GlobalSign вскрыл проблему, которую долго считали чисто техническим вопросом. Отзыв TLS-сертификатов грозит не только сайтам. Под ударом приложения, API, обновления ПО и партнерские интеграции. Российские сертификаты выглядят запасным вариантом, но выяснилось, что к такому сценарию рынок готов не до конца.
История с GlobalSign началась с письма, о котором сообщил РБК. Гендиректор «Джи-Эм-О Глобал Сайн Раша» Дмитрий Рыжиков предупредил партнеров о поэтапном отзыве части ранее выпущенных SSL/TLS-сертификатов у российских компаний. Издание ссылается на источник, знакомый с письмом, и четырех собеседников на рынке хостинг-провайдеров.
GlobalSign пока публичного заявления о массовом отзыве российских сертификатов не выпускал, что конечно не снижает риска. Отзыв сертификатов может идти и через партнерские уведомления. Но публичной позиции GlobalSign пока нет.
В письме, по данным РБК, решение связывается с обновленными требованиями CA/Browser Forum. Но здесь важно не перепутать роли. CA/Browser Forum сам не вводит санкции и не отзывает сертификаты. Это площадка, где центры сертификации и разработчики браузеров согласуют правила для публично доверенных сертификатов. GlobalSign входит в CA/Browser Forum. Там же состоят Google, Apple, Microsoft, Mozilla и другие участники инфраструктуры доверия. Если центр сертификации хочет, чтобы его сертификаты принимались другими участниками рынка, он должен соблюдать эти правила.
В открытых базовых требованиях к TLS-сертификатам есть правила проверки, выпуска и отзыва сертификатов. Но прямого запрета на российские компании там нет. CA/Browser Forum задает общие правила для доверенных сертификатов. А конкретный центр сертификации применяет их вместе с законами своей юрисдикции, внутренним комплаенсом и санкционными ограничениями. В случае GlobalSign это, похоже, и стало основанием для пересмотра ранее выпущенных сертификатов.
Причем риск не ограничивается прямым санкционным списком. Как отмечает Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, удостоверяющие центры могут трактовать ограничения шире. Достаточно, чтобы компания оказалась под контролем подсанкционного лица или комплаенс-служба сочла риск слишком высоким.
Как уже отмечалось, CA/Browser Forum сам ничего не отзывает. Он не ходит по сайтам с черным списком и не отключает российские домены. Он только задает общие правила. Решение остается за центром сертификации, который выпустил сертификат. Если сертификат выпустил GlobalSign, то и отозвать его может GlobalSign.
У сертификата есть серийный номер. При отзыве он попадает в список отозванных сертификатов, CRL, или получает статус revoked через OCSP. Это штатные процедуры из базовых требований CA/Browser Forum к TLS-сертификатам. Там же перечислены и основания для отзыва. Не только компрометация ключа или ошибка в сертификате. Есть и более широкая формулировка: если центру сертификации становится известно, что использование домена или IP-адреса в сертификате больше не разрешено законом.
Публичное объявление в данном случае и не обязательно. Центр сертификации просто меняет статус сертификата, и соединение становится недоверенным. Дальше все зависит от того, где этот сертификат использовался: на сайте, в приложении, API, платежах или партнерской интеграции.
При самом тривиальном сценарии сайт просто начнет открываться с предупреждением. Пользователь чаще всего даже не будет вникать в подробности и просто закроет вкладку. Некоторые браузеры и вовсе не дадут пройти дальше.
Алексей Лукацкий предлагает делить проблему на несколько уровней. Сайт с предупреждением в браузере, это только видимая часть. Пользователь еще может нажать несколько кнопок и пройти дальше. Гораздо хуже, если сертификат используется в мобильном приложении, системе обновления ПО, CDN, API или другой служебной инфраструктуре. Там пользователь уже ничего не решает. Соединение либо устанавливается, либо нет. Мы подсели на цифрового паразита QR-код. От финтех-прорыва к нишевому инструменту Матрица маркетплейсов. Как бороться с галлюцинациями алгоритмов
В этом случае последствия могут быть куда серьезнее. Пользователь уже ничего не исправит вручную. Если сертификат не проходит проверку в мобильном приложении, защищенное соединение просто не установится. Если проблема в системе обновлений, клиент не получит новую версию приложения, обновление средств защиты или другой критичный пакет. Это уже не просто плашка в браузере, которую все-таки еще можно обойти.
Есть и третий блок, подпись программного обеспечения. Это уже не TLS-сертификат для сайта, но зависимость похожая. Современное ПО, обновления и драйверы подписываются сертификатами, которые выдают те же крупные удостоверяющие центры, включая GlobalSign. Для российских разработчиков, которые могут попасть под новые ограничения, вступившие в силу с 4 мая 2026 года, это отдельный риск. Неподписанное или недоверенное ПО может не установиться на Windows, iOS, macOS и других платформах. А уже установленное приложение может перестать запускаться, если система сочтет его небезопасным.
Ранее IT-World уже разбирал похожую проблему на примере сертификации драйверов Microsoft. Без EV-сертификата, признанного Microsoft, разработчик не может полноценно сертифицировать драйвер. История с TLS-сертификатами из той же серии. Российская разработка может упереться в чужую цепочку доверия.
Масштаб пока тоже неясен. По словам Лукацкого, в письме GlobalSign речь шла о нескольких десятках компаний. Среди них, по его оценке, могут быть банки, платежные системы и государственные регуляторы. В сети при этом обсуждают куда более широкие оценки, до 20–50 тыс. компаний. Но точного числа сейчас не знает никто. Именно из-за комплаенса. Он может работать не только по прямому списку, но и по связям, владению и оценке риска.
Самый быстрый путь, сменить центр сертификации. Если компания не под санкциями и новый центр готов ее обслуживать, доступ можно восстановить быстро. Но это все-равно ничего не гарантирует в будущем. Завтра правила или комплаенс могут снова измениться, и снова придется искать новые центры. Читайте также 
Агент без прикрытия Бизнес уже насмотрелся на ИИ, который отвечает на вопросы. Теперь ему интереснее понять, можно ли поручить системе реальные бизнес задачи. Не просто «найди информацию» или «сформулируй письмо», а «разберись в задаче», «выбери инструменты», «найди нужные данные», «подготовь результат», а в некоторых сценариях еще и «запусти операцию».
Российские TLS-сертификаты НУЦ Минцифры выглядят вроде как логичной альтернативой. Сертификат выдается бесплатно и в российской юрисдикции. Для управляемого российского контура это очень даже рабочий вариант. Но для публичного сайта, мобильного приложения или внешней интеграции этого уже недостаточно. Сертификату должны доверять браузеры, операционные системы и корпоративные шлюзы различных производителей. Эксперты сомневаются, что компании массово начнут переход на сертификаты НУЦ.
Часть компаний, скорее всего, начнет искать центры сертификации из более дружественных юрисдикций. Лукацкий среди возможных направлений называет китайские, греческие и другие удостоверяющие центры. Но и здесь нужно проверять доверяют ли ему основные браузеры и ОС, как проходит проверка компании, какие есть ограничения и не прилетит ли тот же комплаенс позже.
Для внутренних систем остается корпоративный центр сертификации. Он подходит для VPN, внутренних API, сервисов для сотрудников, управляемых устройств и закрытых контуров. Компания сама выпускает сертификаты и сама разворачивает доверенный корень. Но это решение для своей инфраструктуры, а не для публичного продукта.
После 2022 года у российских компаний появился запасной вариант. Минцифры запустило Национальный удостоверяющий центр и начало выдавать российские TLS-сертификаты. Такой сертификат сложнее отозвать из-за внешнего санкционного решения.
IT-World уже подробно разбирал российский рынок TLS-сертификатов и варианты замены иностранных сертификатов. Тогда запасной сценарий выглядел более чем логично: есть сертификаты Минцифры, есть решения ТЦИ, есть возможность закрыть базовый риск отзыва иностранного сертификата. История с GlobalSign показывает, что этого недостаточно. Сертификату должны доверять браузеры, операционные системы, приложения и корпоративные шлюзы.
На это же обращает внимание Алексей Лукацкий. По его словам, проблема не может быть решена простой установкой сертификата НУЦ, потому что большинство пользователей продолжают использовать зарубежные браузеры: Chrome, Safari, Firefox и другие. В их списках доверия, как и в зарубежных операционных системах, сертификата национального удостоверяющего центра нет.
Поэтому НУЦ Минцифры пока больше подходит для управляемого контура. Госсервисы, корпоративные устройства, российские браузеры, системы с заранее добавленными корневыми сертификатами. Здесь это вполне рабочее решение. Показательно, что даже государственный контур не перешел на НУЦ массово.
По оценке Лукацкого, из примерно полутора десятков тысяч доменов российских государственных органов и организаций только 7% используют сертификат Минцифры. Еще 4% используют одновременно сертификат НУЦ и зарубежные сертификаты. Около 88% по-прежнему остаются на зарубежных сертификатах.
Это плохой знак для всей конструкции с национальными сертификатами. Если даже государственные домены в основном остаются на зарубежной инфраструктуре доверия, значит, проблема не только в привычках пользователей и неосмотрительности бизнеса
Начинать с покупки нового сертификата соблазнительно, но это ловушка. Сначала стоит определить, где есть зависимость от GlobalSign. Не только главный домен, но и поддомены, кабинеты, API, платежи, мобильный backend, служебные контуры, тестовые стенды и интеграции с партнерами.
Эта логика уже видна и в соседних сегментах рынка. В обзоре российских ПАКов IT-World писал, что спрос растет именно на решения доверенной инфраструктуры, где контроль целостности, криптография и мониторинг встроены в платформу. С сертификатами происходит то же самое: это уже не отдельная настройка сайта, а часть архитектуры доверия.
Запасной сертификат тоже не должен быть один на все. Для публичного сайта, один вариант. Для российского контура, другой. Для внутренних сервисов, свой центр сертификации. Для API и B2B-интеграций, отдельное согласование с партнерами. Иначе замена одного сертификата решит только часть проблемы.
Клиентов и партнеров также придется проверять. У корпоративного клиента может быть свой шлюз, прокси, список доверенных центров и жесткая проверка цепочки.
Дальше нужен регулярный контроль. Не только срок действия, но и центр сертификации, цепочка, OCSP, CRL, старые поддомены и ошибки проверки.
GlobalSign пока лишь сигнал. Проблема не в одном поставщике. Проблема в зависимости от чужой инфраструктуры доверия, которая обнаруживается часто слишком поздно. Читайте также 
Кибератака приходит к правлению Киберинцидент редко начинается так, как его описывают в регламенте. На бумаге есть ответственные, подрядчики, каналы эскалации, планы восстановления и отчеты по аудиту. В реальности все может начаться с ночного письма, которое отправлено вовремя, но атаку не останавливает.
Источник: www.it-world.ru