Все
Истории
Дизайн
Код
Геймдев
Бизнес
Маркетинг
Управление
Кино
Музыка
Проектная фотография
Развитие
Здоровье
Деньги
Образование
EdTech
Корп. обучение
Блог Skillbox
Глоссарий
Спецпроекты
Профориентация
Международный центр GlobalSign начал отзывать SSL-сертификаты у российских сайтов
Под угрозой — тысячи ресурсов, и приемлемого выхода эксперты не видят.
13 июня 2026 года в РБК вышел материал о том, что удостоверяющий центр GlobalSign начал процедуру принудительного отзыва ранее выпущенных SSL-сертификатов у российских компаний. По данным издания, причина связана с обновлением правил международного консорциума CA/Browser Forum, которые предполагают обязательную проверку клиентов по санкционным спискам.
Кроме того, в распоряжении РБК оказалось письмо гендиректора российского юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова, которое он направил партнёрам компании. В нём говорится следующее:
«К нашему глубокому сожалению, текущие жёсткие регламенты этого консорциума напрямую подразумевают исполнение международных санкционных ограничений. В связи с этим глобальный удостоверяющий центр начал процедуру принудительного отзыва части ранее выпущенных сертификатов для компаний из России».
По оценкам экспертов, которых цитирует РБК, под угрозой оказались до 15–20 тысяч доменов. А если учесть ещё и поддомены, без SSL-сертификатов могут остаться сотни тысяч ресурсов. Последствия пока неизвестны: они могут варьироваться от предупреждений «Соединение не защищено» в Chrome, Safari и Firefox до полной блокировки доступа к сайтам и сбоев в мобильных приложениях — до тех пор, пока их владельцы не получат новые сертификаты.
Что такое SSL-сертификат и зачем он нужен
SSL-сертификат — это цифровой документ, который подтверждает сразу две вещи: что вы попали на нужный сайт и что ваши пароли, номера карт и другие данные передаются в зашифрованном виде. Узнать такой сайт просто: его адрес начинается с https://, а рядом в адресной строке появляется значок замка.
Работает это таким образом:
- Сначала доверенный удостоверяющий центр убеждается, что сайт принадлежит именно тому, кто заявляет себя как владелец этого ресурса. Если проверка пройдена — центр выдаёт SSL-сертификат.
- Дальше, когда вы заходите на сайт, браузер и сервер «здороваются» — то есть проводят TLS‑рукопожатие: проверяют сертификат и договариваются о секретном ключе, чтобы потом шифровать весь обмен данными.
- Дальше весь обмен данными идёт по защищённому каналу, и даже если кто-то сможет перехватить трафик, без ключа расшифровать его не выйдет.
Если сертификата нет или он просрочен, браузеры выдают предупреждение о небезопасном соединении: трафик не зашифрован или подлинность сайта не подтверждена. На практике это сильно развязывает руки злоумышленникам. Например, подключившись к открытому Wi-Fi в кафе или аэропорту, они могут перехватить логины и пароли, которые вы вводите на незащищённом сайте.
А ещё проще становится фишинг: поддельную копию банка или «Госуслуг» без проверяющего SSL-сертификата труднее отличить от настоящей. Когда же без защиты остаются тысячи сайтов сразу, у мошенников появляется масса удобных целей, а число подобных атак закономерно растёт. Тем более собрать сайт-двойник сейчас можно буквально за несколько промптов к нейросети.
Что делать владельцам сайтов
В Минцифры успокаивают и пишут, что доля GlobalSign в Рунете не превышает 5%, поэтому в худшем случае сайты будут недоступны лишь непродолжительное время — пока владельцы получают новые сертификаты. Однако в коммерческом сегменте западных сертификатов оценки заметно отличаются: по данным Astra Cloud, на GlobalSign приходится около 90% российского рынка.
Доступный аналог — отечественные TLS‑сертификаты Национального удостоверяющего центра Минцифры. Юридические лица могут получить их бесплатно на «Госуслугах». Такие сертификаты устойчивы к санкциям, однако пока не признаются Chrome, Safari и другими зарубежными браузерами.
Другие варианты тоже не идеальны. Бесплатный удостоверяющий центр Let’s Encrypt сворачивает работу с Россией: сертификаты уже недоступны для госструктур и компаний под санкциями, а остальным всё чаще приходится их получать через зарубежные прокси-серверы. А это уже высокие регуляторные риски: такой обходной канал в любой момент может перестать работать, и сайт снова останется без SSL-сертификата. Переход же на центры сертификации из Китая или СНГ обойдётся на порядок дороже и не защитит от таких же отзывов в будущем — ведь и эти центры тоже могут попасть под санкционное давление.
В итоге эксперты пока не видят единого решения и предполагают, что бизнесу придётся разделить инфраструктуру на два контура — внешний и внутренний. Внешний будет рассчитан на зарубежную аудиторию и продолжит работать на западных сертификатах до тех пор, пока это возможно. Внутренний охватит российских пользователей, и его переведут на отечественные сертификаты.
Но если на сайте сменить сертификат относительно просто, то с мобильными приложениями всё не так. Особенно это касается приложений с жёстко зашитым сертификатом (Certificate Pinning) или встроенным браузером (Android WebView, WKWebView): они проверяют один конкретный сертификат и при его отзыве теряют связь с серверами. И пока компания не выпустит обновление, а пользователи его не установят, приложение работать не будет.
Больше интересного про код — в нашем телеграм-канале. Подписывайтесь!
