Порой кажется, что то, что знаешь ты, знают все. Но это не совсем так. В частности по этой теме. И хоть ситуация развивается уже продолжительное время, вопросы порой остаются. И проще дать ссылку на статью, чем объяснять разным людям разной степени подготовленности.
Как известно, некоторые российские госкомпании сейчас под санкциями, в том числе эмитентами сертификатов. Сбер уже перешёл на сертификаты от Минцифры. Ростелеком, вероятно, к ноябрю 2024 года тоже перейдёт. А CA Минцифры соответственно рукопожат только браузерами Яндекс Браузер и Atom.
У этой проблемы есть несколько решений.
Использовать Яндекс Браузер или Atom с уже установленными сертификатами Минцифры и горя не знать.
Сохранить корневой сертификат Минцифры в доверенные для всей операционной системы (и всех браузеров), если вам совсем нечего скрывать.
Использовать браузер Firefox с выделенным пользовательским профилем под Рунет.
Использовать виртуальное окружение для любимого браузера с нелюбимым сертификатом Минцифры. (не могу найти ту публикацию).
Запускать браузер от имени другого пользователя.
Статья собственно о третьем методе.
Первый и третий способы похожи, но не равны. CA Минцифры будет доверенным для всех профилей Яндекс Браузера. Если вы считаете это неприемлемым или не доверяете самому Яндекс Браузеру, то прежде чем продолжить, напишите, пожалуйста, свои фамилию, имя, отчество, адрес проживания фактический и по месту регистрации. С вами позже свяжутся. В Chrome, к сожалению, используются хранилище сертификатов операционной системы. Соответственно в Chromium браузерах (Opera, Vivaldi, Edge) тоже. Но не таков Firefox. У него собственный движок и собственное хранилище сертификатов, основанное на Mozilla Network Security Services (NSS).
Создание профиля
Чтобы создать новый профиль в Firefox, нужно открыть в адресной строке страницу about:profiles
и нажать кнопку "Создать новый профиль". Поскольку название и путь к нему в дальнейшем понадобятся, рекомендую задать их вручную. Иначе Firefox сгенерирует автоматически. Например, Sber как название и как папка. Для создания новой папки в открывшемся окне Проводника нужно кликнуть правой кнопкой мыши в любом месте и выбрать пункт меню "Создать".
Сразу же создайте ярлык для нового профиля, скопировав из основного ярлыка. Если с рабочего стола ярлык был удалён, то в кнопке Пуск есть его копия. В свойствах ярлыка добавьте -P Sber
. То есть в поле Объект должно быть:
"C:\Program Files\Mozilla Firefox\firefox.exe" -P Sber
Понимаю, как усмехаются любители portable сборки, но это надо изложить, уж поверьте.
Установка сертификата
Запустите Firefox с нового ярлыка и откройте страницу https://www.sberbank.ru. Сам браузер не даёт перейти на недоверенный сайт. Поэтому в окне ошибки нужно нажать на "Просмотреть сертификат" и найти там "Загрузить PEM (цепочка сертификатов)". Далее открыть настройки Firefox и в разделе Приватность и защита (about:preferences#privacy
) нажать кнопку "Просмотр сертификатов", где и импортировать файл sberbank-ru-chain.pem, находящийся в папке Загрузки. В Chrome и браузерах, основанных на нём, скачать сертификат можно из восклицательного значка предупреждения в адресной строке. Всё готово, дальше можно не читать. Профиль для Рунета готов к использованию.
Установка сертификата из командной строки
Для управления хранилищем сертификатов Firefox потребуется программа certutil, только не та, что встроена в Windows, а из пакета Mozilla NSS. К сожалению, с версии 3.12.5 разработчики перестали выкладывать исполняемые файлы. Но версия 3.12.4 вполне справляется с новым форматом хранилища Firefox (cert9.db/key4.db).
https://ftp.mozilla.org/pub/security/nss/releases/NSS_3_12_4_RTM/msvc9/WINNT5.1_OPT.OBJ/
Дополнительно потребуются библиотеки DLL, которые тоже перестали собирать с версии 4.6.5
https://ftp.mozilla.org/pub/nspr/releases/v4.6.4/msvc6.0/WINNT5.0_OPT.OBJ/
Путь чуть проще — скачать certutil в составе пакета mar-tools браузера Tor. Возможно, там и версия более новая.
https://dist.torproject.org/torbrowser/13.5a7/
Кстати, сам браузер Tor основан на Firefox и у него тоже есть профили со своими хранилищами.
Надеюсь, сертификат уже скачан браузером и просто находится в папке Загрузки. Если нет и всё сложно или используется какая-то автоматизация для множества профилей, то странно, что вы дочитали досюда. У вас наверняка уже давно всё настроено. В любом случае потребуется OpenSSL. Этот микроскоп пригодится как для самостоятельной загрузки нужного гвоздя.
openssl s_client -showcerts -connect www.sberbank.ru:443 <NUL 2> NUL | openssl x509 -outform PEM > %HOMEPATH%\Downloads\sberbank-ru.pem
Так и для преобразования корневого DER сертификата Минцифры, скачанного с помощью curl, в PEM формат.
curl http://reestr-pki.ru/cdp/rootca_ssl_rsa2022.crt -o rootca_ssl_rsa2022.der
openssl x509 -inform der -in rootca_ssl_rsa2022.der -out rootca_ssl_rsa2022.pem
Если кто-то знает публичную ссылку на PEM версию, прошу сообщить. Тогда можно будет обойтись без OpenSSL.
Заметьте, что openssl скачал не цепочку, а только конечный сертификат. Для каких-то целей это удобней, для каких-то наоборот.
Certutil загружен, обложен DLL модулями, файл сертификата находится в папке Загрузки под именем sberbank-ru.pem, профиль Firefox в порядке. Значит можно:
certutil.exe -A -t TCu,, -n Sber -i %HOMEPATH%\Downloads\sberbank-ru.pem -d %APPDATA%\Mozilla\Firefox\Profiles\Sber
Срабатывает как добавление в хранилище корневого сертификата Минцифры, так и одиночного сертификата конечного сайта. Но в последнем случае нужно быть внимательней с субдоменами.
Комментарии (13)
NikaLapka
13.05.2024 18:06+3Интересно, но странно, т.к. если уж собрались посещать данные сайты, то лучше делать это в дефолтном "хроме" - яндекс браузере т.к. часто даже под дефолтным браузером не все элементы отображаются правильно. С другой стороны вы не перечислили ещё один важный вариант - подождать, помнится Сбер уже переводил онлайн банк на только сертификаты от Минцифры, сколько продержалось решение, 2 выходных дня? С другой стороны есть сайты, которые уже работают только с сертификатами от Минцифры, например, росреестр, но как часто и много людей посещает данный ресурс..
grizzly_8
13.05.2024 18:06+2Использовать виртуальное окружение для любимого браузера с нелюбимым сертификатом Минцифры. (не могу найти ту публикацию).
Вероятно, речь об этом: https://habr.com/ru/articles/692268/
anzay911 Автор
13.05.2024 18:06+1Нет, было сложное решение. А это легко и даже красиво. Благодарю, добавил.
nikfetisoV09
13.05.2024 18:06Дефолтный браузер, как правило, удобен, но не всегда идеален для всех сайтов. Некоторые сайты могут работать лучше в других браузерах. Что касается сертификатов от Минцифры, это реально важно для безопасности. Но некоторые сайты уже требуют эти сертификаты для доступа.
413x
13.05.2024 18:06А кому-нибудь удавалось хранить профиль Firefox в определенном месте, а не в appdata?
pnetmon
13.05.2024 18:06я немного не понимаю, но лет 10 назад было что при добавлении в ярлыке запуска Firefox флага -p (\firefox.exe" -p) можно было создавать профиля в нужных местах с разными названиями.
JohnDoe_71Rus
13.05.2024 18:06вообще забавно, в СБОЛ из ФФ пока еще пускает, и дает деньги тратить. Но вот получить помощь без сертификатов низя. https://i.imgur.com/pZwMQu4.png
AngelNet
Есть еще пятый вариант не перечисленный вами: Не посещать подобные говносайты совсем!
Я так и делаю, хватит им и приложений на телефоне (а телефон сидит в изолированной сети wifi, чтобы никуда не лезло в домашней сетке.)
dartraiden
Отличный совет, вот мне нужно подключиться к гостевому вайфаю Сбера (они captive portal тоже перевели на скрепные сертификаты), а мне советуют "а не подключайся".
Если бы в той точке пространства был ещё какой-то доступный мне интернет, я бы с радостью не посещал такой сайт (а платить за мобильный интернет не хочу, поскольку редко выбираюсь из дома).