Цифровой обрыв: японский гигант GlobalSign режет сертификаты российским сайтам
Крупнейший коммерческий удостоверяющий центр начал принудительный отзыв SSL-сертификатов — под ударом до 20 тысяч доменов
Японский GlobalSign — мировой лидер среди платных центров сертификации — с утра 13 июня запустил процедуру принудительного отзыва SSL-сертификатов у российских компаний. Подтверждение пришло из письма гендиректора местного юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова партнёрам. Четыре источника на рынке хостинг-провайдеров факт подтвердили.
SSL-сертификат — это тот самый «замочек» в адресной строке браузера. Он подтверждает подлинность сайта и шифрует данные между пользователем и сервером. Без него браузеры вроде Chrome, Safari или Firefox либо блокируют доступ, либо выводят красное предупреждение «Соединение не защищено». HTTPS перестаёт работать.
GlobalSign был единственным крупным международным центром, который после 2022 года продолжал работать с российскими клиентами. Теперь эта лазейка закрывается.
Почему начался отзыв
Международный консорциум CA/Browser Forum — глобальный регулятор, куда входят Google, Apple, Microsoft, Mozilla и все крупные центры сертификации, — утвердил новые требования. С 4 мая проверка клиентов по санкционным спискам (OFAC SDN List, BIS Denied Persons List и европейским аналогам) стала обязательной, а не рекомендательной.
GlobalSign, основанный в Бельгии, а затем купленный японским холдингом GMO Internet Group, обязан соблюдать санкции ЕС. Компания провела аудит портфеля и с 04:10 по Москве начала отзывать сертификаты у российских юрлиц, попавших под ограничения.
Рыжиков в письме объяснил: «К нашему глубокому сожалению, текущие жесткие регламенты этого консорциума напрямую подразумевают исполнение международных санкционных ограничений. Российское юрлицо не имеет правовых или технических рычагов влияния на решения данного консорциума».
Масштаб бедствия
По оценке одного из собеседников РБК, в списке на отзыв — порядка 15–20 тысяч доменов второго уровня. Но под каждым таким доменом могут быть сотни и тысячи поддоменов. Реальное количество затронутых SSL-сертификатов может измеряться сотнями тысяч или даже миллионами — особенно если туда попали крупные банки, госструктуры и технологические платформы.
В Минцифры успокаивают: доля GlobalSign в Рунете не превышает 5%. Ведомство напоминает, что с 2021 года работает Национальный удостоверяющий центр. Юрлица могут бесплатно получить отечественные TLS-сертификаты на «Госуслугах».
Но эксперты настроены менее оптимистично. Замгендиректора Astra Cloud Константин Анисимов отметил: в коммерческом сегменте западных сертификатов GlobalSign занимает в России порядка 90%. Госсектор уже переведён на сертификаты Минцифры, а вот бизнес — нет.
Что теперь будет с сайтами и приложениями
Гендиректор Timeweb Андрей Баширов объяснил механизм: при открытии сайта с отозванным сертификатом в Chrome, Firefox, Safari или Edge появится красное предупреждение. Многие корпоративные системы и вовсе блокируют доступ к таким ресурсам.
Независимый эксперт по информационной безопасности Алексей Лукацкий считает, что это не последний отзыв. Под новые правила попадает всё больше крупных игроков российской экономики. Часть компаний, в том числе Россельхозбанк и Т-банк, заранее предупреждали клиентов о возможных перебоях. Утром 13 июня Т-банк разослал СМС, где говорилось о проблемах со входом на некоторые сайты и в приложения.
Лукацкий обратил внимание: GlobalSign и Let’s Encrypt выдают не только SSL-сертификаты для сайтов, но и сертификаты для подписи программного кода. Без них невозможно легально установить приложение на Windows, macOS или iOS. Если российские разработчики не найдут альтернативу, они потеряют канал распространения софта на этих платформах.
Варианты решения — и их ограничения
Гендиректор и основатель хостинг-провайдера RUVDS Никита Цаплин назвал происходящее «серьёзным инфраструктурным риском, но ожидаемым». По его словам, компаниям средней руки, которые до последнего держались за зарубежные сертификаты ради глобальной совместимости, грозит экстренная миграция и операционные сбои.
Особенно уязвимы мобильные приложения с технологией Certificate Pinning — «закреплением» конкретного сертификата. Если сертификат отозван, приложение просто теряет связь с сервером. Выпустить обновление через зарубежные маркетплейсы сейчас крайне сложно.
Цаплин перечислил возможные выходы — но у каждого есть минусы:
— Сертификаты Минцифры не признаются зарубежными браузерами, поэтому сайт будет работать только в России.
— Переход на центры сертификации из Китая или СНГ кратно дороже и не гарантирует защиты от аналогичных отзывов.
— Использование Let’s Encrypt через зарубежные прокси-серверы несёт высокие регуляторные риски.
«Главный итог — окончательное исчезновение бесшовного Рунета. Бизнесу придётся либо разделить инфраструктуру на внутренний и внешний контуры, либо смириться с блокировками для части аудитории», — резюмировал Цаплин.
Один из собеседников на рынке информационной безопасности предложил экстренную меру: заблокировать доступ к OCSP-серверам, через которые браузеры проверяют статус сертификата. Тогда при проверке будет возникать ошибка, и отзыв не подтвердится. Но это временное решение, дающее отсрочку на пару недель.
Что в сухом остатке
С 13 июня российский интернет потерял последнего крупного международного партнёра по SSL-сертификатам. Для обычного пользователя это обернётся тем, что некоторые сайты перестанут открываться в зарубежных браузерах без рискованного нажатия на «Продолжить». Для бизнеса — необходимостью срочно переходить на отечественные сертификаты, что не решает проблему доступа из-за рубежа.
Масштаб последствий станет ясен к концу лета. Но уже сейчас ясно: Рунету придётся учиться жить без глобального признания.