Яндекс браузер доверенные сайты

Про поддержку сайтов с национальными сертификатами в Яндекс Браузере

Очень много вопросов по этой теме. Оно и понятно: информации мало, противоречивых интерпретаций много. Для нас тема защиты соединений с сайтами близка. Мы пишем на Хабре об этом уже лет восемь. Например, в своё время мы первыми поддержали DNSCrypt прямо в браузере, первыми начали предупреждать о неизвестных корневых сертификатах в системе, первыми включили шифрование трафика для незащищенных Wi-Fi-сетей.

Поэтому сегодня мы расскажем сообществу о происходящем чуть более подробно. Тем, кто очень спешит и хочет получить короткие ответы, достаточно прочитать начало поста. Поехали.

Коротко о главном

1. Национальный удостоверяющий центр выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls.
2. Яндекс Браузер применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке на www.gosuslugi.ru/tls. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.
3. Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).
4. Мы работаем над поддержкой стандарта Certificate Transparency и планируем создать публичный лог, в который будут вноситься все выпускаемые национальным центром сертификаты. Мы надеемся, что другие представители индустрии поддержат эту инициативу и запустят дополнительные публичные логи. Это позволит добиться прозрачности в работе с национальными сертификатами.

Подробнее о проблеме

Как вы можете знать, ряд российских сайтов уже столкнулись с отзывом выданных TLS-сертификатов. Напомню, что наличие действующего авторитетного сертификата жизненно важно для любого сайта, который работает с данными пользователей. Без сертификата невозможно удостовериться, что данные передаются именно тому сайту, который указан в адресной строке браузера, а не подделке злоумышленников. Как следствие, любой современный браузер не пускает пользователей на сайт, если его сертификат отозван (это нормальное, ожидаемое поведение).

Добавить сайт в надежные или доверительные в WINDOWS

Проблема в том, что российским сайтам всё сложнее получить такой сертификат. Удостоверяющие центры всё чаще отзывают ранее выданные сертификаты и отказывают в их выдаче. Да, сайты могут начать использовать самоподписанные сертификаты. Но к ним нет и не будет никакого доверия со стороны браузеров из-за отсутствия контроля в их выдаче и применении. А значит, проблема с доступом к сайтам никуда не денется.

К чему это может привести? Вот несколько вариантов:

• Пользователям придётся передавать свои личные данные по протоколу http, то есть без шифрования, в явном виде (такие данные легко похитить на любом участке сети между сайтом и пользователем).
• Потребуется для каждого сайта как-то находить и устанавливать на компьютер его недоверенный корневой сертификат, чтобы браузеры перестали «ругаться» на самоподписанные сертификаты. При этом ни у браузеров, ни у пользователей не будет никакого контроля за их применением. Например, несколько лет назад мы уже рассказывали о злоумышленниках, которые вмешиваются в трафик пользователей, тайно устанавливая корневые сертификаты на компьютер. Так что этот вариант крайне опасен.
• Теоретически браузеры могли бы прекратить проверять сертификаты. Но на практике никто на такое не пойдёт, потому что это равноценно переходу на http. Сертификаты без контроля не имеют смысла. Например, по этой причине мы сознательно вырезали из нашего браузера флаг —ignore-certificate-errors, который поддерживается в проекте Chromium. Потому что это опасно.
• Ещё есть вариант отказаться от использования интернета для всех сценариев, где есть риск перехвата данных.

Описание текущего решения

Есть альтернативная инициатива — создать национальные удостоверяющие центры (НУЦ) и поддержать их корневые сертификаты в браузерах. НУЦ смогут выдавать сертификаты тем (и только тем!) сайтам, которые к ним обратятся. Наличие альтернативы позволит не допустить ситуации, при которой пользователи лишатся доступа к онлайн-сервисам.

Подключение не защищено! ОШИБКА при входе на САЙТЫ из под Windows 7? Исправляем легко!

Первый такой НУЦ уже появился — на базе Госуслуг. Сейчас он работает так:

1. Юридическое лицо (владелец сайта) отправляет подписанную заявку на Госуслуги.
2. Госуслуги проверяют принадлежность домена.
3. В случае успеха помещают домен в публичный список, который доступен всем по адресу www.gosuslugi.ru/tls.
4. НУЦ выписывает сертификат на сайт. Это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации. Дальше ключи можно использовать как обычные TLS-сертификаты. То есть всё работает согласно общепринятой открытой криптографии и по известным правилам.

Неполный авторитет — это значит, что сертификаты НУЦ будут признаваться только для тех доменов, которые помещены в публичный список на gosuslugi.ru/tls. Если посещаемого сайта нет в этом списке, то попытка применить новый сертификат приведёт к стандартной ошибке и не даст посетить сайт. И нет, нельзя выпустить сертификат по маске так, чтобы покрыть все домены второго уровня (например, все *.ru) — на стороне Браузера такое просто не заработает. Кроме того, все входящие к нам изменения этого списка будут проходить через контроль явных ошибок. Если очень грубо, то это первый шаг к Certificate Transparency, чтобы обеспечить аудируемость процедуры выдачи сертификатов.

Наши планы

Текущее решение, конечно же, требует развития. Основной способ завоевания доверия к центру сертификации — это открытость. И здесь мы планируем несколько вещей.

Прежде всего, хотим организовать рассылку уведомлений в Яндекс Вебмастере тем владельцам сайтов, для которых зафиксирован выпуск сертификатов.

Наша более глобальная инициатива — поддержать стандарт Certificate Transparency (CT) и поднять публичный лог, в который НУЦ будет записывать выпущенные сертификаты. Если посещаемого пользователем сайта не будет в этом логе, то браузер выдаст ошибку ERR_CERTIFICATE_TRANSPARENCY_REQUIRED и не даст его открыть.

Мы хотим, чтобы наш Браузер проверял сертификаты не по одному, а по нескольким независимым друг от друга публичным логам, поэтому призываем других участников рынка присоединиться к инициативе и поднять дополнительные логи по стандарту CT.

Публичные логи позволят владельцам сайтов в любой момент времени проверить, выпускались ли сертификаты для их доменов. Более того, мы надеемся на появление внешнего аудита, который будет мониторить логи на предмет расхождений. Для удобства внешнего аудита мы хотим запустить аналог инструмента developers.facebook.com/tools/ct.

Большая просьба: если вы знаете, как сделать лучше, — приходите, советуйте. Хотите покритиковать решения — критикуйте и предлагайте улучшения.

P. S. Пока оформлял этот пост, прилетела новость: центр сертификации DigiCert, обслуживающий около 50 тыс. российских сайтов, ограничил им выдачу сертификатов.

Update. Опубликовали на Гитхабе исходный код, который позволяет добавить поддержку сайтов с национальными сертификатами в любой браузер на основе Chromium.

Источник

Как в браузере Яндекс добавить сайт в доверенные

Яндекс браузер – это удобный браузер для повседневного серфинга и скачивания пользовательских файлов в виде картинок, видео, аудио или документов в электронных форматах. Разработчики же дают возможность доверять определенным сайтам на уровне поисковой системы.

Поэтому сегодня мы поговорим о том, как добавить сайт в надежные узлы в Яндекс браузере, что это такое и зачем нужно.

Надежные узлы в Yandex Browser

Добавление сайтов в доверенные – это возможность задать особые правила обработки данных для отдельных ресурсов.

Следуйте дальнейшей инструкции:

1. На главной страничке Яндекс.Браузера жмем на кнопку в виде трех горизонтальных полос в правом верхнем углу.
2. В выпадающем списке выбираем «Настройки».
3. Слева в панели инструментов переходим на вкладку «Сайты».
4. Пролистываем страничку до надписи «Расширенные…».

Аналогичным образом можно добавить сайт в список запрещенных, чтобы функционал веб ресурсов не ограничивал работу пользователей.

Заключение

Добавление сайтов в доверенные yandex browser – это хорошая возможность не блокировать часть пользовательских данных. Разработчики предусмотрели такую возможность в системных настройках поисковика.

Источник

Настроить исключения для сайтов

Для корректной работы сайты и плагины запрашивают у браузера разрешение выполнять действия на вашем устройстве или собирать информацию о нем (например, отслеживать местоположение). Кроме того, разрешение браузера требуется, чтобы обрабатывать элементы сайтов (например, показывать всплывающие окна).

По умолчанию браузер использует общие правила предоставления разрешений для всех ресурсов. Вы можете вручную добавлять сайты или плагины в исключения и настраивать для них индивидуальные правила обработки. Выберите браузер, чтобы прочесть инструкцию:

Источник

Как добавить сайт в исключения в Яндекс Браузере?

Настройки и инструкции

Серфинг по интернету не всегда безопасен, поэтому стоит отдельно отмечать в настройках надежные узлы в Яндекс браузере, чтобы не нанести вред компьютеру. Опция защитит программы и файлы от заражения вирусами, а пользователя – от использования программ слежения и перехвата конфиденциальной информации.

Как добавить сайт

Перед началом работы нужно создать список ресурсов, посещение которых необходимо разрешить. Добавить сайт в исключения браузера Яндекс несложно, для этого необходимо сначала проверить, открывается ли запрашиваемая страница в других браузерах. Если в доступе отказывает несколько поисковиков, страница может действительно причинить вред компьютеру. Далее потребуется составить список сайтов для добавления с их электронными адресами.

Для некоторых ресурсов может потребоваться вносить адреса отдельных страниц.

Выполнить операцию можно только на компьютере или ноутбуке, для мобильных устройств функция не поддерживается. Алгоритм работы выглядит следующим образом:

• открыть меню настроек поисковика, кликнув по трем полоскам в правом верхнем углу экрана;
• войти в раздел «Настройки»;
• выбрать в левой вертикальной колонке подраздел «Сайты»;
• кликнуть по строчке «Расширенные настройки сайтов»;
• выбрать настройки, которые необходимы, например, включить cookie-файлы;
• открыть подраздел «Разрешено». Ввести вручную url-адрес сайта, который необходимо добавить в доверенные, нажать на кнопку «Добавить».

Если потребность в ресурсе исчерпана, его вновь можно внести в перечень запрещенных. Чтобы обеспечить полностью комфортное пользование сайтом, необходимо выбрать опцию «Разрешить» для каждого вида активности. Потребуется вручную разрешить загрузку картинок и видео, обработку протоколов, файлы cookie, flash и JavaScript.

Виды исключений

Яндекс Браузер позволяет гибко настраивать перечень сайтов и контента, для которых делаются исключения. Можно выбрать из следующего списка:

. На многих сайтах они собирают информацию об активности пользователей. Протокол безопасности может быть настроен так, чтобы блокировать порталы с такими файлами, придется разрешать их загрузку для каждого ресурса. Иногда следящие программы могут оказаться опасными, отслеживая местонахождение устройства. Пример такой настройки – запрет на автоматический запрос местоположения при посещении интернет-магазинов.
1. Отдельные скрипты, сценарии выполнения задач. Ошибки в первичном коде могут помешать корректной загрузке страницы. Запрет запуска JavaScript на конкретном сайте обезопасит от неожиданно всплывающих окон или флеш-игр. Некоторые сценарии могут содержать вредоносные программы, блокировать страницы.
2. Всплывающие окна, реклама. Если они не блокируются файерволом, необходимо вручную запретить выполнение этих операций.
3. Автоматическая загрузка файлов и документов. Они могут содержать вирусы, поэтому операцию следует запретить.
4. Плагины. Некоторые приложения следует заблокировать, они мешают корректной работе сайта.
5. Картинки и видео. Блокировка их загрузки воспроизведен на экране пустые места, но снизит расход трафика. Предусмотрена опция показывать все картинки, не показывать их.
6. Опция «Во весь экран». Отключение разрешения снизит число случаев перехода в полноэкранный режим без запроса пользователя.

Настройки поисковика позволяют оптимизировать серфинг по интернету, сокращая время загрузки страниц и расход трафика. Каждый элемент следует настраивать постепенно, проверяя изменения в качестве загрузки страниц ресурса. Блокировка может настраиваться на постоянной основе или на один конкретный сеанс работы в сети.

Политика безопасности

Иногда необходимо добавить сайт в доверенные или, наоборот, в заблокированные, особенно это важно при фильтрации контента страниц, посещаемых детьми. Существует большой перечень страниц, которые желательно отключить, а настройки доверенных сайтов смогут гарантировать информационную безопасность.

Различные политики безопасности иногда произвольно исключают страницу из рекомендуемых к посещению, это может быть следствием ошибки. Опция, позволяющая создать список сайтов, подтвердивших надежность, окажется удачным решением. Настройки браузера по «умолчанию» создают единый режим для всех сайтов.

Некоторые программы, например, тайм-трекеры, используемые работодателями для контроля времени работы сотрудников, уже имеют готовый список из 100-200 сайтов, его можно скопировать в собственные настройки.

Возможность добавить сайт в надежные узлы снимет проблему информационной безопасности, оградит компьютер от заражения, если страница не несет угрожающего контента. При этом настроенный список доверенных ресурсов позволит получать нужную информацию, не ожидая долгой загрузки.

Источник