Chrome считает HTTPS-сертификат Яндекс.Денег ненадежным, Яндекс.Деньги предлагают воспользоваться другим браузером

Еще в сентябре 2014-го Google начал борьбу с HTTPS-сертификатами, в которых для подписи использовалась хэш-функция SHA-1, как с недостаточно надежными. HTTPS-соединения с использованием таких сертификатов, при соблюдении ряда условий по сроку их годности, помечаются браузером Chrome как ненадежные (желтый треугольник с восклицательным знаком или красный крест).

Google использует довольно запутанную схему, из-за которой чем дальше в будущем дата истечения сертификата с SHA-1, тем хуже он оценивается. Так, Яндекс.Деньги и PayPal до сих пор используют сертификаты, подписанные с применением SHA-1. Однако соединение с PayPal считается браузером безопасным (сертификат истекает в апреле 2015), а вот соединение с Яндекс.Деньгами показывается, как имеющее проблемы с безопасность (сертификат истекает в декабре 2016-го).

Читатель Roem.ru обратил внимание технической поддержки Яндекс.Денег на проблему в январе этого года (тикет #2015013133001822), однако, получил совет не использовать Google Chrome и сменить браузер.

Особенно странно совет сменить браузер смотрится на фоне заявления «Яндекса» в корпоративном блоге на «Хабре»:

SHA-1 уже сегодня официально считается небезопасным и постепенно выводится из употребления. Так Яндекс.Браузер и другие браузеры семейства Chromium в ближайшие месяцы начнут помечать сертификаты, которые подписаны с использованием SHA-1 и срок действия которых истекает после 1 января 2016 года, как небезопасные.

Однако, в той же записи на «Хабре» может содержаться ответ на то, почему «Яндекс» не спешит перевыпускать сертификат:

Все новые сертификаты правильно подписывать с использованием SHA-256. К сожалению, не все браузеры и OS (WinXP < sp3) поддерживают данную хеш-функцию, и для по-настоящему больших ресурсов это может грозить потерей клиентов.

Кажется, компании находятся перед выбором: перевыпустить сертификат, чтобы у пользователей не возникало сомнений в безопасности соединения, но отпугнуть клиентов, сидящих на операционной системе 11-ти летней давности (SP2 вышел в 2004 году), или учить пользователей игнорировать предупреждения Chrome и Яндекс.Браузера о небезопасном соединении.

Screenshot_2015-03-07-18-34-32-1

Добавить 7 комментариев