Японская GlobalSign начала вторую волну отзыва сертификатов безопасности сайтов подсанкционных российских компаний. Первая волна прошла пять дней назад, новая коснулась доменов «Роснефти», «Газпромбанка», «Алросы», «ВЭБ.РФ» и др.
Фото: Михаил Гребенщиков / РБК
Японский удостоверяющий центр GlobalSign начал вторую волну отзыва TLS-сертификатов российских сайтов. Соответствующее письмо 17 июня получил крупнейший российский регистратор доменов «Региональный сетевой информационный центр» (РСИЦ, бренд «Руцентр») от гендиректора российского юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова, рассказали два источника РБК на рынке информационной безопасности и подтвердил представитель «Руцентра». Отзыв сертификатов начался 18 июня в 17:15 мск, уточнил собеседник.
TLS-сертификат — это «цифровой паспорт» сайта, который подтверждает его подлинность, гарантируя, что пользователь подключился именно к тому ресурсу, к которому хотел, а не к поддельному, и шифрует трафик между браузером и сервером, делая его недоступным для перехвата (именно он отвечает за значок замка в адресной строке и протокол HTTPS). Без действующего сертификата зарубежные браузеры — Google Chrome, Safari, Firefox — отказываются открывать сайт или выводят предупреждение о небезопасном соединении.
Первая волна отзыва сертификатов безопасности российских сайтов прошла 13 июня. Источник РБК тогда сообщал, что в списке на отзыв находилось около 15–20 тыс. доменов второго уровня (основных адресов сайтов, под каждым из которых могут находиться сотни или тысячи поддоменов третьего и следующих уровней). Поддомены тоже защищены отдельными TLS-сертификатами, поэтому реальное количество сертификатов под угрозой отзыва могло измеряться сотнями тысяч, говорил тогда собеседник. Причиной отзыва стали новые правила глобального консорциума CA/Browser Forum — международного регулятора, в который входят все крупнейшие центры сертификации мира и разработчики браузеров (Google, Apple, Microsoft, Mozilla). Этот консорциум 4 мая утвердил документ, сделавший обязательной проверку клиентов по санкционным спискам — OFAC SDN List, BIS Denied Persons List и их европейским аналогам.
«Мы действительно получили от GlobalSign уведомление о возможном отзыве сертификатов для доменных имен, принадлежащих российским подсанкционным компаниям», — сообщил РБК представитель «Руцентра». В письме GlobalSign, по его словам, «четко указано, что причина в комплаенс-требованиях по исполнению санкционных ограничений». В список на отзыв сертификатов попали, в частности, домены «Роснефти», «Газпромбанка», «Алросы», Positive Technologies, Объединенной авиастроительной корпорации (ОАК, входит в «Ростех»), АНО «Диалог», «ВЭБ.РФ» и других организаций — всего около 310 доменных имен от 44 компаний.
По его словам, сейчас служба поддержки «Руцентра» связывается с администраторами доменов из списка, чтобы предупредить их о риске отзыва. «Параллельно компания направила заявки в российский центр сертификации «Технический центр Интернет» (ТЦИ) для выпуска за свой счет отечественных сертификатов взамен потенциально отозванных иностранных — для всего перечня пострадавших доменов. По той же схеме «Руцентр» действовал неделей ранее, когда получил первый перечень на отзыв», — дополнил он.
Представитель «Руцентра» предупредил, что ситуация с пересмотром санкционных требований может в ближайшее время распространиться и на других иностранных поставщиков сертификатов — «прежде всего на американский Let's Encrypt». «Поэтому компаниям под санкциями стоит дополнительно удостовериться в готовности к таким отзывам и наличии альтернативных российских решений от Минцифры или ТЦИ», — подчеркнул он.
Другие опрошенные РБК доменные регистраторы сообщили РБК, что пока не получали от GlobalSign нового письма об отзыве сертификатов безопасности российских сайтов.
Представитель «ВЭБ.РФ» сообщил РБК, что отзыв затрагивает ограниченный круг внешних доменов корпорации. «Подобные шаги западных удостоверяющих центров мы предвидели и готовились к ним. Переход на отечественную инфраструктуру доверия — часть нашей стратегии. Ключевые сервисы мы перевели на сертификаты Национального удостоверяющего центра Минцифры заранее. Так что наших критичных ресурсов этот отзыв сертификатов не коснется», — добавил он, подчеркнув, что клиенты «ВЭБ.РФ» —это российские компании, которые работают в российском контуре. Сертификаты Минцифры уже поддерживают отечественные браузеры, они предустановлены в отечественных операционных системах, поэтому для аудитории компании соединение остается безопасным, добавил представитель.
РБК направил запрос в «Роснефть», «Газпромбанк», «Алросу», «Ростех», АНО «Диалог». Positive Technologies отказалась от комментариев.
Что это значит
GlobalSign была основана в 1996 году в Бельгии, а позже продана японскому холдингу GMO Internet Group, поэтому обязана соблюдать санкционные ограничения и ЕС, и Японии. После вступления в силу новых правил компания провела аудит портфеля и 13 июня начала принудительный отзыв сертификатов у российских клиентов.
GlobalSign в мире занимает второе место по количеству действующих сертификатов с долей 20,4%, уступая только некоммерческому Let's Encrypt (68,2%), следует из данных аналитического сервиса W3Techs на июнь 2026 года. Среди коммерческих центров сертификации GlobalSign — крупнейший. Он был единственным международным центром, открывшим представительство в России еще в 2013 году, и до последнего времени оставался единственным из крупных, кто продолжил полноценную работу с российскими клиентами — после того как в марте 2022 года Sectigo, DigiCert, Thawte, GeoTrust и RapidSSL прекратили выпуск сертификатов для российских доменов. Ранее замгендиректора Astra Cloud Константин Анисимов оценивал, что в коммерческом сегменте западных сертификатов GlobalSign занимает в России около 90% рынка, среди бесплатных сертификатов лидирует Let's Encrypt, а госсектор использует сертификаты Минцифры.
Без действующего сертификата безопасности зарубежные браузеры — Google Chrome, Safari, Firefox, Edge — отказываются открывать сайт или выводят предупреждение о небезопасном соединении. При отзыве сертификата центр вносит его серийный номер в специальный публичный список Certificate Revocation List, который браузеры проверяют при каждом подключении к сайту, и, если сертификат найден в списке, блокируют соединение.
Представитель Минцифры ранее говорил, что при отзыве иностранного сертификата «в худшем случае сайты и онлайн-сервисы, у которых они отзываются, могут быть недоступны непродолжительное время, пока владельцы получают новые сертификаты». В России с 2021 года работает Национальный удостоверяющий центр (НУЦ) Минцифры, который бесплатно выдает отечественные TLS-сертификаты через портал «Госуслуги». «Сертификат помогает передавать данные в зашифрованном виде, подтверждать подлинность сайта и защищает онлайн-транзакции», — напоминал он. По данным министерства, доля GlobalSign в Рунете не превышает 5%.
За последнюю неделю кратно выросло число заявок от корпоративных клиентов в центр сертификации ТЦИ, а также запросов на wildcard‑сертификаты (единый цифровой паспорт сайта, который защищает главный домен и все его поддомены одновременно) для защиты групп доменов внутри единой инфраструктуры, рассказал РБК гендиректор ТЦИ Алексей Рогдев. Ранее TLS‑сертификаты ТЦИ использовало ограниченное число заказчиков, они выполняли роль резервного инструмента или использовались для внутренней инфраструктуры. «Сейчас к российскому центру сертификации массово обращаются компании, которые раньше полагались на международные центры сертификации и не рассматривали национальный TLS в качестве базового решения. Для части из них выпуск сертификатов связан с заменой уже отозванных или потенциально проблемных с точки зрения санкций иностранных сертификатов», — дополнил Рогдев.