Западный центр сертификации GlobalSign с июня 2026 года начал принудительно отзывать сертификаты TLS у части российских сайтов. TLS-сертификат доказывает подлинность соединения: он подтверждает, что вы обращаетесь именно к тому сайту, чей адрес указан в адресной строке браузера. Также он содержит открытый ключ, который необходим для работы зашифрованного обмена данными между интернет-ресурсами и пользователями по протоколу HTTPS. Ещё через него приложения взаимодействуют со своими серверами. Если у компании отнять удостоверение, связь прервётся и приложение перестанет работать. Выдают TLS-сертификаты удостоверяющие центры. Японский GlobalSign и американский Let's Encrypt — одни из крупнейших. Оба входят в Международный консорциум CA/Browser Forum, который в феврале утвердил новые требования, в основе своей направленные против России, к проверке организаций при выдаче TLS-сертификатов.
Сертификаты отзывают из-за санкций
Формально удостоверяющие центры ещё с 2023 года должны отзывать сертификаты у организаций, попавших под санкции. Однако теперь им нужно делать это проактивно. Так, параграф 3.2.2.12.2 правил подтверждения гласит, что удостоверяющий центр обязан проверить, не состоит ли запросившее сертификат лицо в «каком-либо правительственном списке запрещённых лиц» или находится в юрисдикции, с которой законодательство запрещает ведение бизнеса.
В частности, центры сертификации теперь обязаны проверять компании по SDN-перечню Минфина США, санкционному списку организаций BIS и ряду других. Прежде норма носила рекомендательный характер. Обновлённые требования вступили в силу 4 мая. GlobalSign сообщил о начале отзыва сертификатов 13 июня, пишет РБК.
Что это значит для владельцев сайтов и приложений?
СМИ сообщают, что под угрозой десятки тысяч сайтов и приложений, принадлежащих организациям, которые попали в санкционные списки. Однако на момент публикации явление не стало массовым. Похоже, помимо мессенджера Max под раздачу пока попали только отдельные банковские приложения.
Чтобы не доводить до критической ситуации, крупные российские сервисы начали превентивно получать новые TLS-сертификаты в других международных удостоверяющих центрах. Например, домены второго уровня ряда российских банков сейчас верифицируются сертификатом греческой компанией HARICA.
Однако эта миграция может стать лишь временной передышкой. Зарубежные регуляторы могут надавить на оставшихся игроков, тем придётся подчиниться. Если тренд на изоляцию продолжится, компании будут вынуждены переходить на отечественную криптографию. В России есть свой удостоверяющий центр (НУЦ), которым заведует Минцифры. Но в таком случае проблема выйдет на новый уровень.
Угроза для пользователей: сайты перестанут открываться
Сайты с отечественными TLS-сертификатами перестанут нормально открываться в наиболее массовых браузерах, которые не признают отечественный НУЦ доверенным удостоверяющим центром. Сейчас сертификат НУЦ встроен только в отечественные продукты вроде «Яндекс Браузера».
При попытке открыть сайт с российским сертификатом в Google Chrome, Mozilla Firefox, Microsoft Edge, Safari или другом зарубежном браузере, пользователь увидит предупреждение вроде «Подключение не защищено». Вероятно, именно поэтому отечественные «цифровые паспорта» не используют даже государственные структуры — по замерам специалистов, только 6% доменов российского госсектора имели сертификат Минцифры.
Нажимать нельзя!
Само предупреждение о небезопасном соединении не отрубает доступ, в большинстве браузеров есть кнопка «Всё равно перейти». Но жать на неё — очень плохая идея! Монументально безопасность в интернете — включая шифрование ваших данных — во многом построена именно на TLS-сертификатах. Вы переходите на сайт условного банка, видите замочек, букву «s» после «http» в URL и понимаете, что это с высокой долей вероятности настоящий сайт, а не подделка мошенников.
Если системно игнорировать предупреждения:
- сайт может оказаться мошенническим — без сертификата «прикинуться» сайтом банка или госсервиса становится намного проще;
- даже если сайт настоящий, без сертификата ваши данные будут передаваться по незашифрованному соединению, и могут быть легко перехвачены злоумышленниками;
- не нужно формировать у себя привычки игнорировать предупреждения об опасности и пользоваться незащищёнными соединениями. Это очень вредные привычки.
Если вы используете «Яндекс Браузер» или другой отечественный — переход любого сайта на российский сертификат вы просто не заметите. А если привыкли пользоваться Chrome, Firefox, Edge, Safari или другим браузером зарубежной разработки, — у вас есть три базовых варианта.
1. Скачать «Яндекс Браузер». Его можно использовать не как основной, а исключительно для работы с «Госуслугами», банками и прочими местными сервисами. А Chrome или другой привычный браузер оставить для «большого интернета».
2. Настроить отдельный профиль в Firefox и добавить в него сертификат НУЦ. Веб-обозреватель Mozilla поддерживает создание независимых профилей с изолированными каталогами сертификатов. Но учитывайте, что это технически не самый простой вариант.
3. Универсальный — добавить корневой сертификат НУЦ на уровне операционной системы. После этого все установленные браузеры и приложения начнут доверять сертификатам Минцифры без всяких предупреждений.
