Утром 13 июня 2026 года японский удостоверяющий центр GlobalSign запустил принудительный отзыв SSL-сертификатов у российских компаний. Решение связано с обновленными требованиями международного консорциума CA/Browser Forum — с июня 2026 года его участники обязаны проверять клиентов по санкционным спискам США и ЕС. В списке на отзыв находится от 15 до 20 тысяч доменов второго уровня. С учетом поддоменов речь может идти о сотнях тысяч или даже миллионах сертификатов.
Параллельно в начале июня изменил условия работы крупнейший в мире удостоверяющий центр Let’s Encrypt. Сертификаты для российских госструктур и компаний под санкциями США теперь недоступны. Минцифры заявило, что ситуация не должна стать критической. Национальный удостоверяющий центр бесплатно выдает российские TLS-сертификаты DV и OV через «Госуслуги» в течение трех рабочих дней. Однако эксперты предупреждают, что отзывы будут продолжаться по мере расширения санкционных списков.
Что теперь делать сайтам
Юрий Тюрин, технический директор MD Audit, рассказал Hi-Tech Mail, что в краткосрочной перспективе сайтам необходимо оперативно перевыпускать сертификаты у альтернативных удостоверяющих центров и обновлять цепочки доверия на серверах, чтобы не допустить падения HTTPS и предупреждений в браузерах. В среднесрочной — пересматривать архитектуру доверия: не завязываться на одного провайдера, использовать несколько CA и внедрять автоматизацию управления сертификатами.
Фактически речь идет о переходе от «сертификат как формальность» к управлению цифровым доверием как частью инфраструктуры. Такие инциденты подталкивают закладывать устойчивость на уровне архитектуры, а не реагировать постфактум.
Юрий Тюрин
Где получать сертификаты
По словам эксперта, альтернативы есть — как среди международных, так и среди локальных центров. Однако выбор теперь определяется не только ценой и удобством, а рисками отзыва и стабильностью работы в конкретной юрисдикции. Компании все чаще рассматривают распределенную модель: несколько поставщиков, бесплатные CA для части сервисов и отдельные решения для критичных систем.
Сам сертификат становится не продуктом, а частью управляемого сервиса.
Юрий Тюрин
Что это значит для пользователей
При отзыве сертификата сайт начинает показывать предупреждения о небезопасном соединении или временно становится недоступным по HTTPS.
Это напрямую бьет по конверсии и пользовательскому опыту. Но, по оценке Тюрина, последствия глубже.
Такие ситуации подрывают привычную модель доверия в интернете, где «замок в браузере» воспринимается как гарантия безопасности. Пользователям приходится чаще сталкиваться с предупреждениями, и это снижает чувствительность к реальным угрозам. Последствия не только технические, но и поведенческие: растет неопределенность и снижается доверие к цифровым сервисам в целом.
Юрий Тюрин
Источник: hi-tech.mail.ru