Особенности использования TLS-сертификатов, выданных Министерством цифрового развития РФ
В России появилась интересное нововведение, которое начало действовать с 2023 года. Это касается сертификатов TLS. Государственные службы или ведомства вводят использование TLS-сертификатов, выданных Министерством цифрового развития РФ. Это цифровой объект, который позволяет проверять личность и устанавливать зашифрованное соединение с помощью протокола Transport Layer Security (TLS).
Работает эта система на практике следующим образом. При разработке и запуске проектов, особенно когда нужен сайт под ключ, подобные технические нюансы важно учитывать заранее:
Выпускается сертификат, у которого обычно есть вышестоящий сертификат, который подписывает выпускаемый.
Корневые сертификаты уже хранятся в операционных системах и браузерах. Российских компаний среди выпускающих TLS-сертификаты никогда не было и сейчас тоже нет.
В итоге мы получаем ситуацию, когда сайты переключатся на сертификаты, выпущенные Минцифрой, они не будут работать, пока корневые сертификаты Минцифры не будут добавлены в доверенные хранилища сертификатов. В таких случаях важно заранее проводить аудит сайта под задачи бизнеса, чтобы выявить потенциальные риски и избежать сбоев в работе.
Предположим, Сбербанк перейдет на сертификаты, выпущенные с подписью корневых сертификатов Минцифры. Следовательно тот же эквайринг Сбербанка перестанет работать.
Как решить этот вопрос?
1. Проверить сервер клиента определенной командой по типу:
# curl https://3dsecmt.sberbank.ru/payment/webservices/merchant-ws?wsdl
Если корневые сертификаты стоят, выскочит XML-ка — значит, все в порядке. Если сертификатов нет, то отобразится ошибка типа:
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
Решение проблемы — установить сертификаты. Такие задачи часто входят в обслуживание сайта, когда требуется оперативно устранить технические ошибки и обеспечить стабильную работу проекта.
2. Скачиваем таким образом архив:
https://3dsec.sberbank.ru/techportal/lib/exe/fetch.php/certificates:add:cert.rar
Там нам нужен файл Cert_CA.pem, содержимое ставим на сервер клиента в файл: /etc/pki/ca-trust/source/anchors/sber.pem
3. Когда новые сертификаты сохранились, приступаем к запусканию команды:
# update-ca-trust
4. Чтобы проверить, установились ли нужные сертификаты, нужно ввести команду:
# trust list | grep "Sber"
Вывод должен быть:
label: SberCA Extlabel: SberCA Root Ext
label: SberCA Ext Web
А также командой:
# trust list | grep "Russian"
Вывод должен быть:
label: Russian Trusted Sub CA
label: Russian Trusted Root CA
5. Еще можно перезапустить команду из пункта 1 и увидеть XML вместо ошибки.
Теперь вы знаете о новом правиле и вооружены цифровыми технологиями:)
Почему мы?
Хотите пообщаться о задаче?
Наши услуги
Мы компания, умеющая не только разрабатывать сайты, но и хорошо выполняем роль субподрядчика на средних и больших проектах. Разрабатываем и внедряем решения на базе 1С-Битрикс / Битрикс24. Всегда боремся за успешное доведение проекта до финала, гибко планируя производственный график.
Наши клиенты
Бренды, проекты которых нам доверяют наши партнеры. Мы работаем с локальными и глобальными компаниями из разных отраслей, что позволяет нашим сотрудникам приобретать уникальный опыт, создавая полнофункциональные решения с учетом особенностей и потребностей бизнеса наших клиентов.
Наши новости и публикации
Узнайте результаты исследования MASMI и возможности внедрения и доработки CRM для бизнеса
Рассказываем, что такое BANT, почему он не работает как навык и как встроить его в CRM так, чтобы система сама расставляла приоритеты
Как улучшить UX сайта и перестать терять заявки из-за неудобства интерфейса. Разбираем 30 практических способов: от первого экрана и структуры страницы до форм, навигации и мобильной версии.
