GlobalSign отозвал сертификаты у 15–20 тысяч доменов. Браузеры начнут блокировать сайты уже с предупреждения «Соединение не защищено»
Японский центр сертификации GlobalSign с 13 июня 2026 года начал принудительный отзыв SSL-сертификатов у российских компаний из-за новых требований CA/Browser Forum, обязывающих проверять организации на соответствие санкционным спискам ЕС и США. Под угрозой отзыва, по оценкам участников рынка, могут находиться сотни тысяч доменов и поддоменов, сообщают «РБК» и «Коммерсантъ».
История вопроса:
Утром 13 июня GlobalSign, второй в мире центр сертификации по количеству действующих сертификатов, запустил процедуру отзыва цифровых «паспортов» у российских ресурсов. В письме гендиректора российского юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова партнерам говорится, что международный консорциум CA/Browser Forum утвердил обновленные регламенты, которые напрямую подразумевают исполнение санкционных ограничений. Российское представительство компании не имеет правовых или технических рычагов повлиять на решение консорциума. Отзыв начался в 4:10 по московскому времени и будет проходить поэтапно.
Причиной послужил документ CA/Browser Forum, вступивший в силу 4 мая. Он обязывает удостоверяющие центры проверять организации по санкционным спискам OFAC SDN List, BIS Denied Persons List и их европейским аналогам. GlobalSign основана в Бельгии, позже продана японскому холдингу GMO Internet Group и поэтому обязана соблюдать санкции ЕС. Проведя аудит портфеля, компания начала отзыв сертификатов у клиентов из России.
Масштаб проблемы оценивается по-разному. В Минцифры заявили, что доля GlobalSign в Рунете не превышает 5%. Однако замгендиректора Astra Cloud Константин Анисимов привел другие цифры: в коммерческом сегменте западных сертификатов GlobalSign занимает в России около 90% рынка. Директор технического департамента RTM Group Федор Музалевский говорит, что значительная доля коммерческих сайтов – порядка 80–90% – использует сертификаты GlobalSign. По данным собеседника РБК, в списке на отзыв находится 15–20 тыс. доменов второго уровня, но каждый такой домен может включать сотни или тысячи поддоменов третьего уровня. Реальное количество сертификатов под угрозой, по его оценке, может достигать сотен тысяч или даже миллионов.
Последствия для пользователей будут заметны сразу. Независимый эксперт рынка информационной безопасности Алексей Лукацкий пояснил, что браузеры Chrome, Safari и Firefox либо выдадут предупреждающую плашку, либо полностью заблокируют доступ к ресурсу. Гендиректор Timeweb Андрей Баширов добавил, что при открытии сайта появится красное предупреждение «Соединение не защищено» или аналогичное, а многие браузеры и корпоративные сервисы могут полностью блокировать доступ.
Уязвимы не только сайты. Лукацкий обратил внимание, что GlobalSign также выдает сертификаты для подписи программного кода. Без них разработчики не могут установить приложение на Windows, macOS или iOS. Если российские компании не найдут альтернатив, они потеряют возможность легально распространять софт без создания фирм-прокладок за рубежом. Гендиректор и основатель хостинг-провайдера RUVDS Никита Цаплин назвал наиболее уязвимыми мобильные приложения с Certificate Pinning («закреплением» сертификата) или WebView. Без срочного выпуска обновлений они полностью потеряют связь с серверами, а оперативно провести апдейт через зарубежные маркетплейсы крайне затруднительно.
Для бизнеса, особенно для компаний средней руки, это серьезный инфраструктурный риск. Цаплин отметил, что единого решения сегодня нет. Сертификаты Минцифры не признаются зарубежными браузерами. Переход на центры из Китая или СНГ кратно дороже и не страхует от аналогичных отзывов. Использование Let's Encrypt через зарубежные прокси-серверы несет высокие регуляторные риски. Главным итогом станет окончательное исчезновение бесшовного Рунета: бизнесу придется разделить инфраструктуру на внутренний и внешний контуры либо смириться с блокировками для части аудитории.
Минцифры уже предложило механизм замещения. Ведомство сообщило, что юрлица смогут получить отечественный TLS-сертификат через «Госуслуги». В худшем случае сайты и онлайн-сервисы будут недоступны непродолжительное время, пока владельцы получают новые сертификаты. В России с 2021 года работает Национальный удостоверяющий центр, который с марта 2022 года начал безвозмездно выдавать аналоги.
Гендиректор разработчика «Красный Дельфин» Александр Федулов считает, что проблему можно решить перевыпуском сертификатов у других поставщиков, например у Let's Encrypt. В большинстве случаев пользователи не заметят изменений. Но, по его словам, тенденция понятна: инфраструктура становится все менее нейтральной и сильнее зависит от санкционных факторов. Компаниям важно снижать зависимость от отдельных зарубежных сервисов и заранее прорабатывать резервные сценарии.
Впрочем, отзыв сертификатов, по мнению Лукацкого, не последний. Под санкциями или под будущими пакетами европейских санкций находится большое количество крупных игроков российской экономики. Часть компаний – Россельхозбанк, Т-банк – заранее предупредили клиентов о возможных перебоях. Реальный масштаб последствий станет понятен ближе к концу лета. Для небольших негосударственных компаний и физических лиц событие большого значения не имеет, изменится лишь срок выпуска новых сертификатов из-за более жесткой санкционной проверки.
Управляющий партнер «ТМТ Консалтинг» Константин Анкилов отметил, что целостность интернета дает трещину. Формируются две инфраструктуры: одна для российских пользователей, другая для тех, кто продолжает использовать зарубежные решения.
Собеседник РБК на рынке информационной безопасности предложил экстренную временную меру – блокировку доступа к OCSP-серверам, через которые браузер проверяет статус сертификата. При проверке будет возникать ошибка о невозможности проверить отзыв, что даст отсрочку для поиска решения.
Напомним, в апреле 2026 года Евросоюз включил порты Мурманска и Туапсе, а также индонезийский терминал Каримун в 20-й пакет санкций, одновременно ужесточив ограничения для «теневого флота» российских танкеров СПГ и запретив транзакции с 20 российскими банками. LR