По мнению Chrome, HTTPS-сертификат «Яндекс.Денег» является ненадежным
- 09 марта 2015

В сентябре 2014 года Google начал
бороться с HTTPS-сертификатами,
использующими для подписи хеш-функцию
SHA-1, так как посчитал их
недостаточно надежными. Браузер Chrome
отмечает HTTPS-соединения
с подобными сертификатами как ненадежные,
основываясь на ряде условий по сроку их
годности.
Google применяет достаточно
запутанную схему: чем дальше будущий
срок истечения сертификата c
SHA-1, тем хуже он оценивается
браузером. Например, «Яндекс.Деньги» и
PayPal все еще используют
подписанные сертификаты с применением
SHA-1. Но работа с PayPal
со стороны браузера считается
безопасной, хотя сертификат закончится
в апреле 2015 года, а при работе с сервисом «Яндекс.Деньги» выводится уведомление,
что существуют проблемы с безопасностью,
при этом сертификат истекает в декабре
2016 года.
При обращении в техподдержку «Яндекс.Денег» по поводу сообщений
браузера была получена рекомендация
о смене Google Chrome на другую
программу. Однако этот совет воспринимается
достаточно странно на фоне заявления
«Яндекса» в корпоративном блоге на
«Хабре», в котором говорится о постепенном
выведении из пользования SHA-1, так
как он уже считается официально
небезопасным. Но в то же время на вопрос
о причине задержки перевыпуска
сертификата «Яндекс» дает ответ, что
новые сертификаты правильнее всего
будет подписывать SHA-256, но
не все браузеры поддерживают эту
хеш-функцию.
Складывается такое впечатление,
что компании должны сделать выбор:
перевыпустить сертификат, но потерять
клиентов, пользующихся ОС 11-летней
давности, либо учить пользователей не
обращать внимания на уведомления об
опасном соединении от Chrome и «Яндекс.Браузера».