Один из крупнейших глобальных центров сертификации начал отзывать сертификаты безопасности российских сайтов. Под угрозой до 20 тыс. сайтов, говорят эксперты: зарубежные браузеры могут признать их небезопасными

Японский GlobalSign — один из крупнейших центров сертификации в мире — утром 13 июня начал процедуру принудительного отзыва ранее выпущенных SSL-сертификатов у компаний из России. Об этом говорится в письме гендиректора российского юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова в адрес партнеров компании в стране, рассказал РБК источник, знакомый с содержанием письма, и подтвердили четыре собеседника на рынке хостинг-провайдеров.

SSL-сертификат — это цифровой «паспорт» сайта, подтверждает подлинность сайта, гарантируя, что пользователь подключился именно к тому ресурсу, к которому хотел, а не к поддельному, и шифрует трафик между браузером и сервером, делая его недоступным для перехвата (именно он отвечает за значок замка в адресной строке и протокол HTTPS). Без действующего сертификата зарубежные браузеры — Google Chrome, Safari, Firefox — отказываются открывать сайт или выводят предупреждение о небезопасном соединении (отзывая сертификат, центр вносит его серийный номер в специальный публичный список Certificate Revocation List, который браузеры проверяют при каждом подключении к сайту и, если сертификат найден в списке, блокируют соединение).

В письме Рыжикова говорится, что Международный консорциум CA/Browser Forum (глобальный регулятор, в который входят все крупнейшие центры сертификации мира и разработчики браузеров — Google, Apple, Microsoft, Mozilla — и который устанавливает единые правила выпуска и отзыва цифровых сертификатов) утвердил обновленные требования к проверке организаций. «К нашему глубокому сожалению, текущие жесткие регламенты этого консорциума напрямую подразумевают исполнение международных санкционных ограничений, — указано в письме. — В связи с этим глобальный удостоверяющий центр начал процедуру принудительного отзыва части ранее выпущенных сертификатов для компаний из России». «Джи-Эм-О Глобал Сайн Раша», как пишет Рыжиков, «не имеет правовых или технических рычагов влияния на решения данного консорциума». Отзыв будет проходить поэтапно начиная с 13 июня в 02:10 по британскому летнему времени (04:10 мск).

Нравится РБК? Главные новости дня, эксклюзивы и аналитика ждут вас:
на радио
в подписке
в Max
в Telegram
в приложениях для Android или iOS

В опубликованном на сайте CA/Browser Forum документе, который вступил в силу 4 мая, содержится прямой запрет для удостоверяющих центров выдавать сертификаты компаниям из санкционных списков — проверка по OFAC SDN List, BIS Denied Persons List и их европейским аналогам стала не рекомендательной, а обязательной. GlobalSign была основана в 1996 году в Бельгии, а позже продана японскому холдингу GMO Internet Group, поэтому обязана соблюдать санкционные ограничения ЕС. После вступления новых правил компания провела аудит портфеля и 13 июня начала принудительный отзыв сертификатов у российских клиентов.

В 10:00 13 июня Т-банк разослал части своих клиентов СМС, в которых предупредил, что из-за санкций у некоторых российских сайтов или приложений могут быть проблемы со входом, рассказал РБК клиент банка, получивший такое сообщение. РСХБ, в свою очередь, предупредил, что старая версия приложения на Android может работать с ошибками.

РБК направил запрос в GlobalSign. Связаться с Дмитрием Рыжиковым не удалось.

Представитель Минцифры сообщил РБК, что при отзыве иностранного сертификата «в худшем случае сайты и онлайн-сервисы, у которых они отзываются, могут быть недоступны непродолжительное время, пока владельцы получают новые сертификаты». «При этом, по данным открытых источников, доля Globalsign в Рунете не превышает 5%», — дополнил он, напомнив, что в России с 2021 года работает Национальный удостоверяющий центр Минцифры. «Когда в марте 2022 года иностранные компании, выдававшие сертификаты безопасности, стали отзывать их, в России начали безвозмездно выдавать качественные аналоги — отечественные TLS-сертификаты. Юрлица, владеющие сайтами, могут получить их бесплатно на «Госуслугах». Сертификат помогает передавать данные в зашифрованном виде, подтверждать подлинность сайта и защищает онлайн-транзакции», — отметил он.

В мире GlobalSign занимает второе место в мире по количеству действующих сертификатов с долей 20,4%, уступая только некоммерческому Let's Encrypt (68,2%), который выдает сертификаты бесплатно, следует из данных аналитического сервиса W3Techs на июнь 2026 года. Среди коммерческих центров сертификации GlobalSign — крупнейший.

GlobalSign был единственным международным центром, открывшим свое представительство в России еще в 2013-м. Спустя два года «Джи-ЭМ-о Глобал Сайн Раша» заняла уже более 10% российского рынка, а в 2017-м аналитики Netcraft назвали GlobalSign лидером по объему продаж SSL-сертификатов в России. После того как в марте 2022 года международные центры сертификации Sectigo (бывший Comodo), DigiCert, Thawte, GeoTrust и RapidSSL прекратили выпуск сертификатов для российских доменов.RU,.РФ,.SU, а также белорусского.BY, GlobalSign остался единственным крупным коммерческим центром сертификации в мире, продолжавшим полноценную работу с российскими клиентами, рассказал один из собеседников РБК.

Какие последствия

Замгендиректора Astra Cloud Константин Анисимов в разговоре с РБК заявил, что в коммерческом сегменте западных сертификатов Globalsign занимает в России порядка 90% рынка, среди бесплатных сертификатов лидирует Let's Encrypt, а госсектор использует сертификаты Минцифры.

Отзыв сертификата означает, что браузеры и системы будут считать его недействительным, говорит гендиректор Timeweb Андрей Баширов. При открытии сайта, по его словам, появится красное предупреждение «Соединение не защищено» или аналогичное. «В Chrome/Firefox/Safari/Edge большинство пользователей увидят блокировку или предупреждение о небезопасности. Многие браузеры и сервисы, включая корпоративные, могут полностью блокировать доступ», — пояснил он.

По данным еще одного собеседника РБК, в списке на отзыв сертификатов находится порядка 15–20 тыс. доменов второго уровня — то есть основных адресов сайтов, но под каждым таким доменом могут находиться сотни или тысячи поддоменов третьего и следующих уровней, каждый из которых тоже защищен отдельным SSL-сертификатом. «Поэтому реальное количество сертификатов, оказавшихся под угрозой отзыва, может измеряться сотнями тысяч или даже миллионами — особенно если в списке окажутся домены крупных банков, госструктур и технологических платформ с разветвленной сетью поддоменов», — говорит он.

Независимый эксперт рынка информационной безопасности Алексей Лукацкий в разговоре с РБК отметил, что нынешний отзыв сертификатов — не последний. «Все зависит от того, какие компании попадут под новое регулирование. Под санкциями или под будущими пакетами европейских санкций находится очень большое количество крупных игроков российской экономики — и эта история точно продолжится», — считает он. По его словам, часть компаний была готова к такому сценарию — Россельхозбанк, Т-банк и другие заранее предупреждали клиентов о возможных перебоях.

Он отметил, что Let's Encrypt и GlobalSign также выдают сертификаты для подписи программного кода, без которых нельзя установить приложение на операционные системы Windows, macOS или iOS. «Если российские разработчики не найдут альтернатив, они потеряют возможность легально распространять свой софт — без создания фирм-прокладок за рубежом», — предупредил Лукацкий. Реальный масштаб последствий, по его оценке, станет понятен ближе к концу лета. При этом для небольших негосударственных компаний и физических лиц событие «большого значения не имеет». «Единственное, что изменится, — срок выпуска новых сертификатов: санкционная проверка теперь будет более жесткой и пристальной», — резюмировал он.

Гендиректор и основатель хостинг-провайдера RUVDS Никита Цаплин назвал происходящее «серьезным инфраструктурным риском», но «ожидаемым для рынка». «Мы наблюдаем финальный этап ухода международных удостоверяющих центров из России. Для компаний средней руки, которые до последнего держались за зарубежные сертификаты ради глобальной совместимости, это может обернуться экстренной миграцией и операционными сбоями», — рассуждает он. Наиболее уязвимы, по его словам, мобильные приложения с Certificate Pinning («закреплением» конкретного сертификата) или WebView (со встроенным браузерным компонентом). «Без срочного выпуска обновлений они полностью потеряют связь с серверами, а оперативно провести апдейт через зарубежные маркетплейсы сейчас крайне затруднительно», — говорит Цаплин.

Цаплин также отметил, что единого решения, которое закрыло бы все задачи бизнеса, сегодня нет. Сертификаты Минцифры устойчивы к санкциям, но не признаются зарубежными браузерами; переход на центры сертификации из Китая или СНГ кратно дороже и не страхует от аналогичных отзывов; использование Let's Encrypt через зарубежные прокси-серверы несет слишком высокие регуляторные риски. Главным итогом, по его мнению, станет «окончательное исчезновение бесшовного Рунета» — бизнесу придется либо разделить инфраструктуру на внутренний и внешний контуры, либо смириться с блокировками для части аудитории.

Собеседник РБК на рынке информационной безопасности среди возможных экстренных мер решения проблемы назвал блокировку доступа к OCSP-серверам (тем, через которые браузер проверяет статус сертификата). «В результате при проверке браузером сертификата будет возникать ошибка: отзыв сертификата проверить не удалось. Как экстренная временная мера это даст хоть какую-то отсрочку, чтобы придумать решение проблемы», — указал он.