Удостоверяющий центр GlobalSign начал отзыв SSL-сертификатов у российских компаний

Формальным основанием стали обновлённые правила международного консорциума CA/Browser Forum, которые с июня 2026 года обязывают центры сертификации неукоснительно соблюдать санкционные ограничения при обслуживании клиентов. Однако за этим сухим юридическим фактом скрывается куда более глубокая трансформация глобальной инфраструктуры доверия в интернете — процесс, который может навсегда изменить ландшафт цифровой экономики для целых регионов.

Что ломается, когда сертификат перестаёт «работать»?

Чтобы оценить масштаб происходящего, необходимо понять природу SSL-сертификата. Это не просто технический артефакт, а краеугольный камень современной веб-безопасности. В своей сути сертификат выполняет три взаимосвязанные функции:

1. Идентификация — он удостоверяет, что данный сайт принадлежит именно тому лицу или организации, которые заявлены в его реквизитах, а не мошенникам-посредникам.
2. Шифрование — с помощью асимметричной криптографии он создаёт защищённый канал между браузером пользователя и сервером, делая невозможным перехват паролей, платёжных данных или коммерческой тайны.
3. Верификация доверия — он служит визуальным сигналом (значок замка в адресной строке), на который привыкли полагаться сотни миллионов пользователей.

Важнейшая особенность этой системы — иерархия доверия. Браузеры доверяют не каждому сертификату, а только тем, которые подписаны корневыми сертификатами, заранее встроенными в их операционные системы и обновления. Эти корневые сертификаты принадлежат ограниченному кругу глобальных удостоверяющих центров — GlobalSign, DigiCert, Let’s Encrypt, Sectigo и другим. Они выступают в роли «нотариусов» всего интернета: если нотариус лишает документ силы, то даже самый законный владелец сайта становится для браузеров «незнакомцем».

Именно этот механизм сейчас и задействован. Отзыв сертификата означает, что его серийный номер попадает в публичный список аннулированных (CRL) и онлайн-протокол проверки статуса (OCSP). Браузеры, проверяя соединение, обнаруживают запись и немедленно блокируют доступ, выводя предупреждение о небезопасном соединении. Для пользователя это выглядит как красный экран с надписью «Ваше соединение не является конфиденциальным» — и большинство посетителей просто покидают такой сайт, не вникая в технические детали.

Масштаб угрозы и её отражение в реальной экономике

По оценкам экспертов, под непосредственный риск отзыва попадают от 15 до 20 тысяч доменов второго уровня в зонах .ru и .рф, однако с учётом субдоменов и отдельных сертификатов для микросервисов реальное число затронутых ресурсов может достигать сотен тысяч. Доля GlobalSign на российском рынке не превышает 5% в общем объёме выданных сертификатов, но среди коммерческих западных удостоверяющих центров его доля существенно выше — около 90% бизнеса используют именно импортные сертификаты из-за их универсальной совместимости с международными браузерами и платёжными системами.

Для компаний, чьи сертификаты будут аннулированы, последствия могут быть драматичными:

1. Остановка приёма онлайн-платежей, поскольку банковские шлюзы требуют действующего TLS-соединения.
2. Потеря поискового ранжирования — поисковики снижают позиции сайтов с небезопасным соединением.
3. Прерывание работы мобильных приложений, которые используют сертификаты для пинга своих бэкендов.
4. Репутационные риски — клиенты, увидев предупреждение браузера, с высокой вероятностью воспримут это как взлом или мошенничество.

По сути, отзыв сертификата лишает цифровой актив его «легального статуса» в глобальной сети, превращая его в изолированный остров, доступный лишь при ручном добавлении исключений в браузере — что невозможно для массового пользователя.

Реакция регулятора и альтернативные пути

Министерство цифрового развития России оперативно предложило решение: владельцы сайтов могут бесплатно получить новые TLS-сертификаты через Национальный удостоверяющий центр, подав заявку на портале «Госуслуг». Доступны типы DV (для физических лиц) и OV (для организаций). Эта мера призвана обеспечить базовую безопасность внутреннего сегмента рунета.

Однако здесь возникает фундаментальное ограничение: российские корневые сертификаты не встроены в основные мировые браузеры — Chrome, Safari, Firefox, Edge. Даже если сайт получит отечественный сертификат, зарубежный посетитель увидит тот же самый красный экран, потому что его браузер не знает о существовании российского корневого центра. Это делает российские сертификаты пригодными для внутреннего пользования в рамках страны, но практически бесполезными для международной электронной коммерции, сервисов и глобальных коммуникаций.

Параллельно другие игроки ужесточают позицию. Крупный реселлер ССЛС.ком объявил о полном прекращении продажи сертификатов для доменов .ru и .рф, сославшись на санкционные требования. А бесплатный центр Let’s Encrypt, которым пользуются миллионы мелких проектов по всему миру, с 4 июня 2026 года внёс в свои условия запрет на выдачу сертификатов российским государственным учреждениям, хотя для частных лиц и коммерческих компаний услуга пока сохраняется. Это создаёт трёхуровневую систему: госсектор лишается доступа к крупнейшему бесплатному центру, коммерческий сектор теряет возможности продления у реселлеров, а единственной палочкой-выручалочкой остаются либо прямые контракты с крупными УЦ (что проблематично из-за валютных ограничений), либо отечественные сертификаты с их ограниченной юрисдикцией.

К чему готовиться бизнесу

Ситуация демонстрирует системную проблему: интернет, задуманный как децентрализованная среда, на деле оказался глубоко централизованным в вопросах криптографического доверия. Корневые сертификаты контролируются ограниченным кругом организаций, которые сегодня вынуждены учитывать геополитические реалии. Для российского бизнеса это означает необходимость пересмотра всей архитектуры цифрового присутствия:

1. Миграция на двойную сертификацию (отечественную + резервную зарубежную, если удастся получить).
2. Переход на российские браузеры (Яндекс Браузер, Атом) для внутренних корпоративных пользователей.
3. Переосмысление международных стратегий — возможно, использование прокси-серверов или регистрация юридических лиц в дружественных юрисдикциях для получения сертификатов через местных реселлеров.

Пока GlobalSign не опубликовал официального публичного заявления о тотальном отзыве, однако начатая процедура уже стала сигналом для всего рынка. Глобальная инфраструктура доверия больше не является нейтральной — она становится инструментом политического и экономического регулирования. И те компании, которые своевременно осознают этот сдвиг, смогут адаптироваться с минимальными потерями. Остальным же придётся столкнуться с суровой реальностью: без действующего сертификата в современном интернете вас просто не существует.