверждают, что поддержка сертификатов Национального удостоверяющего центра встроена в «Яндекс Браузер» на уровне базовых настроек, а в других браузерах или программах пользователям необходимо устанавливать их вручную, следуя официальным инструкциям.
Эту информацию подтвердили и сами представители «Яндекс Браузера». В официальном комментарии объяснили, что при установке или обновлении программа не вносит изменений в системное хранилище сертификатов. Возможность работы с сайтами, имеющими национальные сертификаты, реализована исключительно на внутреннем уровне браузера и не затрагивает реестр доверенных сертификатов операционной системы Windows.
Также в компании отметили, что защиту соединений строят на механизмах, которые предусмотрены современными стандартами TLS, в том числе на международном механизме Certificate Transparency, позволяющем отслеживать все сертификаты в публичных журналах и проверять их корректность.
Если сертификат отсутствует в этих реестрах или не соответствует требованиям, браузер блокирует соединение. Соответственно, описанный в фейковых публикациях сценарий скрытого MITM с применением поддельного сертификата технически неосуществим. Все данные между пользователем и сайтом по-прежнему шифруются стандартными TLS-алгоритмами и передаются в зашифрованном виде.
Таким образом, сообщения о том, что «Яндекс Браузер» якобы втайне устанавливает государственный корневой сертификат в систему Windows и тем самым создает условия для скрытого перехвата HTTPS-трафика, не подтверждают ни заявления Минцифры, ни официальная документация, ни комментарии разработчиков. Распространяемые в интернете сообщения базируются на неверном понимании принципов работы доверенных сертификатов и защищенных TLS-соединений.
Этот материал создан для платформы — агрегатора инструментов для борьбы с фейками «Лапша Медиа». «360» стал фактчекером площадки по противодействию фейковым новостям.