Добавлена поддержка условной проверки SSL для GigaChat

- Добавлен флаг конфигурации GIGACHAT_VERIFY_SSL_CERTS в backend/config.py
- Обновлен gigachat_helper.py для условной проверки SSL-сертификатов
- При GIGACHAT_VERIFY_SSL_CERTS=false приложение работает без корневого сертификата
- Обновлена документация в env.example и README.md с предупреждениями о безопасности
- Добавлена инструкция instruction-no-ssl.md

Author: ergon73

README.md

@@ -176,6 +176,7 @@ YANDEX_API_KEY=your_yandex_key_here
 # GigaChat
 GIGACHAT_CREDENTIALS=your_gigachat_credentials
 GIGACHAT_CERT_PATH=russian_trusted_root_ca.cer
+GIGACHAT_VERIFY_SSL_CERTS=true  # false позволяет работать без корневого сертификата (на свой риск)
 
 # Тестовый режим (без API-ключей)
 TEST_MODE=true
@@ -206,6 +207,11 @@ REACT_APP_DEBUG=true
 - Все функции работают, но без реального анализа
 - Полезно для тестирования интерфейса
 
+### Настройка GigaChat и SSL-сертификаты
+По умолчанию для работы с GigaChat требуется корневой сертификат `russian_trusted_root_ca.cer`. Если у вас нет установленного корневого сертификата, вы можете отключить проверку SSL-сертификатов, установив `GIGACHAT_VERIFY_SSL_CERTS=false` в `.env`.
+
+**⚠️ ВАЖНО: Отключение проверки SSL-сертификатов небезопасно!** При `GIGACHAT_VERIFY_SSL_CERTS=false` приложение не будет проверять подлинность сертификата сервера GigaChat, что делает соединение уязвимым для атак "человек посередине" (MITM). Используйте этот параметр только в тестовых окружениях или если вы полностью понимаете связанные риски безопасности. В production всегда используйте `GIGACHAT_VERIFY_SSL_CERTS=true` с корректным файлом сертификата.
+
 ## Тестирование и типизация
 
 ### Backend (pytest + mypy)

backend/config.py

@@ -12,6 +12,15 @@
 load_dotenv(dotenv_path=_root_env_path)
 
 
+def _get_bool(key: str, default: str = "false") -> bool:
+    """
+    Преобразует строковое значение переменной окружения в булево.
+    "false", "0", "no" (case-insensitive) → False, иначе True.
+    """
+    value = os.getenv(key, default).lower()
+    return value not in ("false", "0", "no")
+
+
 class Config:
     """Централизованный класс конфигурации."""
 
@@ -21,6 +30,7 @@ class Config:
     YANDEX_API_KEY: Optional[str] = os.getenv("YANDEX_API_KEY")
     GIGACHAT_CREDENTIALS: Optional[str] = os.getenv("GIGACHAT_CREDENTIALS")
     GIGACHAT_CERT_PATH: Optional[str] = os.getenv("GIGACHAT_CERT_PATH")
+    GIGACHAT_VERIFY_SSL_CERTS: bool = _get_bool("GIGACHAT_VERIFY_SSL_CERTS", "true")
 
     # Security & Rate Limiting
     API_KEY: Optional[str] = os.getenv("API_KEY")  # опционально, если не задан - проверка отключена

backend/llm/gigachat_helper.py

@@ -18,23 +18,30 @@ def get_giga_response(user_prompt: str, model: str = "GigaChat:latest") -> str:
 
     try:
         credentials = Config.GIGACHAT_CREDENTIALS
-        cert_path = Config.GIGACHAT_CERT_PATH or "russian_trusted_root_ca.cer"
+        verify_ssl = Config.GIGACHAT_VERIFY_SSL_CERTS
 
         if not credentials:
             logger.error("Не найдены учетные данные GigaChat в переменных окружения")
             return "Не удалось получить ответ от GigaChat: отсутствуют учетные данные"
 
-        # Проверяем наличие сертификата
-        if not os.path.exists(cert_path):
-            logger.warning(f"Сертификат {cert_path} не найден")
-            return "Не удалось получить ответ от GigaChat: отсутствует сертификат"
+        # Формируем параметры для GigaChat
+        giga_kwargs = {
+            "credentials": credentials,
+            "verify_ssl_certs": verify_ssl
+        }
+
+        # Проверяем наличие сертификата только если проверка SSL включена
+        if verify_ssl:
+            cert_path = Config.GIGACHAT_CERT_PATH or "russian_trusted_root_ca.cer"
+            if not os.path.exists(cert_path):
+                logger.warning(f"Сертификат {cert_path} не найден")
+                return "Не удалось получить ответ от GigaChat: отсутствует сертификат"
+            giga_kwargs["ca_bundle_file"] = cert_path
+        else:
+            logger.warning("SSL-валидация для GigaChat отключена (GIGACHAT_VERIFY_SSL_CERTS=false). Это небезопасно!")
 
         # Создаем клиент GigaChat
-        giga = GigaChat(
-            credentials=credentials,
-            ca_bundle_file=cert_path,
-            verify_ssl_certs=True
-        )
+        giga = GigaChat(**giga_kwargs)
 
         # Создаем структуру сообщения для API
         messages = [

env.example

@@ -8,6 +8,7 @@ YANDEX_API_KEY=your_yandex_key_here
 # GigaChat
 GIGACHAT_CREDENTIALS=your_gigachat_credentials
 GIGACHAT_CERT_PATH=russian_trusted_root_ca.cer
+GIGACHAT_VERIFY_SSL_CERTS=true  # false позволяет работать без корневого сертификата (на свой риск)
 
 # Test mode (useful for UI demo without real keys)
 TEST_MODE=true

instruction-no-ssl.md

@@ -0,0 +1,33 @@
+# instruction-no-ssl
+
+Документ для агента Cursor. Цель ― разрешить работе с `gigachat` как с установленным корневым сертификатом, так и без него, управляя проверкой TLS через конфигурацию. Никаких изменений библиотек не требуется.
+
+## План правок
+
+1. **Новый флаг конфигурации.** Добавить в `backend/config.py` булеву опцию `GIGACHAT_VERIFY_SSL_CERTS`, которая читается из переменной окружения `GIGACHAT_VERIFY_SSL_CERTS`. Значение по умолчанию — `true`. Преобразование строки в bool делай по тому же принципу, что и уже существующие флаги (`TEST_MODE` и т.п.): `"false"`, `"0"`, `"no"` → `False`, иначе `True`.
+2. **Обновить `backend/llm/gigachat_helper.py`.**
+   - Забрать новое значение из `Config` и использовать переменную `verify_ssl`.
+   - Проверку существования файла сертификата и передачу `ca_bundle_file` выполняем **только** если `verify_ssl` истинно.
+   - Если проверка отключена, не требуй файл сертификата и не выходи с ошибкой; вместо этого логируй `warning`, что SSL-валидация отключена.
+   - Сформируй `giga_kwargs` с обязательным `credentials` и `verify_ssl_certs=verify_ssl`. Добавляй `ca_bundle_file=cert_path` лишь при включённой проверке.
+   - Сообщения для пользователя оставь русскими, но обнови текст, чтобы в ветке без сертификата не упоминалось требование файла.
+3. **Документация.**
+   - В `env.example` (и в соответствующем примере блока `.env` в `README.md`) добавь строку `GIGACHAT_VERIFY_SSL_CERTS=true` с коротким комментарием, что `false` позволяет работать без корневого сертификата (на свой риск).
+   - В разделе README про GigaChat допиши абзац, объясняющий, что переменная `GIGACHAT_VERIFY_SSL_CERTS=false` отключает проверку сертификата, и подчеркни риски безопасности.
+
+## Детали реализации
+
+- В `backend/config.py` удобно завести небольшой приватный helper, например `_get_bool(key: str, default: str = "false") -> bool`, чтобы не дублировать преобразование строк в bool. Если не хочешь вводить helper, напиши выражение в одну строку по аналогии с `TEST_MODE`.
+- В `gigachat_helper` следи за тем, чтобы `logger.warning` срабатывал только при `verify_ssl` выключенном, иначе журнал зашумится.
+- Возвращаемые пользователю строки (ответы при отсутствии credentials или ошибок) должны остаться в стиле текущего файла; просто убери упоминание обязательного сертификата из ветки, которая теперь выполняется условно.
+
+## Проверка
+
+1. `pytest -q` из корня (убедись, что тесты проходят с `TEST_MODE=true`).
+2. Локально прогонять приложение не требуется, но можно быстро вручную вызвать `python - <<'PY' ...` и убедиться, что импорт `backend.llm.gigachat_helper` работает при отсутствии `GIGACHAT_CERT_PATH`, если в `.env` прописать `GIGACHAT_VERIFY_SSL_CERTS=false`.
+
+## Готовность задачи
+
+- Новая переменная окружения задокументирована.
+- При `GIGACHAT_VERIFY_SSL_CERTS=false` приложение не требует файл `russian_trusted_root_ca.cer`, не падает при его отсутствии и логирует предупреждение.
+- При значении `true` поведение остаётся прежним: без сертификата появляется понятная ошибка.