{"id":14253,"url":"\/distributions\/14253\/click?bit=1&hash=c3df30ba63239cdfca60f49674c864ab5b6179d6b87a2c008a77e9857fa505d2","title":"\u041f\u0435\u0440\u0432\u0430\u044f \u043f\u043e\u0434\u0432\u043e\u0434\u043d\u0430\u044f VR-\u0438\u0433\u0440\u0430 ","buttonText":"\u041f\u043e\u043a\u0430\u0436\u0438\u0442\u0435","imageUuid":"9a033227-147f-59b6-bc50-01b0d0cc9f0e"}

Платить на сайте у вас не смогут: как подготовиться к переходу Сбербанка на SSL от Минцифры

Если вы принимаете платежи на своем сайте через Сбербанк, то у большинства ваших клиентов, кто не пользуется Яндекс.Браузером, будет ошибка при попытке оплаты. К примеру, пользователи iPhone из Safari будут видеть подобную картину ⬇. Как подготовиться? Читайте в этой статье.

Мы в Кликбаре как раз принимаем платежи через Интернет-эквайринг Сбербанка. И новость о переходе на новые сертификаты я заметил в их личном кабинете. Переход начнется 30 января – так говорит техподдержка.

Сначала я как-то не придал этому значения. Думал, что это не про меня. А потом до меня дошло: ведь наши клиенты не смогут оплатить подписку, так как будут видеть ошибку при попытке оплаты. И это – не есть гуд!

Вот сама новость на сайте Сбербанка. Ссылка на нее ниже.

Содержание новости в двух словах следующее: поставь браузер от Яндекса или установи сертификаты НУЦ Минцифры России на свои устройства и все будет работать как раньше. Но во-первых, знает ли кто вообще, что это нужно делать? И во-вторых, представьте лицо тех, кто не особо шарит в IT, когда их попросят установить сертификаты. Единственный сертификат, который они видели в лицо, был подарочный.

Что делать?

1. Отправить вашим программистам ссылку ниже. Они внесут нужные изменения на сервер. Если внести изменения некому, можете написать мне здесь или в телегу.

Если вы – сам разработчик, супер! Проверьте взаимодействие вашего приложения с API Сбера, используя альтернативный хост в URL:

https://3dsecmt.sberbank.ru

Если приложение выдаст ошибку соединения, отключите проверку SSL при запросах к API, либо добавьте цепочки доверенных сертификатов УЦ в список доверенных сертификатов на вашем сервере.

Если ваше приложение написано на php, то отключить проверку SSL при запросах к API можно так:

$ch = curl_init(); curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);

2. Отправить в техподдержку эквайринга Сбера запрос, чтобы поменяли домен платежных страниц на альтернативный.

На альтернативных доменах Сбера установлен сертификат от Lets Encrypt, который поддерживается всеми устройствами. Поэтому ваши покупатели смогут платить без проблем, как и раньше.

На этом все. Не забудьте поставить сердечко, если было полезно.

PS. Если вы – эксперт и ведете канал в Telegram, либо продюсер или маркетолог и занимаетесь продвижением каналов в ТГ, приглашаю протестировать наш сервис. Попробуйте рекламировать каналы с оплатой за подписки. Потом дайте мне в личку обратную связь.

0
42 комментария
Написать комментарий...
Стартапер-пессимист

Сбер дал альтернативу? Зачем тогда вообще городить переход?

Ответить
Развернуть ветку
Андрей Стрекалов
Автор

Переход куда?

Ответить
Развернуть ветку
Serge Demichev

А с х…ра ли я должен что-то ставить? У меня например нет доверия к Як браузеру, особенно в плане отслеживание интересов… Это как в 2к10 используй Ie6 потому что Сбербанк только с ним работает. Спасибо, но нет.

Ответить
Развернуть ветку
Андрей Стрекалов
Автор

Так и есть 👍

Ответить
Развернуть ветку
Сергей Леопольдович

Есть ли какие-то минусы или потенциальные проблемы после установки этого?

Ответить
Развернуть ветку
енот

Дополню автора kiber.io

Самоподписанный сертификат - это очень большой соблазн для государства. Т.к. цели блокировок РКН уже много лет только расширяются, самоподписанные сертификаты вообще развяжет руки и можно блокировать что угодно, прикрываясь всё той же "безопасностью граждан".

В Казахстане, кстати, на государственном уровне пытались внедрить самоподписанный сертификат, с несколькими попытками - https://www.opennet.ru/opennews/art.shtml?num=54206

Ответить
Развернуть ветку
Андрей Стрекалов
Автор

Установки чего? Сертификатов от минцифр?

Ответить
Развернуть ветку
Сергей Леопольдович

Да

Ответить
Развернуть ветку
Андрей Стрекалов
Автор

Я никаких не вижу. Возможно, специалисты по безопасности, если тут есть, дадут более широкий обзор. Единственную проблему, которую я вижу, что на устройстве клиентов их не будет установлено и при оплате у них будет ошибка. Как следствие выручка у интернет-магазинов и приложений упадет. А если смотреть со стороны клиентов, то неподготовленные приложения и сайты просто станут нерабочими. Но в целом рано или поздно должно все устаканится.

Ответить
Развернуть ветку
kiber.io

Установка сертификата от минцифры даст провайдерам возможность расшифровывать HTTPS трафик их клиентов (важное уточнение: только при условии, что минцифры передаст провайдерам свой сертификат). А тут уже гуляй фантазия - от расширенной блокировки сайтов до подмены данных на сайтах (например, вырезать неугодный для того же ркн текст из какой-нибудь статьи).

Ответить
Развернуть ветку
Andrey Rudin
>> Сначала я как-то не придал этому значения. Думал, что это не про меня.

ахаха )))))))))) это про меня. я тоже думал что это не про меня )))

Ответить
Развернуть ветку
Денис Демидов
На альтернативных доменах Сбера установлен сертификат от Lets Encrypt, который поддерживается всеми устройствами. Поэтому ваши покупатели смогут платить без проблем, как и раньше.

Вот прям большое спасибо вам, а то уже думал сносить сбер и оставлять один PayU, отправил запрос им уже!

Ответить
Развернуть ветку
Андрей Стрекалов
Автор

PayU норм ребята кстати. С ними работал долго в другой нише 👍

Ответить
Развернуть ветку
max

Надо просто подключить оплату криптой. Тогда сможет платить весь мир, а не только мир

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
DpaHuk

"Сбер выживал как мог"

Ответить
Развернуть ветку
Vadim Ts.

Всех переводили на Яндекс.Браузер

Ответить
Развернуть ветку
Vilent

Массовый переход банков и госсайтов на российские сертификаты приучит людей жать в браузере кнопку Дополнительно - Я доверяю сайту.

Ответить
Развернуть ветку
Вася Пражкин

Скорее приучит массово не доверять.

Ответить
Развернуть ветку
Вадимов Вадим

Большое спасибо за статью. Я несколько дней промучился, пытаясь заставить наш магазин работать с https://3dsecmt.sberbank.ru, используя сертификаты Минцифры и все без толку.
Потом набрел на эту статью и сделал по пункту 2) , получив также от поддержки "настройки скорректированы".

Вопрос: больше ничего делать не надо, после 30-го сберэквайринг на нашем сайте посто продолжит работать?

Ответить
Развернуть ветку
Вадимов Вадим
На альтернативных доменах Сбера установлен сертификат от Lets Encrypt, который поддерживается всеми устройствами. Поэтому ваши покупатели смогут платить без проблем, как и раньше.

Я сделал тоже самое и получил от суппорта сбера "Функционал подключен", но, начиная с сегодняшнего утра, эквайринг у нас не работает. Мы свои настройки не меняли.
Вопрос: нужно ли менять, например. адрес хоста к которому сайт обращается при оплате на "альтернативный" и , если да, на какой?

Сбер пока нам не ответил..

Ответить
Развернуть ветку
Вадимов Вадим

Сбер ответил:
"Альтернативные домены возвращаются клиентам, для того, чтобы покупатель не устанавливал сертификаты на свое устройство."

То есть, даже при альтернативных серверах нужно ставить на сервер Интернет-магазина сертификаты от Минцифры, которые у нас так и не заработали.

Ответить
Развернуть ветку
Вадимов Вадим

В итоге разобрались и все заработало. Проблема была в том, что мыустанавливали на сервере не те сертификаты. Мы ставили клиентские сертификаты: https://www.sberbank.com/ru/certificates/linux , а нужно было ставить этот: https://securepayments.sberbank.ru/wiki/doku.php/certificates:add:backend (он для бэкэнда). Сбер, молодцы - сделали путанную инструкцию, а на все обращения отвечают отписками.

Ответить
Развернуть ветку
Андрей Стрекалов
Автор

Альтернативные домены - для клиента. Но сертификаты еще касаются серверного взаимодействия. Там либо поставить сертификаты на машину, либо отключить проверку ssl

Ответить
Развернуть ветку
Андрей Стрекалов
Автор

Да, инструкцию сделали максимально непонятную: касается она тебя или нет, и что делать, если касается 😵

Ответить
Развернуть ветку
Артемий Калугин

Не могли бы вы описать подробнее процесс установки сертификата
на бэкенд?

Ответить
Развернуть ветку
Вадимов Вадим

У вас какая ОС на сервере?

Ответить
Развернуть ветку
Артемий Калугин

Ubuntu 20.04

Ответить
Развернуть ветку
Вадимов Вадим

Держите. У меня Centos 7 и всё объяснение будет для нее, но суть, думаю, та же:
Сразу оговорюсь, спецом себя не считаю, делал все методом Гугла и Тыка, но у меня, в итоге, все заработало.
- качаем сертификат отсюда https://securepayments.sberbank.ru/wiki/doku.php/certificates:add:backend и кладем его в хранилище исходников сертификатов вашей ОС.
Для Centos это /etc/pki/ca-trust/source/anchors

- я также скачал туда же клиентские серификаты для Linux отсюда https://www.gosuslugi.ru/crt что называется "до кучи"

- Устанавливаем пакет по управлению сертификатами
# yum install ca-certificates
и далее добавляем наши сертификаты в системный список доверенных
# update-ca-trust enable
# update-ca-trust extract

Проверим установленные сертификаты:
# trust list
В списке должно быть 5 ру-сертификатов:

# Russian Trusted Sub CA
..
# SberCA Ext
..
# SberCA Root Ext
..
# SberCA Ext Web
..
# Russian Trusted Root CA
..
После этого все должно заработать, но у меня не заработало, хотя API-запросы к Сберу из командной строки проходили успешно :(
Причина в Python/Django, на котором работает сайт.
Заработало только после того как я ручками скопировал эти 5 сертификатов из файла
/etc/pki/ca-trust/extracted/objsign-ca-bundle.pem
в начало файла
../venv/lib/python3.6/site-packages/certifi/cacert.pem

В общем, треш тот еще был, надеюсь вам и другим моим собратьям по несчастью (в лице Сбер-эквайринга) эти строки сократят их страдания.

Ответить
Развернуть ветку
Артемий Калугин

Спасибо огромное! Будем пробовать)

Ответить
Развернуть ветку
Артемий Калугин

В общем, бился я три дня, так и не получилось подружить ноду с этими сертификатами(( При запросе к API сбера вылетает ошибка "self signed certificate in certificate chain". Помогает только прописать NODE_TLS_REJECT_UNAUTHORIZED='0' в .env, но это так себе вариант, конечно.

Если вдруг у кого-то еще получилось, буду рад, если напишете решение или подтолкнете в нужную сторону.

Ответить
Развернуть ветку
Артемий Калугин

Итак, в итоге все удалось починить путем прописывания пути до Cert_CA.pem в конфиге запроса к API Сбера:
const config: AxiosRequestConfig = {
...
httpsAgent: new https.Agent({ ca: fs.readFileSync('/path/to/Cert_CA.pem') })
...
}

await axios(config)

Надеюсь, кому-то поможет)

Ответить
Развернуть ветку
Андрей Шестаков

Андрей, добрый день! Буду материально благодарен, если Вы сможете настроить мой сайт. У меня эквайринг Сбера, платформа сайта Wordpress, сайт на сервере RU Centr. С 30-го января слетает кнопка "оплатить". Клиенты не могут оплачивать онлайн. Андрей. [email protected]

Ответить
Развернуть ветку
Андрей Стрекалов
Автор

Добрый день. Пришлите мне свой сайт в телегу: https://founder.clck.bar

Ответить
Развернуть ветку
Андрей Шестаков

Не получается зайти в Телеграм. Можно в ВК?

Ответить
Развернуть ветку
Андрей Стрекалов
Автор
Ответить
Развернуть ветку
Андрей Шестаков

Прислал

Ответить
Развернуть ветку
Anastasia Sergeevna

Столкнулась с тем же на портале Госуслуг, теперь не могу скачать никакую справку

Ответить
Развернуть ветку
Андрей Стрекалов
Автор

Я сам на сайте налоговой провозился, чтобы с кэп войти. Но вроде все получилось через Яндекс браузер

Ответить
Развернуть ветку
Anastasia Sergeevna

Скачала этот браузер-нифига не вышло 😅

Ответить
Развернуть ветку
kiber.io

Проверьте в настройках браузера включение поддержки ГОСТ шифрования, должно быть включено.
А вообще, по своему опыту, самый надёжный вариант (в том числе для налоговой применял) - chromium gost + расширение для подмены user agent на яндекс браузер или спутник.
Не знаю почему, но при использовании я.браузера и спутника, налоговая отваливалась, а вот хромиум ГОСТ прекрасно справился и не подводил ни разу больше
https://github.com/deemru/chromium-gost/releases

Ответить
Развернуть ветку
Андрей Стрекалов
Автор

True story 😅👍

Ответить
Развернуть ветку
39 комментариев
Раскрывать всегда