«Подключение не защищено»: как открыть сайты с российскими сертификатами

Часть российских компаний и ведомств переходит на TLS-сертификаты Национального удостоверяющего центра Минцифры и центра сертификации ТЦИ. Поводом стали отзывы иностранных сертификатов: в июне 2026 года японский удостоверяющий центр GlobalSign начал принудительный отзыв сертификатов российских организаций.

Корневые сертификаты Минцифры по умолчанию не входят в список доверенных у большинства браузеров. При заходе на такой сайт Google Chrome, Microsoft Edge, Mozilla Firefox или Safari показывают предупреждение вида «Подключение не защищено», «Соединение с сайтом не защищено» или ошибку NET::ERR_CERT_AUTHORITY_INVALID. Ниже – два рабочих способа вернуть доступ к таким ресурсам.

Содержание

• Почему браузер блокирует сайт
• Способ 1. Браузер со встроенной поддержкой
• Способ 2. Установка сертификатов Минцифры
  • Windows
  • macOS
  • Android
  • iOS и iPadOS
  • Linux
• Очистите кэш браузера
• Если сайт по-прежнему не открывается
• Частые вопросы

Почему браузер блокирует сайт

При установке HTTPS-соединения браузер выстраивает цепочку доверия от сертификата сайта до корневого сертификата удостоверяющего центра и сверяет корень со своим встроенным списком доверенных центров. Если корня Минцифры в этом списке нет, цепочка не замыкается, и соединение помечается как небезопасное.

Чтобы сайт открывался без предупреждений, корневые сертификаты Минцифры должны быть доверенными на устройстве. Этого можно добиться двумя путями.

Способ 1. Браузер со встроенной поддержкой (проще всего)

Самый быстрый вариант – пользоваться браузером, в который корневые сертификаты Минцифры уже встроены. Ручная установка не требуется, сайты с российскими сертификатами открываются сразу. Корневые сертификаты встроены в Яндекс Браузер – в версиях для Windows, macOS и Linux, а также в мобильных версиях для Android, HarmonyOS, iOS и iPadOS. Также есть отдельный вариант – Яндекс.Браузер для организаций.

Скачать Яндекс.Браузер

Этот способ подходит, если нужно открыть сайт здесь и сейчас и не хочется менять настройки системы. Для остальных браузеров и для работы сторонних программ сертификаты придётся установить вручную.

Способ 2. Установка сертификатов Минцифры

Минцифры распространяет два типа сертификатов – корневые (Russian Trusted Root CA) и выпускающие, они же промежуточные (Russian Trusted Sub CA). В архивах для каждой системы лежит по несколько файлов (варианты на алгоритмах RSA и ГОСТ) – устанавливать нужно каждый из них.

Файлы скачиваются с официальной страницы Госуслуг «Поддержка работы сайтов с российскими сертификатами» (gosuslugi.ru/crt) – там есть отдельные кнопки загрузки под каждую операционную систему. Краткое описание и ссылки также собраны на странице: TLS-сертификаты Russian Trusted Root CA.

Windows

Устанавливаем сертификаты в хранилище текущего пользователя. Сначала корневые, затем выпускающие.

Корневые сертификаты

Скачайте архив, распакуйте его в папку «Загрузки», щёлкните по файлу Russian Trusted Root CA.cer правой кнопкой мыши и выберите «Установить сертификат».

В мастере импорта выберите «Текущий пользователь» -> «Далее». Отметьте «Поместить все сертификаты в следующее хранилище» -> «Обзор» -> «Доверенные корневые центры сертификации» -> «Далее».

Нажмите «Готово» -> «ОК». Если появится окно «Предупреждение системы безопасности», нажмите «Да». Повторите для каждого корневого сертификата из архива.

Выпускающие сертификаты

Распакуйте архив с выпускающими сертификатами, щёлкните по файлу Russian Trusted Sub CA.cer правой кнопкой -> «Установить сертификат».

В мастере выберите «Текущий пользователь» -> «Далее». Оставьте «Автоматически выбрать хранилище на основе типа сертификата» -> «Далее».

Нажмите «Готово» -> «ОК». Повторите для каждого выпускающего сертификата.

Сертификаты применяются для Google Chrome, Microsoft Edge и других браузеров на базе Chromium, использующих системное хранилище Windows. Mozilla Firefox ведёт собственный список доверенных центров – для него сертификаты добавляются отдельно через настройки браузера.

macOS

Скачайте архив для macOS, распакуйте и откройте файл RussianTrustedCA.pem из папки «Загрузки». В приложении «Связка ключей» введите имя пользователя и пароль, нажмите «Изменить связку ключей».

В «Связке ключей» откройте раздел «Вход» -> вкладку «Сертификаты» – там появятся установленные сертификаты.

Откройте сертификат Russian Trusted Root CA, разверните вкладку «Доверие», выберите «Всегда доверять».

Введите пароль и нажмите «Обновить настройки».

Повторите для сертификата Russian Trusted Sub CA и для остальных сертификатов из архива.

После этого сертификаты доверяются в Safari и других браузерах, использующих системную связку ключей.

Android

Порядок пунктов меню зависит от версии Android и оболочки, поэтому удобнее искать настройки через встроенный поиск.

Корневые сертификаты. Скачайте архив с корневыми сертификатами и извлеките файлы. Откройте «Настройки», в поиске введите «Сертификат» и выберите пункт «Сертификат CA».

На предупреждение ответьте «Всё равно установить» (или «Установить в любом случае»).

Введите код-пароль либо PIN-код устройства, нажмите «Подтвердить».

В папке «Загрузки» выберите файл Russian Trusted Root CA.cer. Если появится окно «Укажите название сертификата», введите название и выберите назначение «VPN и приложения» -> «ОК». Корневой сертификат установится.

Выпускающие сертификаты. Повторите шаги для файла Russian Trusted Sub CA.cer: «Настройки» -> «Сертификат CA» -> установите сертификат из архива.

Введите код-пароль устройства и подтвердите установку.

Выпускающий сертификат установится.

Проверка: «Настройки» -> поиск «Надёжные сертификаты» (или «Надёжные учётные данные») -> вкладка «Пользователь». В списке должны быть сертификаты Минцифры.

iOS и iPadOS

Страницу загрузки нужно открывать именно в Safari. Если открыта в приложении «Госуслуги» – выйдите из него и перейдите в Safari.

Откройте ссылку на профиль russiantrusted.mobileconfig в Safari, нажмите «Разрешить» и дождитесь сообщения о загрузке. Если вместо этого открылось окно с набором текстовых символов, заново откройте страницу в Safari и повторите загрузку.

Перейдите в «Настройки» -> вверху появится пункт «Профиль загружен» -> откройте его. Устанавливайте сразу: иначе профиль удалится автоматически.

В окне «Установка профиля» нажмите «Установить», введите код-пароль, в окне «Предупреждение» снова «Установить», затем «Готово».

Включите доверие: «Настройки» -> «Основные» -> «Об этом устройстве» -> внизу «Доверие сертификатам» -> передвиньте вправо переключатель напротив Russian Trusted Root CA.

В оповещении «Корневой сертификат» нажмите «Дальше».

Linux

На Linux браузеры используют собственные хранилища, поэтому помимо системного хранилища сертификаты добавляются отдельно в каждый браузер.

Системное хранилище. Скачайте файлы .crt из раздела «Сертификаты для Linux».

Red Hat, Fedora и производные. Откройте терминал (Activities -> Terminal):

Перейдите в каталог с распакованными сертификатами и выведите список файлов:

cd ~/Downloads
ls

Скопируйте сертификаты в системный каталог и введите пароль суперпользователя:

sudo cp *.crt /usr/share/pki/ca-trust-source/anchors/

Обновите общесистемное хранилище сертификатов:

sudo update-ca-trust

Проверьте результат – в конце списка появятся корневые и выпускающие сертификаты Минцифры:

trust list

Debian, Ubuntu и производные. Скопируйте сертификаты и обновите хранилище:

sudo cp *.crt /usr/local/share/ca-certificates/
sudo update-ca-certificates

Mozilla Firefox. «Настройки» -> поиск «Сертификат» -> «Просмотр сертификатов» -> «Импортировать» -> выберите файл russian_trusted_root_ca.crt -> отметьте «Доверять при идентификации веб-сайтов» -> «ОК». Повторите для каждого корневого и выпускающего сертификата.

Chromium. «Настройки» -> раздел «Конфиденциальность и безопасность» -> «Безопасность» -> «Настроить сертификаты» -> вкладка «Центры сертификации» -> «Импорт» -> выберите файл сертификата -> отметьте «Доверять этому сертификату при идентификации сайтов» -> «ОК». Повторите для каждого сертификата.

После установки в списке центров сертификации появится раздел The Ministry of Digital Development and Communications с корневыми и выпускающими сертификатами Минцифры.

Очистите кэш браузера

После установки сертификатов очистите кэш браузера на устройстве, с которого открываете сайт – иначе может остаться сохранённое состояние небезопасного соединения. На iPhone и iPad: «Настройки» -> Safari -> «Очистить историю и данные».

Если сайт по-прежнему не открывается

• Убедитесь, что установлены и корневые, и выпускающие сертификаты – только одного типа недостаточно.
• На iOS проверьте, что включён переключатель в разделе «Доверие сертификатам»: без него установленный профиль не работает.
• Opera, Firefox, Mi Браузер и некоторые другие браузеры могут открывать сайт с ошибкой даже после установки сертификатов. Самое надёжное решение – перейти на Яндекс Браузер или Яндекс.Браузер для организаций.
• Перезапустите браузер, а на мобильном устройстве – и само приложение.

Частые вопросы

Безопасно ли устанавливать сертификаты Минцифры. Механизм их работы такой же, как у сертификатов зарубежных удостоверяющих центров. Риск возникает только при загрузке корневого сертификата из неофициального источника, поэтому берите файлы исключительно с Госуслуг.

Что проще – браузер или установка сертификатов. Проще использовать браузер со встроенной поддержкой (Яндекс Браузер). Установка сертификатов в систему может дополнительно потребоваться для работы сторонних программ, банковских и торговых приложений.

Для каких сайтов это нужно. Для сайтов органов власти, банков и ряда организаций, перешедших на российские сертификаты. Постепенно их планируют внедрить на большинстве российских сайтов.

Что важно учитывать. Сертификаты Минцифры признаются только там, где установлен их корень: в российских браузерах с предустановленным корнем, в системах с вручную добавленными сертификатами и в корпоративной среде; зарубежные браузеры по умолчанию им не доверяют. Мобильные приложения с механизмом Certificate Pinning могут перестать подключаться к серверу до выхода обновления – установка корневого сертификата здесь не помогает.