Отзыв сертификатов
Один из крупнейших центров сертификации в мире начал отзывать secure sockets layer (SSL)-сертификатов у российских компаний, пишет РБК. Под зачистку уже попало 15-20 тыс. доменов — и это только начало, предупреждают эксперты, грядет массовая волна ИТ-сбоев у веб-сайтов.
SSL-сертификат — это электронный паспорт веб-ресурса, который содержит информацию о нем и открытый ключ, используемый для шифрования обмена данными с его посетителем. Благодаря ему данные между пользователем и сайтом передаются в зашифрованном виде, что защищает от перехвата, подмены и слежки. Сертификат содержит информацию о владельце домена, срок его действия, имя центра сертификации (CA), а также открытый ключ, необходимый для шифрования. При открытии же веб-ресурса, браузер проверяет этот документ: если он выдан доверенным центром и не просрочен, соединение считается безопасным для пользователей.
В июне 2026 г. японская компания GlobalSign, один из крупнейших мировых центров сертификации, начала принудительный отзыв SSL-сертификатов у российских компаний, об этом говорится в письме генерального директора российского юридического лица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова, направленном партнерам компании в России.
В письме Рыжикова, с которым ознакомились журналисты РБК, говорится о том, что решение о принудительном отзыве SSL-сертификатов связано с новыми требованиями Международного консорциума CA/Browser Forum. В 2026 г. консорциум объединяет крупнейшие мировые центры сертификации и ИТ-разработчиков браузеров, включая Google, Apple, Microsoft и Mozilla. Новые же правила с июнея 2026 г. обязывают участников строго соблюдать международные санкции при выдаче и обслуживании цифровых сертификатов.
GlobalSign была основана в Бельгии в 1996 г. и позднее вошла в состав японского холдинга GMO Internet Group. Доля GlobalSign на российском рынке не превышает 5%. После вступления в силу новых требований Международного консорциума CA/Browser Forum компания провела проверку выданных сертификатов и начала их принудительный отзыв у некоторых российских клиентов.
По данным другого собеседника РБК, в списке на отзыв сертификатов находится около 15-20 тыс. доменов второго уровня — то есть основных адресов сайтов, но под каждым таким доменом могут находиться сотни или тысячи поддоменов третьего и следующих уровней, каждый из которых тоже защищен отдельным SSL-сертификатом. «Поэтому реальное количество сертификатов, оказавшихся под угрозой отзыва, может измеряться сотнями тысяч или даже миллионами — особенно если в списке окажутся домены крупных банков, государственных структур и технологических платформ с разветвленной сетью поддоменов», — говорит он.
Санкции против России
С 4 мая 2026 г. вступили в силу изменения правил Международного консорциума CA/Browser Forum. Они запрещают удостоверяющим центрам выдавать и обслуживать SSL-сертификаты организациям, включенным в санкционные списки, в частности Управление по контролю за иностранными активами — подразделение Министерства финансов США, specially designated nationals (SDN) и Denied Persons List (DPL), а также их европейские аналоги. SDN и DPL — это списки, в которых включены лица, организации и даже страны, на которые наложены различного рода ограничения. Проверка по указанным санкционным перечням теперь стала обязательной для всех центров сертификации.
В связи с этим GlobalSign приступила к поэтапному отзыву SSL-сертификатов ряда российских компаний. При этом российское подразделение компании не обладает ни правовыми, ни техническими возможностями повлиять на решения Международного консорциума CA/Browser Forum. Процесс отзыва сертификатов начался 13 июня 2026 г. в 4:10 по Москве. 14 июня 2026 г. «Т-Банк» направил клиентам SMS-уведомления о возможных проблемах с доступом к российским сайтам и приложениям в связи с санкционными ограничениями.
Серьезные риски
Генеральный директор и основатель хостинг-провайдера RUVDS Никита Цаплин назвал РБК происходящее «серьезным инфраструктурным риском», но «ожидаемым для рынка».
«Мы наблюдаем финальный этап ухода международных удостоверяющих центров из России. Для компаний средней руки, которые до последнего держались за зарубежные сертификаты ради глобальной совместимости, это может обернуться экстренной миграцией и операционными ИТ-сбоями», — рассуждает он.
Наиболее уязвимы, по его словам, мобильные приложения с сertificate pinning т.е. закреплением конкретного сертификата или WebView т.е. со встроенным браузерным ИТ-компонентом. «Без срочного выпуска обновлений они полностью потеряют связь с серверами, а оперативно провести апдейт через зарубежные маркетплейсы в инюе 2026 г. крайне затруднительно», — говорит Цаплин.
Альтернатива есть
Представитель Министерства цифрового развития, связи и массовых коммуникаций (Минцифры) России сообщил РБК, что в случае отзыва иностранного SSL-сертификата сайты могут быть временно недоступны до момента получения нового сертификата.
Собеседник напомнил, что с 2021 г. в России функционирует Национальный удостоверяющий центр Минцифры. После массового отзыва иностранных сертификатов в марте 2022 г. в стране была запущена бесплатная выдача отечественных transport layer security (TLS)-сертификатов через портал «Госуслуги». Эти сертификаты в 2026 г. обеспечивают шифрование данных, подтверждение подлинности сайта и защиту транзакций.
Поделиться
