Платежная страница сбербанка securepayments sberbank ru что это
Перейти к содержимому

Платежная страница сбербанка securepayments sberbank ru что это

  • автор:

Платежные сервисы Сбербанка перешли на сертификаты Минцифры. Как теперь работает оплата в интернет-магазинах

В конце 2022 года мы сообщали, что Сбербанк переведёт свои сайты, системы и сервисы на российские сертификаты шифрования, что потребует от пользователей использовать российский интернет-браузер или сертификат безопасности Минцифры при оплате услуг и покупке товаров в интернет-магазинах.

Большинство сайтов сегодня устанавливают защищенное соединение с пользователями, используя криптографические протоколы, такие как TLS или SSL. Однако, чтобы браузер мог подтвердить, что соединение настоящее, а не поддельное, существуют TLS-сертификаты, выдаваемые удостоверяющими центрами (УЦ).

До весны прошлого года в России не существовало национальных удостоверяющих центров, даже государственные веб-ресурсы использовали услуги зарубежных сертификатов. Однако после отзыва сертификатов у некоторых российских подсанкционных организаций в марте 2022 года, Минцифры начало выдавать свои эквиваленты технологии TLS – российские TLS-сертификаты Russian Trusted Root CA.

При посещении сайта с сертификатом, выданным российским удостоверяющим центром, браузер может сообщить об ошибке незащищенного соединения. Это потому, что ни один иностранный браузер или ОС не признает удостоверяющий центр Минцифры.

Чтобы избежать появления ошибки при посещении платёжного шлюза Сбербанка, была разработана следующая схема:

  • Если браузер посетителя поддерживает российский сертификат, то он будет перенаправлен на страницу securepayments.sberbank.ru .
  • Если же используется иностранный браузер, то Сбербанк перенаправит на один из пяти альтернативных доменов, которые все еще защищены сертификатами, выданными иностранными удостоверяющими центрами, например, securecardpayment.ru , secure-payment-way.ru и др.

Однако, использование такого важного сервиса вне официального имени домена Сбербанка может вызвать сомнения у пользователей. Если не знать об этой детали, то указанные выше адреса можно легко принять за мошеннические.

Специалисты рекомендуют два решения. Одно из них – использовать российские веб-браузеры Яндекс.Браузер и Атом, со встроенным корневым сертификатом от Минцифры. Другой вариант – установить российский TLS-сертификат Russian Trusted Root CA вручную, чтобы он поддерживался вашей операционной системой.

Платежная страница сбербанка securepayments sberbank ru что это

Как привязать карту к SberPay

  • Перейдите в приложение «Сбербанк Онлайн»;
  • Найдите в списке карту Visa и нажмите на неё;

  • В открывшемся окне выберите «Добавить в SberPay»;
  • Подтвердите добавление карты кодом из SMS.

Как включить SberPay на Android

  • Перейдите в «Настройки» — «Соединение» — «Другие соединения»;
  • Здесь откройте вкладку NFC – «Приложение по умолчанию»;

  • В открывшемся окне выберите SberPay и подтвердите изменения.
Как платить SberPay

Как переключить смартфон с Google Pay на SberPay

  • Откройте приложение Сбербанка на своем смартфоне.
  • В верхней строке поиска напишите SberPay.
  • Кликнете на пункт Подключить SberPay.
  • Нажмите Добавить карту и выберите одну из ваших карт.
  • После этого появится уведомление Заменить стандартное платежное приложение, согласитесь.

  • Перейдите в Настройки смартфона.
  • В строке поиска введите NFC.
  • Далее выберите Бесконтактные способы оплаты (Способы оплаты).
  • Проверьте, установлен ли SberPay в качестве способа оплаты по умолчанию.
  • При необходимости повторите процедуру, описанную выше.

Деньги были и сплыли. Фото: dolg.guru

Скриншот из приложения «Сбербанк Онлайн». Фото: «Выберу.ру»

Securepayments.sberbank.ru: что за сайт и как войти в личный кабинет?

Покупки в онлайн-магазинах и оплата услуг в интернете давно стали обыденной частью жизни. Это не просто быстро и удобно, но зачастую еще и дешевле. Достаточно зайти на сайт, найти товар и оплатить картой. Единственный минус – риск столкнуться с мошенниками или передать данные банковских карт злоумышленникам. Чтобы защитить клиентов и бизнес-партнеров, Сбербанк разработал специальную страницу, вход на которую выполняют через личный кабинет.

Что это

Securepayments.sberbank.ru – платежный шлюз, название которого переводится как «безопасные платежи». С помощью этой площадки можно не опасаясь последствий выполнить привязку карточки. Таким образом, банк гарантирует безопасность операций и позволяет выбирать из тысяч клиентов, магазинов и сервисов без риска столкнуться с мошенниками. Все объекты онлайн-торговли и оказания услуг проходят тщательную проверку от Сбербанка.

Вход в личный кабинет

Нажав на ссылку унифицированной платформы securepayments.sberbank.ru, банк автоматически перенаправляет пользователя на другую страницу https://www.sberbank.ru/ru/person, где каждый клиент может найти подробную информацию о кредитах, вкладах, страховании, обратиться за поддержкой в онлайн-режиме.

Доступ к странице securepayments, как правило, стремятся получить юр. лица, которые решили сайт своей компании интегрировать с платежной системой Сбербанка. Широкие массы больше интересует оплата карточками проезда. Для этого достаточно подать заявку банк и заключить договор эквайринга. Если вопросов не возникнет, сотрудники кредитно-финансовой организации свяжутся с клиентом и предоставят необходимые пароли и логины.

«Сбер» переведёт сервис для оплаты услуг и товаров в интернет-магазинах на российские сертификаты шифрования

«Сбер» намерен перевести информационный финансовый сервис, использующийся многими клиентами банка для оплаты услуг и товаров в интернет-магазинах, на российские сертификаты шифрования. Например, на сайтах «Детского мира», «Связного», «Делимобиля», «Леруа Мерлен» и «Онлайн Трейд.ру» при вводе данных банковских карт появилось предупреждением о том, что «для стабильной работы пользователям скоро потребуются сертификаты Минцифры».

В данном случае речь идёт о корневых сертификатах, которые вместе с сертификатами на стороне сайтов позволяют устанавливать защищённое соединение (HTTPS). «Сбер» у себя на странице не указывает, когда планирует перевести онлайн-эквайринг на российские сертификаты, однако текущий сертификат от GlobalSign (бельгийского удостоверяющего центра — УЦ) истекает 15 февраля 2023 года. Регистратор и провайдер GlobalSign по причине наложенных на «Сбер» санкций отказывается продлевать с компанией ранее заключённые договоры, а бесплатные сертификаты Let’s Encrypt внутри «Сбера» запрещены по внутренним политикам безопасности компании.

«Сбер» предупреждает всех клиентов, что «для стабильной работы скоро потребуются сертификаты Минцифры», а также предлагает скачать «Яндекс Браузер» или Atom от VK с уже предустановленными сертификатами или установить в своих системах сертификаты от Минцифры с портала «Госуслуги».

«Работа по переводу уже идёт», — пояснили СМИ в «Сбере» без уточнения, когда этот процесс завершится.

По данным СМИ, в прошлом году «Сбер» обработал 3 млрд интернет-трансакций на $40 млрд. На втором месте среди российских кредитных организаций находится ВТБ с более чем 830 млн трансакций на $13,5 млрд. «Сбер» и ВТБ под санкциями и с октября рекомендуют клиентам устанавливать российские браузеры или корневые сертификаты НУЦ.

Эксперты считают, что часть корпоративных клиентов «Сбера» может задуматься о смене эквайринга или перейти на использование системы быстрых платежей как основного варианта оплаты онлайн.

Примечательно, что в марте ВТБ вышел из капитала «Группы Т1», которой с октября прошлого года принадлежит процессинговая компания «Мультикарта». У этого сервиса нет рекомендации устанавливать российские сертификаты на для генерируемых «Мультикартой» страницах онлайн-оплаты. В конце ноября «Мультикарта» получила новый сертификат от GlobalSign.

В конце октября Минцифры рассказало, что ведомство планирует создать Национальный технологический центр по цифровой криптографии. «У ведомства в проработке такой проект про средства криптографической защиты – Национальный технологический центр по цифровой криптографии. Минцифры готовит создание такой структуры. Заинтересованы в этом многие российские компании. Базовые участники – это „Код безопасности“, „Инфотекс“ и „КриптоПро“, которые являются одними из наиболее сильных разработчиков по криптографии. Они уже изъявили желание войти в этот проект», — заявил замглавы министерства Александр Шойто. В Минцифры пояснили, что в работе Центра будут принимать участие и различные госведомства. «Надеемся, соответствующая структура будет создана. Это именно компании, которые будут обеспечивать частно-государственное взаимодействие и развитие технологий», — добавил представитель Минцифры.

26 октября Роскомнадзор, Главный радиочастотный центр (ГРЧЦ, входит в структуру РКН), Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), операторы связи и владельцы интернет-ресурсов в РФ рассказали, что для обеспечения надежности функционирования российских ресурсов сети рунета они собираются ввести приоритетное использование TLS-сертификатов, выпущенных российскими удостоверяющими центрами (УЦ), в том числе с использованием российской криптографии, а также создать распределённую иерархическую систему российских УЦ.

Российский Национальный удостоверяющий центр (НУЦ) выдаёт сертификаты на домены только тех организаций, которые явно это запросили. Полный список этих доменов публично доступен по адресу www.gosuslugi.ru/tls. «Яндекс Браузер» применяет национальные сертификаты не для всего рунета, а только на тех сайтах, которые есть в списке НУЦ. Попытка применить сертификат на других доменах приведёт к стандартной ошибке и недоступности сайта для пользователя.

Национальные сертификаты используют общепринятую открытую криптографию и работают по стандартным правилам (это обычный RSA с длинным ключом, ровно такой же, какой выписывают другие центры сертификации).

Эксперты считают, что в конце этого года и начале следующего переход на отечественные сертификаты станет приоритетом для многих российских компаний в условиях зарубежных санкций. По их мнению, скоро всё больше пользователей столкнутся с ограничениями на российских сайтах и им придётся или устанавливать в своих системах TLS-сертификат Минцифры, или переходить на «Яндекс Браузер».

1 ноября «Сбер» сообщил о начале перевода сайта SberPress на российские TLS-сертификаты, выпущенные Национальным удостоверяющим центром (НУЦ) Минцифры РФ.

«Сбер» предупредил, что данное обновление проводится в рамках широкомасштабного перехода сайтов, ресурсов и систем «Сбера» на российские TLS-сертификаты, чтобы обеспечить независимость банка от зарубежных удостоверяющих центров. Для бесперебойного и безопасного доступа к онлайн-сервисам «Сбера» необходима поддержка сертификатов НУЦ Минцифры на каждом устройстве пользователя.

20 октября «Сбер» в рамках перевода на российские TLS-сертификаты основного сайта и других своих порталов (веб-версии «Сбербанк Онлайн» и «СберБизнес») выпустил наглядные и простые видеоинструкции для пользователей по установке и настройке на ПК и мобильных устройствах сертификата Russian Trusted Root CA для платформ Android, iOS, macOS и Windows, а также для пользователей смартфонов Samsung.

«Сбер» пояснил, что скоро только российские сертификаты обеспечат защищённый доступ к сайтам и онлайн-сервисам «Сбера» с любых устройств пользователей. Для этого нужно или использовать браузеры с поддержкой российских сертификатов («Яндекс Браузер» или «Атом») или установить сертификаты для своей операционной системы.

«Сбер» предупредил, что скоро большинство сайтов в Рунете перейдут на российские TLS-сертификаты и пользователям всё равно придётся выбирать: установить корневой сертификат Russian Trusted Root CA или использовать «Яндекс.Браузер».

«Сбер» выяснил, что браузеры Opera, FireFox, MIUI и ряд других могут некорректно работать с сайтами, защищёнными сертификатами безопасности НУЦ Минцифры России. Чтобы избежать проблем, «Сбер» рекомендует использовать ⁣⁣«Яндекс Браузер» или после установки TLS-сертификатов перейти на другой браузер.

Примечательно, что «Сбер» советует пользователям, у которых не устанавливается сертификат, обращаться в службу техподдержки портала «Госуслуги», а не помогать клиентам через своих специалистов.

15 сентября Минцифры и «Сбер» сообщили, что онлайн-сервисы «Сбера» через несколько дней начнут переход на российские TLS-сертификаты. Фактически это означает, что облачные сервисы «Сбера» будут полноценно работать только в «Яндекс Браузере» и браузере «Атом» от VK. Также можно установить в системе сертификат Национального удостоверяющего центра Минцифры России — Russian Trusted Root CA.

19 сентября 2022 года эксперты «Роскомсвободы» рассказали, что из-за возможности провести MITM-атаку после установки российских TLS-сертификатов, они рекомендуют использовать в случае крайней необходимости только «Яндекс Браузер», а не ставить сертификаты на свои ПК.

Эксперты «Роскомсвободы» считают, что установка российских TLS-сертификатов создаёт серьёзную угрозу пользователям, так как они не признаются ни одним современным иностранным браузером, а их установка в системе открывает «окно» для утечки данных и слежки за действиями пользователей в сети. Подобное уже было в Казахстане, но разработчики иностранных браузеров заблокировали такие попытки.

По их мнению, единственный способ обезопасить себя в этой ситуации — это установить «Яндекс Браузер» на отдельный смартфон, чтобы пользоваться им только для действий на российских сайтах. Этот же смартфон можно использовать для мобильного банкинга, если приложения «Сбера» перестанут работать штатно. Хотя «Сбер» заверяет, что его мобильные приложения уже имеют встроенные российские сертификаты.

26 сентября «Сбер» сообщил, что основной сайт финансовой организации (sberbank.ru) переводится на российские TLS-сертификаты.

В конце сентября после перевода на российские TLS-сертификаты основной сайт «Сбера (sberbank.ru) стал открываться по http или блокируется иностранными браузерами как небезопасное подключение на ПК и смартфонах без установленного сертификата Russian Trusted Root CA в системе. В «Яндекс Браузере» или в браузере «Атом» сайт «Сбера» открывается в защищённом режиме по https.

В марте 2022 года в условиях противодействия санкционной политике Минцифры организовало на базе НУЦ с использованием ЕПГУ выпуск для российских юридических лиц сертификатов безопасности (TLS-сертификатов) для сайтов. TLS-сертификаты необходимы для подтверждения легитимности сайтов и шифрования сетевого трафика между сайтом и браузером пользователя по протоколу HTTPS. Любое юридическое лицо или орган государственной власти может бесплатно получить один или несколько TLS-сертификатов и встроить их в свои информационные ресурсы. Получить сертификат можно через портал «Госуслуги».

В мае 2022 года пользователь Хабра ifap заметил, что Минцифры не имеет соответствующих полномочий по выдаче сертификата, а у якобы создавшего его НУЦ НИИ «Восход» прекращена аккредитация собственного УЦ.

Для ознакомления с проблемой установки и работой корневого сертификата Russian Trusted Root CA есть пять публикаций на Хабре по этой ситуации:

1. «Суверенный, сувенирный, самопровозглашенный».
2. «Импортозамещение центров сертификации».
3. Про поддержку Certificate Transparency для национальных сертификатов.
4. Про поддержку сайтов с национальными сертификатами в «Яндекс Браузере».
5. Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана.

С тем, как это работает у «Яндекса», можно ознакомиться на GitHub. Сертификат хранится в собственном хранилище, но похоже был добавлен только в Windows сборку браузера.

Пояснение №1 от «Сбера» по этой ситуации: Мы первые в стране начали перевод своих сайтов на российские сертификаты удостоверяющих центров. Почему это важно? Чтобы вы никогда не потеряли доступ к личному кабинету и другим сервисам «Сбера». Объясняем. Сайты должны иметь сертификат удостоверяющего центра, чтобы гарантировать пользователем бесперебойный и безопасный доступ. Раньше такие «документы» выдавали только иностранные компании, но недавно появилась возможность установить сертификат, созданный Минцифры РФ.

Пояснение №2 от «Сбера» по этой ситуации для Хабра: При установке сертификатов безопасности Национального удостоверяющего центра (НУЦ) Минцифры на устройства пользователей сервисы и ресурсы «Сбера» будут доступны в различных, в том числе наиболее популярных браузерах (Safari, Google Chrome, EDGE, Firefox и др.) на различных операционных системах, что подтверждается заранее проведённым тестированием «Сбера».

Пояснение Минцифры по этой ситуации: В марте зарубежные компании начали отзывать сертификаты безопасности у российских сайтов. При попытке зайти на сайт пользователи видели предупреждение о небезопасности ресурса. Переход на российские TLS-сертификаты обеспечит независимость от зарубежных удостоверяющих центров и гарантирует пользователям безопасный доступ ко всем ресурсам.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *