Добавить в корзинуПозвонить
Найти в Дзене
Aff1.ru - партнерские программы и digital-маркетинг
878 подписчиков

Зачем Роскомнадзор и Минцифры раздают свои сертификаты: реальная цена «стабильной связи»

130
5 мин
В 2025–2026 годах миллионы россиян начали получать настойчивые push-уведомления от Сбера, Тинькоффа, ВТБ, Госуслуг и даже некоторых мессенджеров: «Для стабильной работы сервиса установите сертификат Минцифры». Многие ставили — и действительно, приложения банков переставали ругаться, Госуслуги открывались без ошибок, а Telega продолжала «летать» даже во время очередных замедлений Telegram. Казалось бы, удобство и забота о пользователях. Но за этой «стабильностью» стоит фундаментальное изменение архитектуры доверия в российском интернете. Теперь государство (точнее, контролируемый им Национальный удостоверяющий центр) получает техническую возможность читать значительную часть вашего HTTPS-трафика. Практически незаметно для обычного пользователя. Мы уже разбирали, как Telega позиционируется «стабильным аналогом Telegram» и какие риски несёт: Разоблачение мессенджера Telega: что скрывается за «стабильным аналогом Telegram» Сегодня копнём гораздо глубже — в инфраструктуру, которая делает т
Оглавление

В 2025–2026 годах миллионы россиян начали получать настойчивые push-уведомления от Сбера, Тинькоффа, ВТБ, Госуслуг и даже некоторых мессенджеров: «Для стабильной работы сервиса установите сертификат Минцифры».

-2

Многие ставили — и действительно, приложения банков переставали ругаться, Госуслуги открывались без ошибок, а Telega продолжала «летать» даже во время очередных замедлений Telegram.

Казалось бы, удобство и забота о пользователях. Но за этой «стабильностью» стоит фундаментальное изменение архитектуры доверия в российском интернете. Теперь государство (точнее, контролируемый им Национальный удостоверяющий центр) получает техническую возможность читать значительную часть вашего HTTPS-трафика. Практически незаметно для обычного пользователя.

Мы уже разбирали, как Telega позиционируется «стабильным аналогом Telegram» и какие риски несёт:

Разоблачение мессенджера Telega: что скрывается за «стабильным аналогом Telegram»

Сегодня копнём гораздо глубже — в инфраструктуру, которая делает такие «патриотические» сервисы возможными и выгодными для государства.

Что такое сертификаты Минцифры и как они технически работают

Начнём с основ. Обычный HTTPS построен на TLS-протоколе. Когда браузер или приложение соединяется с сайтом, происходит handshake: сервер предъявляет TLS-сертификат, подписанный удостоверяющим центром (Certificate Authority, CA). Ваша ОС или браузер проверяет цепочку доверия до корневого сертификата, которому она доверяет из коробки.

С 2022 года иностранные CA (DigiCert, Let’s Encrypt, Sectigo и другие) начали массово отзывать или отказываться продлевать сертификаты российским организациям из-за санкций. Ответ Минцифры — создание Национального удостоверяющего центра (НУЦ) и двух ключевых сертификатов:

  • Russian Trusted Root CA — корневой (root) сертификат.
  • Russian Trusted Sub CA — выпускающий (intermediate/sub) сертификат.

Эти сертификаты уже предустановлены в Яндекс.Браузере и «Атоме». На других устройствах их нужно устанавливать вручную: через сайты Госуслуг, банков или напрямую скачивая .cer-файлы.

Как это выглядит на практике:

  • Скачиваете файл Russian Trusted Root CA.cer.
  • Устанавливаете в системное хранилище доверенных сертификатов.
  • Теперь устройство доверяет всем сертификатам, которые подпишет НУЦ.

Технически это стандартная практика. Проблема только в том, кто именно контролирует приватный ключ корневого сертификата.

Официальная версия: стабильность, безопасность и суверенитет

Минцифры и банки объясняют всё просто и патриотично:

  • Защита от отзывов зарубежных сертификатов.
  • Борьба с фишингом и мошенничеством.
  • Обеспечение работы критической инфраструктуры при санкциях и возможном отключении от глобального интернета.
  • «Добровольная» мера, которая на деле становится почти обязательной — без сертификата приложения начинают глючить, сайты показывают ошибки.

Роскомнадзор играет роль «регулятора устойчивости». Он проводит регулярные учения по изоляции Рунета, требует от провайдеров поддержки DPI и «белых списков», а с марта 2026 года по постановлению правительства №1667 получает расширенные полномочия по централизованному управлению сетью при «угрозах».

К 2026 году десятки крупных сервисов перешли на российские сертификаты полностью. Это подаётся как успех цифрового суверенитета.

Реальная цена «стабильной связи»: MITM на государственном уровне

Теперь главное. Когда Russian Trusted Root CA установлен в доверенное хранилище, ваше устройство готово принять любой сертификат, подписанный этим корнем.

Это открывает дверь для Man-in-the-Middle (MITM) атаки на государственном уровне:

  1. Ваш запрос к любому сайту (google.com, telegram.org, bank.com) перехватывается на уровне провайдера или DPI-системы РКН.
  2. Вместо оригинального сертификата вам выдаётся поддельный, подписанный Russian Trusted Sub CA.
  3. Трафик расшифровывается, читается, логируется или модифицируется.
  4. Ответ отправляется дальше — вы видите зелёный замок и думаете, что всё безопасно.

Эксперты (включая EFF, Habr и независимых аналитиков) давно предупреждают: ключи НУЦ с высокой вероятностью доступны спецслужбам. Аналогичные схемы уже применялись в Казахстане и других странах.

Особенно опасно в связке с другими инструментами:

  • DPI Роскомнадзора (глубокая инспекция пакетов).
  • Национальной системой доменных имён (НСДИ).
  • «Патриотическими» приложениями.

Конкретно про Telega. По результатам независимых разборов (включая Habr), в приложении найден вшитый сертификат Russian Trusted Root CA. Разработчики удалили Certificate Pinning (жёсткую привязку к оригинальным сертификатам Telegram) и проверку цепочки.

В сочетании с подменой дата-центров это позволяет реализовывать полноценный MITM для трафика пользователей. Именно поэтому Telega «стабильно работает», когда оригинальный клиент замедляется.

Кто уже попал под раздачу и что ждёт в 2026–2027 годах

Сертификаты активно продвигают:

  • Все крупные банки.
  • Госуслуги и связанные сервисы.
  • VK-экосистему.
  • Приложения из реестра отечественного ПО.
  • Многие российские мессенджеры и клиенты.

Прогноз на ближайшие годы:

  • Обязательность для большинства .ru-сайтов.
  • Интеграция с «белыми списками» при частичном отключении интернета.
  • Давление на иностранные браузеры и ОС.
  • Распространение требования на все мобильные приложения, включая «альтернативные» Telegram-клиенты.
  • Возможность тотального MITM даже для иностранных сервисов через российскую инфраструктуру.

В итоге установленный сертификат создаёт постоянную потенциальную брешь для всего вашего трафика, даже если вы редко заходите на российские сайты.

Как проверить и что делать обычному пользователю (практическая инструкция)

Проверка наличия сертификата:

  • Windows: certmgr.msc → «Доверенные корневые центры сертификации» → поиск Russian Trusted Root CA.
  • Android: Настройки → Безопасность → Сертификаты / Учётные данные → Пользовательские.
  • iOS: Настройки → Основные → VPN и управление устройством / Доверие сертификатам.
  • Быстрая проверка: сайт Сбера или Госуслуг с проверкой сертификатов.

Что делать:

  1. Не устанавливайте в основное системное хранилище, если возможно. Используйте отдельный браузер/профиль или виртуальную машину для банков и госуслуг.
  2. Избегайте «российских» клиентов Telegram без открытого аудита. Оригинальный клиент безопаснее, даже при замедлениях.
  3. Регулярно проверяйте цепочку сертификатов на важных сайтах (DevTools в браузере).
  4. Рассмотрите ОС и браузеры без предустановленных российских сертификатов.

Вместо заключения

«Стабильная связь» — это не бесплатный бонус от государства. Это осознанный компромисс: удобство и доступ к сервисам в обмен на возможность тотального контроля над трафиком. Логика точно такая же, как в Китае («Великий файрвол») или Иране — начиналось с «доверенных сертификатов» и «защиты от внешних угроз», закончилось полным цифровым контролем.

Проверяйте свои устройства прямо сейчас. Выбирайте инструменты осознанно.