Если вы в последние несколько месяцев оплачивали какие-то покупки на сайтах, которые принимают платежи по картам через Сбербанк, то могли заметить небольшое уведомление о том, что вскоре для «стабильной работы» нужно будет установить сертификаты Минцифры.
Ситуация эта не новая, сначала с ней столкнулся основной сайт банка — из-за международных ограничений он перешёл на использование российского сертификата, а для тех, кто по каким-либо причинам не установил сертификат, открыл доступ по незащищённому протоколу http.
Когда наступил срок окончания сертификата для Сбербанк Онлайн, банк поступил иначе — перешёл на использование сертификата, выпущенного греческим удостоверяющим центром. Здесь банк достиг главного — пользователи ничего не заметили и смогли без каких-либо проблем пользоваться веб-версией Сбербанк Онлайн.
Последним в этой очереди был сайт securepayments.sberbank.ru, который использовался при осуществлении платежей через интернет. Его срок действия истекал 15 февраля, и было интересно как Сбербанк решит эту проблему.
Услугами Сбера пользовалось достаточное количество сервисов в интернете, поэтому переключение на сертификаты Минцифры создало бы для большинства из них проблемы в приёме платежей.
Представьте, вам нужно оплатить какую-то покупку в интернете или заплатить за коммунальные услуги, а вам для этого предлагают установить сертификаты или другой браузер. Большинство покупателей в такой ситуации просто откажется от покупки.
Уверен, это понимали в банке и в итоге нашли решение.
Если вы сейчас попробуете совершить оплату на сайте, принимающем платежи через Сбер, то обнаружите — платёж происходит через сайт securepaymentgateway.ru. При этом на сайте установлены сертификаты удостоверяющего центра Let’s Encrypt, который принадлежит некоммерческой организации Internet Security Research Group (ISRG), зарегистрированной в США.
Судя по всему, новое доменное имя потребовалось, чтобы американский регистратор «не догадался», что выпущенный сертификат предназначен компании из «запретного списка».
Если говорить о самом сертификате, то это обычный сертификат, подобными пользуются сотни тысяч сайтов по всему миру (включая, например, сайт ФНС — nalog.ru), и с точки зрения безопасности никакие дополнительные риски, в связи с этим, не появились.
Большинство пользователей не заметит никаких изменений, а предупреждение о том, что скоро потребуется сертификат Минцифры, вероятно уберут.