Японский центр сертификации GlobalSign отзывает SSL-сертификаты у российских сайтов

by Опубликовано

https://kapital-rus.ru/img/2026/news/426899.png

Красный замок вместо зеленого: как Рунет теряет доверие зарубежных браузеров

Утром тринадцатого июня один из крупнейших в мире удостоверяющих центров — японский GlobalSign — запустил процедуру принудительного отзыва цифровых сертификатов у компаний из России. Под ударом оказались десятки тысяч сайтов. Пользователи зарубежных браузеров могут начать видеть предупреждения о небезопасном соединении, а часть ресурсов и вовсе перестанет открываться.

Первыми тревогу забили банки. Т-банк разослал клиентам СМС: мол, из-за санкций у некоторых российских сайтов и приложений возможны проблемы со входом. Россельхозбанк предупредил о сбоях в старой версии Android-приложения. Эксперты говорят — это только начало.

«Мы наблюдаем финальный этап ухода международных удостоверяющих центров из России, — отметил в разговоре с источниками гендиректор хостинг-провайдера RUVDS Никита Цаплин. — Для компаний средней руки, которые до последнего держались за зарубежные сертификаты ради глобальной совместимости, это может обернуться экстренной миграцией и операционными сбоями».

В чём суть. SSL-сертификат — это цифровой «паспорт» сайта. Он подтверждает, что пользователь попал именно на тот ресурс, который хотел, а не на подделку. И шифрует трафик. Если сертификат отозван, браузеры вносят его номер в специальный публичный стоп-лист (Certificate Revocation List). Chrome, Safari, Firefox при каждом подключении сверяются с этим списком и блокируют соединение. Вместо сайта — красное предупреждение «Соединение не защищено».

Почему GlobalSign пошёл на это

Формальная причина — обновлённые требования международного консорциума CA/Browser Forum. Это глобальный регулятор, куда входят все крупные центры сертификации и разработчики браузеров — Google, Apple, Microsoft, Mozilla. Ещё четвёртого мая вступили в силу новые правила: проверка компаний по санкционным спискам (американскому OFAC SDN List, европейским аналогам) стала обязательной, а не рекомендательной. GlobalSign, основанная в Бельгии, позже проданная японскому холдингу GMO Internet Group, обязана соблюдать санкции ЕС. Провели аудит портфеля — и начали отзыв.

В письме гендиректора российского юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова партнёрам сказано: «К нашему глубокому сожалению, текущие жесткие регламенты этого консорциума напрямую подразумевают исполнение международных санкционных ограничений». И что у российского подразделения «нет правовых или технических рычагов влияния на решения данного консорциума». Процедура стартовала в 04:10 по Москве.

Сколько сайтов пострадает

По данным одного из собеседников на рынке, в списке на отзыв — порядка 15–20 тысяч доменов второго уровня. Это основные адреса. Но под каждым таким доменом могут висеть сотни и тысячи поддоменов третьего и следующих уровней. Каждый защищён отдельным SSL-сертификатом. Так что реальное количество затронутых «цифровых паспортов» может измеряться сотнями тысяч или даже миллионами. Особенно если в списке окажутся домены крупных банков, госструктур и технологических платформ.

В коммерческом сегменте западных сертификатов GlobalSign занимал в России порядка 90% рынка. Госсектор в основном использует отечественные сертификаты Минцифры — на них отзыв не распространяется. Но бизнес, привыкший работать с международными сертификатами, оказывается в сложной ситуации.

В мире GlobalSign — второй по количеству действующих сертификатов (доля 20,4%), уступая только бесплатному некоммерческому Let’s Encrypt (68,2%). Среди коммерческих центров — крупнейший. Он оставался единственным международным центром, который после 2022 года продолжал полноценно работать с российскими клиентами — остальные (Sectigo, DigiCert, Thawte, GeoTrust, RapidSSL) ушли. Теперь уходит и он.

Что делать

Минцифры уже отреагировало: в случае отзыва иностранного сертификата сайты могут быть недоступны непродолжительное время, пока владельцы получают новые. Доля GlobalSign в Рунете, по данным министерства, не превышает 5%. С 2022 года в России работает Национальный удостоверяющий центр, который бесплатно выдаёт отечественные TLS-сертификаты через «Госуслуги».

Но эксперты предупреждают: сертификаты Минцифры не признаются зарубежными браузерами. Переход на китайские или центры из СНГ — дорого и не страхует от аналогичных отзывов. Использование Let’s Encrypt через зарубежные прокси — высокие регуляторные риски. Единого решения нет.

«Главным итогом станет окончательное исчезновение бесшовного Рунета, — считает Цаплин. — Бизнесу придётся либо разделить инфраструктуру на внутренний и внешний контуры, либо смириться с блокировками для части аудитории».

Независимый эксперт по информационной безопасности Алексей Лукацкий отмечает: нынешний отзыв — не последний. Под санкциями находится очень много крупных игроков российской экономики, и эта история продолжится. Дополнительная головная боль — сертификаты для подписи программного кода. GlobalSign и Let’s Encrypt выдавали их для Windows, macOS, iOS. Если российские разработчики не найдут альтернатив, потеряют возможность легально распространять софт без создания фирм-прокладок за рубежом.

В качестве экстренной меры некоторые предлагают блокировку доступа к OCSP-серверам — тем, через которые браузер проверяет статус сертификата. Тогда при проверке будет возникать ошибка, и отзыв временно не сработает. Но это «костыль», а не решение. Реальный масштаб последствий станет понятен ближе к концу лета.