Приёмная Лошадь
2 656

Банк ВТБ не поддерживает самый популярный браузер в мире

Клиентам рекомендуется пользоваться "другими браузерами"

В закладки
Аудио

Около двух недель назад, при попытке совершения онлайн-платежа картой банка ВТБ через браузер Google Chrome, в момент перехода на страницу подтверждения 3D Secure, автор попал на следующее предупреждение:

Являясь "уверенным пользователем интернета", автор разрешил браузеру незашифрованное соединение и завершил платёж, после чего отправил электронное письмо в службу поддержки банка ВТБ с сообщением об ошибке.

Первый ответ, полученный спустя пару дней, вполне можно было интерпретировать как "да, мы знаем о проблеме и работаем над её устранением". По коду ошибки NET::ERR_CERT_SYMANTEC_LEGACY несложно выяснить, что суть проблемы – в прекращении поддержки браузером Chrome SSL-сертификатов Symantec, о чём Google предупреждал более года назад.

То есть, начиная с выхода Chrome версии 70 в октябре, любой человек, пользующийся его последней версией (а возможность отключения автоматических обновлений убрана из настроек несколькими версиями ранее), при совершении онлайн-платежа картой ВТБ с подтверждением 3D Secure попадает на точно такую же страницу, которая большинство среднестатистических пользователей закономерно отпугнёт.

Было бы странно предположить, что один из крупнейших банков в стране может игнорировать подобную проблему. Однако спустя еще неделю автором был получен follow-up:

Для осуществления интернет-платежа по карте Вам необходимо использовать другой интернет-браузер

Отдел клиентской поддержки банка ВТБ

Судя по данному письму, сложившаяся ситуация считается совершенно нормальной. Спасибо сотрудникам отдела поддержки за то, что находят ответы на вопросы клиентов.

Наверное, в банке ВТБ тоже борются с программистами.

#втб #ssl #chrome

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Лошадь", "author_type": "self", "tags": ["\u0432\u0442\u0431","ssl","chrome"], "comments": 32, "likes": 34, "favorites": 5, "is_advertisement": false, "subsite_label": "claim", "id": 51674, "is_wide": false, "is_ugc": true, "date": "Fri, 23 Nov 2018 21:25:24 +0300" }
{ "id": 51674, "author_id": 222206, "diff_limit": 1000, "urls": {"diff":"\/comments\/51674\/get","add":"\/comments\/51674\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/51674"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199124, "possessions": [] }

32 комментария 32 комм.

Популярные

По порядку

Написать комментарий...
7

Для осуществления интернет-платежа по карте Вам необходимо использовать другой банк.

Ответить
5

Вы дальше не пройдёте, пока не получите бумаги.

Ответить
0

И пусть ВТБ заодно использует другую страну

Ответить
4

Автор действительно ожидает от ВТБ каких-то телодвижений в сторону клиента? Автор не знает, что это за банк и на чем он зарабатывает?

Ответить
3

Вы просто им не показали эту табличку, вот они и думают что все пользуются Internet Explorer как в 2007 :)
http://gs.statcounter.com/browser-market-share/desktop/worldwide/#monthly-201803-201803-bar

Ответить
–19

Банк ни причем.
Гугл взял и отключил нормальный сертификат. Это Гугл вас обидел. Он вас предупредил более года назад.
Банк тут при чем? Гугл ему компенсировать расходы будет? Вряд ли.

Вообще, заставить плясать под свою дудку - для Гугла практика обычная.Вы вот сами пишите, что "возможность отключения автоматических обновлений убрана из настроек несколькими версиями ранее"

Ответить
25

Гугл взял и отключил нормальный сертификат.

Сертификаты от Symantek и его друзей (Thawte, VeriSign, Equifax, GeoTrust, RapidSSL) - НЕ нормальные.
https://security.googleblog.com/2015/10/sustaining-digital-certificate-security.html

Если банк не может поменять сертификат на нормальный (после того как гугл уже целый год говорит что дропнет суппорт сертов) то уже можно начинать думать, что они ещё не могут сделать, или не будут.

плясать под свою дудку - для Гугла практика обычная

Apple тоже не будет поддерживать сертификаты от этих говноконтор.
https://support.apple.com/en-hk/HT208860

"возможность отключения автоматических обновлений убрана из настроек несколькими версиями ранее"

Всё правильно сделали.

Ответить
–3

Если Гугл считает, что "Сертификаты от Symantek и его друзей (Thawte, VeriSign, Equifax, GeoTrust, RapidSSL) - НЕ нормальные. " - это его право.
Право остальных послать Гугл.

ИМХО, позиция Гугла и Эппла - позиция монополии, а не честной конкуренции.

Ответить
1

ИМХО, позиция Гугла и Эппла - позиция монополии, а не честной конкуренции.

Файрфокса тоже?

Ответить
10

По хорошему, неблагонадёжными (серыми) сертификатами, которые выдаются в онлайн за 2 клика, только лишь бы ты заплатил - барыжат до 50% поставщиков. Symantek один из них. После того как Гугл объявил что сайты с https будут в приоритете ранжирования перед обычными, началась самая настоящая вакханалия по выпуску сомнительной надёжности сертоф. Поэтому очевидный и нормальный шаг со стороны Гугла объявить половину серых поставщиков вне закона.

Ответить
0

А разве их можно получить ещё как-то, кроме как в интернете купить? Всегда думал, что это и есть легитимный путь получить сертификат такой.

Ответить
0

Я знаю про этот сервис. Зачем вы решили поделиться ссылкой на него вообще?

Ответить
7

Вы уверены, что компетентны в данном вопросе? К чему этот поток сознания?

На сертификаты этой группы ополчились так же и в Mozilla, и по делу. Была уйма времени, что бы сменить сертификат стоимостью максимум $500 в год за EV.

Ответить
–5

Вот смотрите. Абстрагируйтесь от банка. Вы принимаете правила игры. Вы покупаете сертификат. Все ок. Через какое-то время вам говорят: "Фигу вам, мы больше не будем считать ваш сертификат нормальным". Вы готовы при этом нести новые расходы? Всего-то 500$

Ответить
0

Через какое-то время вам говорят: "Фигу вам, мы больше не будем считать ваш сертификат нормальным".

Хороший повод предъявить твоему дилеру сертификатов, почему их сертификаты были отозваны. Думаю, в американской юрисдикции (или где там Symantec) эти $500 можно будет вернуть через суд, так как компания подставила клиентов своими действиями.

Ответить
–3

А сертификаты не были отозваны. Просто производитель ПО, в данном случае Гугл просто стал считать их "плохими".

Ответить
2

В данном случае Google все равно что там считает банк. Google заботится о своих пользователях и запрещает данный сертификат.

Исходить необходимо от потребностей клиента. И клиент который пытается оплатить картой получает незамысловатое предупреждение о незащищенности соединения. Соответственно платеж произвести не может.

Банк в таком случае должен сменить сертификат чтобы его клиенты могли просто проводить платежи. Банк попросту теряет канал с клиентом из-за того что считает что Google «зло».

Ответить
0

В том-то и дело, что не "просто". Есть причина, по которой Гугл так стал считать. Выше всё написали уже.

Ответить
0

Сертификаты Symantec запрещены, потому что клиент может быть скомпрометирован. От банка в первую очередь ждёшь, что он будет за этим следить. Вряд ли кому-то из клиентов хочется стать жертвой атаки из-за этого всего.

Вот здесь разъяснение от гугла по Symantec https://www.bleepingcomputer.com/news/security/google-outlines-ssl-apocalypse-for-symantec-certificates/

Ответить
1

У меня только один вопрос: как можно позволить себе так глупо терять клиентов?

Ответить
–8

А кто теряет? ВТБ или Гугл?
ВТБ, думаю ничего не теряет. 2й банк страны.

Ответить
1

А Хром 1-й браузер на Земле.
60% доля Хрома.

Ответить
0

Странно. Регулярно оплачиваю картой ВТБ домены и облако, не было такого. Браузер Хром.

Ответить
1

Обновись, счастливый человек))

Ответить
0

ВТБ не уважением клиентов... Потерял кучу времени.... поддержки никакой

Ответить

0

Ситуацию усугубляет то, что данная проблема у банка ВТБ возникала и ранее. Из любопытства загуглив собственную (эту) статью, я обнаружил два отзыва на данную тему на на портале "Банки.ру". Впервые появился отзыв 11 мая с. г. (http://www.banki.ru/services/responses/bank/response/10158214/) – судя по снимку экрана, на одном из доменов банка уже возникала аналогичная проблема с сертификатом, с тем же самым кодом ошибки (весной утратили доверие некоторые сертификаты, выпущенные до 1 июня 2016 г.). Насколько можно понять, в тот раз сертификат заменили спустя некоторое время после обращения, но никаких системных выводов не последовало.

Следующий отзыв уже от 16 ноября (http://www.banki.ru/services/responses/bank/response/10210104/). Автор отзыва всё разложил по полочкам, привёл необходимые ссылки, объясняющие ситуацию, даже ссылку на сервис проверки сертификатов (https://www.ssllabs.com/ssltest/analyze.html?d=3dsp.vtb24.ru). То есть банку было сообщено о проблеме и по публичным каналам.

Firefox, начиная с версии 64, которая выходит в декабре, также лишит эти сертификаты доверия. Интересно, решат ли в ВТБ проблему раньше, или можно будет писать статью "Банк ВТБ не поддерживает самые популярные браузеры в мире"?

Отдельно стоит отметить реакцию портала "Банки.ру", который не зря последние годы известен своей удивительной ангажированностью в пользу банков. В первом случае оценка (едва ли хорошая), поставленная автором отзыва, была снята, во втором случае уже более недели помечена "проверяется".

Ответить
0

Исправьте, пожалуйста, два раза "на" во второй строчке, и удалите этот второй комментарий :)

Ответить
0

А еще их предупреждали в твиттере 4 октября:
https://twitter.com/vtb/status/1047807316962283520

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Компания отказалась от email
в пользу общения при помощи мемов
Подписаться на push-уведомления
{ "page_type": "default" }