К сожалению, российские чиновники считают, что любой вопрос можно решить либо с помощью грубой силы, чем они постоянно занимаются, либо с помощью большого количества денег, чем они также часто увлекаются. Но реальный мир устроен иначе. Мир на планете Земля устроен не так, как он виден глазами типичного российского чиновника. В данной небольшой заметке мы раскроем ответ на вопрос, почему «российские» сертификаты для веб-сайтов сети Интернет не работают в реальном мире и почему всё это является обманом.
Во-первых, напомним о том, что с некоторых пор российские власти начали продвигать идею независимости от глобального сообщества, «суверенитета» и всего такого … На сайте «ГосУслуги» доступны некие сертификаты безопасности, SSL сертификаты, если говорить точно, использующиеся для проверки соединений с некоторыми веб-сайтами российского сегмента сети Интернет. Эти сертификаты доступны на следующей странице:
https://www.gosuslugi.ru/crt
После установки этих сертификатов в операционную систему Microsoft Windows cоздаётся ощущение надёжности и независимости, но это ощущение является ложным, поскольку работа сертификатов является на самом деле обманом, и здесь мы докажем, почему так происходит.
Во-первых, при правильно установленных сертификатах «МинЦифры» все интернет-браузеры в системе постоянно сообщают о том, что соединение с российскими веб-сайтами, использующими сертификаты, подписанные корневым сертификатом «МинЦифры», небезопасно. Одно только название «МинЦифры» вызывает отторжение. Министерство цифры ? Это вообще что за название такое ? Ладно, попробуем изучить всё это.
Все доступные браузеры говорят о том, что при проверке сертификатов сайтов происходит ошибка. Мы решили копнуть глубже и докопаться до истины. Предупреждаем: сокровище, найденное внизу, приведёт вас в шок.
Для проверки и доказательства мы приводим сюда скриншоты попытки открытия веб сайта – Портал пространственных данных "Национальная система пространственных данных", расположенного по адресу https://nspd.gov.ru
Заметим, что браузеры Firefox известны своей любовью к защищённости и используют своё собственное хранилище доверенных сертификатов, не зависимое от операционной системы компьютера. Все нужные сертификаты Министерства Цифры были дополнительно установлены в браузер Firefox перед проведением тестов.
Скриншотов из браузера Google Chrome и других мы не будем приводить, потому что нам жалко своё и ваше время.
Достаём лопату и копаем яму
Если копнуть глубже, то окажется, что корневые сертификаты Министерства Цифры являются не доверенными, поскольку они являются само-подписными. Что это означает ? Это означает, что Министерство Цифры, ни с кем не договариваясь, решило сделать независимые сертификаты, которым никто, кроме них самих, не доверяет. Естественно, такие сертификаты не проходят никаких проверок безопасности. Сертификаты веб-сайтов, подписанные с помощью корневых сертификатов МинЦифры также не проходят никаких проверок безопасности по той же причине – они подписаны с помощью корневого сертификата, которому никто кроме этого сертификата не доверяет.
Если вы до сих пор не поняли смысла, то делаем пояснение. В сетевой безопасности существует такое явление, как цепочка доверия. Существует сообщество людей, которые договорились, кому можно доверять. Существуют специальные органы, которые занимаются поддержанием инфраструктуры, которая хранит сертификаты безопасности, которым можно доверять, и случайные люди с улицы не могут просто так попасть туда. Любой Петя или Вася с улицы не может сам объявить себя центром сертификации (CA, Certificate Authority) и начать выпускать подписанные им сертификаты для веб сайтов глобальной сети Интернет.
Именно на этом принципе построена безопасность в Интернете. Повторяем простыми словами. Для того, чтобы стать CA (Certificate Authority) в, подчёркиваем, глобальной компьютерной сети Интернет и начать выпускать подписанные тобой сертификаты, сначала нужно получить доверие от участников этой самой глобальной сети Интернет ! Этот принцип является базовым и фундаментальным принципом, на котором строится безопасность почти любой современной информационной системы. Просто так объявить себя царём горы никто не позволит.
А теперь смотрите, что мы узнаём с помощью Open-Source инструмента OpenSSL.
echo | openssl s_client -connect nspd.gov.ru:443 -CAstore org.openssl.winstore://
Эта команда соединяется с сервером (сайтом) nspd.gov.ru по протоколу HTTPS и проверяет его SSL сертификат, учитывая доверенные корневые сертификаты, установленные в О.С. Microsoft Windows.
Важные части из полученных результатов мы отобразили на двух скриншотах консоли Command Prompt. Можно листать изображения вправо и влево с помощью мышки.
Продублируем ответ текстом.
echo | openssl s_client -connect nspd.gov.ru:443 -CAstore org.openssl.winstore://Connecting to 2.63.246.74
CONNECTED(00000218)
depth=2 C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Root CA
verify error:num=19:self-signed certificate in certificate chain
verify return:1
depth=2 C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Root CA
verify return:1
depth=1 C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Sub CA
verify return:1
depth=0 C=RU, ST=Moscow, L=Moscow, O=Rosreestr, OU=UIB, CN=*.nspd.gov.ru
verify return:1
---
Certificate chain
0 s:C=RU, ST=Moscow, L=Moscow, O=Rosreestr, OU=UIB, CN=*.nspd.gov.ru
i:C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Sub CA
a:PKEY: RSA, 2048 (bit); sigalg: sha256WithRSAEncryption
v:NotBefore: Jan 28 08:17:25 2025 GMT; NotAfter: Jan 28 08:17:25 2026 GMT
1 s:C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Sub CA
i:C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Root CA
a:PKEY: RSA, 4096 (bit); sigalg: sha256WithRSAEncryption
v:NotBefore: Mar 2 11:25:19 2022 GMT; NotAfter: Mar 6 11:25:19 2027 GMT
2 s:C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Root CA
i:C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Root CA
a:PKEY: RSA, 4096 (bit); sigalg: sha256WithRSAEncryption
v:NotBefore: Mar 1 21:04:15 2022 GMT; NotAfter: Feb 27 21:04:15 2032 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----
….<здесь написано много символов, публичный сертификат>…
-----END CERTIFICATE-----
subject=C=RU, ST=Moscow, L=Moscow, O=Rosreestr, OU=UIB, CN=*.nspd.gov.ru
issuer=C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Sub CA
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: rsa_pss_rsae_sha256
Peer Temp Key: X25519, 253 bits
---
SSL handshake has read 6038 bytes and written 1635 bytes
Verification error: self-signed certificate in certificate chain
---
New, TLSv1.2, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Protocol: TLSv1.2
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: 83AEE24AA5D9A7D20AB9F0F4AE05228ECD98838A955BFD8FA6D1CE412DFFE68B
Session-ID-ctx:
Master-Key: BBE43FAB217D172B115519A4E6D5891D1733754D2F98B8FB19D1D212DBCEE3E13FFF708506DA342F5BA6EDE8EF99CA30
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 25 8b 86 31 47 82 ee 79-2e e5 10 ab ff 81 ab d7 %..1G..y........
0010 - ed fb 67 2d eb a3 3d 80-9a 7c 62 18 68 b3 44 17 ..g-..=..|b.h.D.
0020 - 30 96 55 fa eb 8b ff 43-61 91 6f 44 ac 02 65 d1 0.U....Ca.oD..e.
0030 - 9b 4d ee f8 bd ca 12 59-90 cf 24 f7 b1 75 41 5c .M.....Y..$..uA\
0040 - ee 91 b5 3d e5 b0 94 c5-21 dc b6 18 2d bb 2d 59 ...=....!...-.-Y
0050 - 2c bb b9 56 46 a9 51 44-c6 b5 b8 43 30 42 73 01 ,..VF.QD...C0Bs.
0060 - cb ee 86 12 07 d4 30 19-aa 31 7b f4 b1 ae 92 b6 ......0..1{.....
0070 - d9 bb 8e 9e fc 4c f3 92-13 5f 8b 75 0d ec c0 f8 .....L..._.u....
0080 - 46 37 ea 8a 7c c2 9e 1d-90 6c 24 3d 39 40 a7 b6 F7..|....l$=9@..
0090 - 1c 00 1c f2 07 62 15 e7-a5 0c 67 17 4d a7 8b 50 .....b....g.M..P
00a0 - e1 bd 1d f8 3c 1e 1a e5-1f 11 5c 04 62 ff 18 9a ....<.....\.b...
00b0 - 51 5d f4 04 f1 a7 e9 4b-6d 1f ac 43 b4 38 d8 ce Q].....Km..C.8..
Start Time: 1763695012
Timeout : 7200 (sec)
Verify return code: 19 (self-signed certificate in certificate chain)
Extended master secret: yes
---
HTTP/1.1 400 Bad Request
Server: nginx
Date: Fri, 21 Nov 2025 03:16:54 GMT
Content-Type: text/html
Content-Length: 150
Connection: close
<дальнейший текст не важен>
Если посмотреть на вывод внимательно, то мы находим ошибку у корневого сертификата.
depth=2 C=RU, O=The Ministry of Digital Development and Communications, CN=Russian Trusted Root CA
verify error:num=19:self-signed certificate in certificate chain
Ошибка говорит нам о том, что этому сертификату нельзя доверять, потому что он является само-подписным. Это означает, что глобальное сообщество сети Интернет не доверяет этому сертификату, поскольку он не входит в цепочку доверия, потому что он в прямом смысле является самозванцем, как бы смешно это ни звучало. Повторяем, никто в глобальном сообществе не доверяет самозванцам, как бы громко они ни рекламировали свои средства обхода глобальной цепочки безопасности в сети Интернет, предлагая ничего не понимающим баранам и овцам «Яндекс.Браузер», в котором разработчики положили большой, толстый и волосатый член на вопросы безопасности в глобальной сети Интернет. Хотите стать царём горы в песочнице – пожалуйста, на здоровье, но только в планетарном обществе людей это никому не интересно. Хотите участвовать в мировом Интернете ? Тогда заслужите доверие.
А теперь, внимание, вопрос. А как же тогда этот вопросы был решён на других российских веб сайтах, которые имеют значимость федерального уровня ?
ГосУслуги
echo | openssl s_client -connect gosuslugi.ru:443 -CAstore org.openssl.winstore://
Проверим SSL сертификат веб сайта ГосУслуги.
Продублируем часть ответа текстом.
echo | openssl s_client -connect gosuslugi.ru:443 -CAstore org.openssl.winstore://
Connecting to 213.59.254.7
CONNECTED(00000218)
depth=2 OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign
verify return:1
depth=1 C=BE, O=GlobalSign nv-sa, CN=GlobalSign GCC R3 DV TLS CA 2020
verify return:1
depth=0 CN=*.gosuslugi.ru
verify return:1
---
Certificate chain
0 s:CN=*.gosuslugi.ru
i:C=BE, O=GlobalSign nv-sa, CN=GlobalSign GCC R3 DV TLS CA 2020
a:PKEY: RSA, 2048 (bit); sigalg: sha256WithRSAEncryption
v:NotBefore: Nov 11 11:42:01 2025 GMT; NotAfter: Dec 12 14:20:04 2026 GMT
1 s:C=BE, O=GlobalSign nv-sa, CN=GlobalSign GCC R3 DV TLS CA 2020
i:OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign
a:PKEY: RSA, 2048 (bit); sigalg: sha256WithRSAEncryption
v:NotBefore: Jul 28 00:00:00 2020 GMT; NotAfter: Mar 18 00:00:00 2029 GMT
2 s:OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign
i:OU=GlobalSign Root CA - R3, O=GlobalSign, CN=GlobalSign
a:PKEY: RSA, 2048 (bit); sigalg: sha256WithRSAEncryption
v:NotBefore: Mar 18 10:00:00 2009 GMT; NotAfter: Mar 18 10:00:00 2029 GMT
---
Server certificate
-----BEGIN CERTIFICATE-----
…
-----END CERTIFICATE-----
subject=CN=*.gosuslugi.ru
issuer=C=BE, O=GlobalSign nv-sa, CN=GlobalSign GCC R3 DV TLS CA 2020
---
No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: rsa_pss_rsae_sha256
Peer Temp Key: X25519, 253 bits
---
SSL handshake has read 4240 bytes and written 1607 bytes
Verification: OK
---
New, TLSv1.3, Cipher is TLS_AES_128_GCM_SHA256
Protocol: TLSv1.3
Server public key is 2048 bit
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
Сервер сайта ГосУслуги использует SSL сертификат, выданный не Министерством Цифры, а подписанный частной компанией GlobalSign из государства Бельгия.
СберБанк Онлайн
Теперь посмотрим на сертификат самого крупного коммерческого банка страны – сайта СберБанк-Онлайн.
echo | openssl s_client -connect online.sberbank.ru:443 -CAstore org.openssl.winstore://
Сертификат СберБанка подписан некоей организацией Hellenic Academic and Research Institutions из государства Греция. Он выдаёт ошибку, но веб браузеры игнорируют её. Почему так происходит ? Сертификаты организации Hellenic Academic and Research Institutions входят в программу Microsoft Trusted Root Certificate Programme Store и встроены во все современные веб браузеры для операционных систем Windows 10 и Windows 11.
Судя по всему, руководители СберБанка подсуетились и каким-то образом всё-таки купили у греческой компании подписанный ими сертификат. Иначе, вся Россия осталась бы без СберБанка в Интернете … Но опять же. Здесь нет российских сертификатов, так громко рекламируемых по зомбоящику. Российские сертификаты работают только в «Яндекс.Браузере» и больше нигде ! Никто из глобального сообщества человеков планеты Земля не доверяет им.
Следовательно, все громкие заявления российских чиновников о якобы «суверенитете» и «независимости» являются не более, чем рекламой и пусканием пыли в глаза.
Теперь вы знаете горькую правду.