Браузеры откажутся открывать сайт: чем грозит отзыв сертификата мессенджеру
Пользователи MAX рискуют остаться без доступа к веб-версии сервиса. Причина — проблемы с TLS-сертификатом, который обеспечивает безопасное соединение между браузером и сервером. В сети уже обсуждают слухи, что этот сертификат отозвали. Если это правда, все основные браузеры — Chrome, Firefox, Safari — начнут выдавать предупреждение: «Соединение не защищено». А потом и вовсе перестанут загружать страницу.
Как мессенджер пытается выкрутиться
По неофициальным данным, после отзыва старого сертификата MAX автоматически получил новый — от Let’s Encrypt. Этот центр выдачи сертификатов бесплатный, но даёт документы всего на 90 дней. Проблема в том, что повторить такую схему снова не выйдет. Let’s Encrypt, как и другие иностранные удостоверяющие центры, могут отказать в продлении или вообще перестать обслуживать российские сервисы, если того потребуют санкции. И тогда мессенджер останется без действующего TLS — а значит, для браузеров он станет небезопасным сайтом.
Что это значит на практике? Браузеры блокируют доступ к ресурсам с невалидным сертификатом. Пользователь увидит красный экран с предупреждением, и большинство просто закроет вкладку. Особенно если это касается корпоративных сетей с жёсткими настройками безопасности. Для мессенджера, который продвигается как национальный и безопасный, такая ситуация — удар по репутации.
Не первый удар по сервису
Напомним, что у MAX и раньше были проблемы с доступом. Мессенджер исчез из App Store — Apple удалила его без объяснений. Кроме того, компания Cloudflare пометила российский сервис как «вредоносное ПО», что тоже добавило проблем с репутацией. Теперь ещё и TLS-сертификат под угрозой. Всё это на фоне того, что MAX разрабатывает холдинг VK, а значит, вопросы к сервису будут на самом высоком уровне.
Кто отвечает за сертификаты? Обычно это делают центры сертификации по стандарту WebTrust. Большинство из них — западные. Российский сертификат Минцифры тоже существует, но его признают далеко не все браузеры. Если иностранные центры начнут массово отзывать сертификаты у российских проектов, проблема станет системной. Не только у MAX, но и у множества других сайтов.
Что будет с пользователями
Если сертификат окончательно отзовут, веб-версия MAX перестанет работать в обычном режиме. Браузеры будут требовать подтверждения в обход предупреждений, но рядовой пользователь вряд ли станет рисковать и нажимать «Продолжить». Для мобильных приложений ситуация чуть проще — там своя система сертификации, но для веб-версии перспективы мрачные.
Выходов у разработчиков несколько. Можно найти центр сертификации, который не подпадает под ограничения, — например, из дружественной страны. Можно использовать свой корневой сертификат, но тогда браузеры снова не будут его доверять без ручной установки. Самый радикальный вариант — полностью перевести весь трафик на собственное приложение и отказаться от веб-версии. Но это потеря части аудитории.
Пока ситуация остаётся неопределённой. Официальных заявлений от VK не поступало, а слухи множатся. Пользователям советуют обновлять приложение и следить за новостями. Если сертификат всё-таки не заменят вовремя, браузеры начнут блокировать MAX уже в ближайшие дни. И тогда вопрос выживания сервиса перейдёт из технической плоскости в политическую.