- 27,514
- 46
- 8 Ноя 2022
Под зачистку попало 15-20 тысяч доменов — и это только начало.
GlobalSign начал отзывать SSL-сертификаты , выданные российским компаниям. Для части сайтов и приложений это может обернуться предупреждениями в браузерах, ошибками входа и срочной заменой сертификатов. Процедура стартовала утром 13 июня и, по данным участников рынка, будет идти поэтапно.
SSL-сертификат нужен сайту не для красоты и не только для значка замка в адресной строке. Он подтверждает, что пользователь подключается к настоящему сайту, а не к подделке, и шифрует обмен данными между браузером и сервером. Если сертификат отозван, браузер видит его в списке недействительных и начинает предупреждать о небезопасном соединении или полностью блокировать доступ.
Причина отзыва связана с новыми требованиями CA/Browser Forum - международного объединения, которое задает правила для центров сертификации и разработчиков браузеров. В этот форум входят крупнейшие игроки рынка, включая Google, Apple, Microsoft и Mozilla. Обновленные правила усилили проверку организаций и сделали обязательной сверку с санкционными списками США и Европы.
GlobalSign принадлежит японской GMO Internet Group, но сам центр сертификации был основан в Бельгии и обязан соблюдать европейские санкционные ограничения. После вступления новых требований компания провела аудит уже выпущенных сертификатов и начала отзывать часть сертификатов у клиентов из России.
Российское юрлицо «Джи-Эм-О Глобал Сайн Раша» предупредило партнеров, что повлиять на решение глобального удостоверяющего центра не может. В письме гендиректора Дмитрия Рыжикова говорится, что отзыв начался 13 июня в 02:10 по британскому летнему времени, то есть в 04:10 по Москве.
Первые предупреждения пользователи получили уже утром. Т-банк разослал части клиентов СМС о возможных проблемах со входом на некоторые российские сайты и в приложения. Россельхозбанк отдельно предупредил, что старая версия Android-приложения может работать с ошибками.
Для обычного пользователя последствия выглядят просто: сайт открывается с красным предупреждением, браузер пишет, что соединение не защищено, а приложение может перестать подключаться к серверу. В корпоративных системах ситуация бывает жестче: доступ могут заблокировать автоматически, без возможности быстро продолжить работу через предупреждение.
Масштаб пока оценивают по-разному. Минцифры считает, что доля GlobalSign в Рунете не превышает 5%, поэтому массового отключения сайтов ждать не стоит. На рынке коммерческих сертификатов картина другая: по оценке Astra Cloud, среди западных коммерческих сертификатов GlobalSign занимал в России около 90%.
Один из собеседников рынка оценил список доменов второго уровня, попавших под отзыв, примерно в 15-20 тыс. Но домен второго уровня часто скрывает десятки, сотни или тысячи поддоменов. У крупных банков, технологических платформ, госсервисов и больших корпоративных систем сертификаты могут защищать отдельные личные кабинеты, API, внутренние панели, мобильные сервисы и платежные модули. Поэтому реальное число затронутых сертификатов может быть намного выше.
GlobalSign долго оставался для российского рынка особым случаем. Многие международные центры сертификации прекратили выпуск сертификатов для российских и белорусских доменов еще в марте 2022 года. GlobalSign продолжал работать с российскими клиентами и фактически оставался последним крупным коммерческим международным центром, который полноценно обслуживал этот сегмент.
При этом в мире GlobalSign сохраняет огромный вес. По данным W3Techs на июнь 2026 года, компания занимает второе место по количеству действующих сертификатов с долей 20,4%. Больше только у бесплатного Let's Encrypt , на который приходится 68,2%. Среди коммерческих центров сертификации GlobalSign остается крупнейшим.
Российские компании теперь будут срочно искать замену. Самый очевидный вариант для сайтов внутри страны - сертификаты Национального удостоверяющего центра Минцифры. Их выдают юридическим лицам бесплатно через Госуслуги. Но у такого решения есть ограничение: зарубежные браузеры не доверяют российскому корневому сертификату по умолчанию. Для части аудитории за пределами российской экосистемы проблема может сохраниться.
Другие варианты тоже не идеальны. Сертификаты центров из Китая или стран СНГ могут стоить заметно дороже и не дают полной защиты от новых санкционных решений. Бесплатный Let's Encrypt остается удобным для многих сайтов, но для компаний под санкционным риском и крупных инфраструктурных проектов его использование через обходные схемы может создать отдельные юридические и технические проблемы.
Сложнее всего придется мобильным приложениям, где используется certificate pinning - жесткая привязка к конкретному сертификату или центру сертификации. Если старый сертификат отозвали, приложение может просто перестать доверять серверу. В таком случае недостаточно заменить сертификат на сайте: нужно выпускать обновление приложения. А быстро провести обновление через зарубежные магазины сейчас не всегда возможно.
Похожая проблема возникает в приложениях со встроенными браузерными компонентами WebView. Если внутри приложения открываются страницы или личные кабинеты, завязанные на отозванный сертификат, пользователь может столкнуться с ошибкой даже тогда, когда основной сайт уже перевели на новый сертификат.
Отдельный риск связан с сертификатами для подписи программного кода. Такие сертификаты нужны, чтобы операционные системы доверяли приложениям и установщикам. Если российские разработчики потеряют доступ к международным сертификатам подписи кода и не найдут устойчивую замену, распространение программ для Windows, macOS и iOS станет сложнее.
Эксперты рынка считают, что нынешний отзыв не станет последним. Новые правила требуют жестче проверять организации по санкционным спискам, а значит, под удар могут попасть и другие компании. Часть крупных игроков готовилась к такому сценарию заранее, но для среднего бизнеса, который до последнего держался за зарубежные сертификаты ради совместимости с иностранными браузерами и клиентами, переход может пройти болезненно.
На рынке уже обсуждают экстренные временные меры, включая способы отложить проверку статуса отозванных сертификатов. Но такие решения не закрывают проблему и могут снижать уровень безопасности. Они дают только короткую паузу, чтобы владельцы сайтов, банковских сервисов и приложений успели выпустить новые сертификаты и обновить инфраструктуру.
Главный итог для Рунета неприятный: универсального решения больше нет. Сертификаты Минцифры подходят для российской инфраструктуры, но не работают как полноценная международная замена. Зарубежные центры могут стать дороже и рискованнее. А крупным сервисам придется заранее разделять аудиторию, приложения и цепочки доверия, чтобы следующий отзыв сертификатов не превращался в срочный ночной пожар.
GlobalSign начал отзывать SSL-сертификаты , выданные российским компаниям. Для части сайтов и приложений это может обернуться предупреждениями в браузерах, ошибками входа и срочной заменой сертификатов. Процедура стартовала утром 13 июня и, по данным участников рынка, будет идти поэтапно.
SSL-сертификат нужен сайту не для красоты и не только для значка замка в адресной строке. Он подтверждает, что пользователь подключается к настоящему сайту, а не к подделке, и шифрует обмен данными между браузером и сервером. Если сертификат отозван, браузер видит его в списке недействительных и начинает предупреждать о небезопасном соединении или полностью блокировать доступ.
Причина отзыва связана с новыми требованиями CA/Browser Forum - международного объединения, которое задает правила для центров сертификации и разработчиков браузеров. В этот форум входят крупнейшие игроки рынка, включая Google, Apple, Microsoft и Mozilla. Обновленные правила усилили проверку организаций и сделали обязательной сверку с санкционными списками США и Европы.
GlobalSign принадлежит японской GMO Internet Group, но сам центр сертификации был основан в Бельгии и обязан соблюдать европейские санкционные ограничения. После вступления новых требований компания провела аудит уже выпущенных сертификатов и начала отзывать часть сертификатов у клиентов из России.
Российское юрлицо «Джи-Эм-О Глобал Сайн Раша» предупредило партнеров, что повлиять на решение глобального удостоверяющего центра не может. В письме гендиректора Дмитрия Рыжикова говорится, что отзыв начался 13 июня в 02:10 по британскому летнему времени, то есть в 04:10 по Москве.
Первые предупреждения пользователи получили уже утром. Т-банк разослал части клиентов СМС о возможных проблемах со входом на некоторые российские сайты и в приложения. Россельхозбанк отдельно предупредил, что старая версия Android-приложения может работать с ошибками.
Для обычного пользователя последствия выглядят просто: сайт открывается с красным предупреждением, браузер пишет, что соединение не защищено, а приложение может перестать подключаться к серверу. В корпоративных системах ситуация бывает жестче: доступ могут заблокировать автоматически, без возможности быстро продолжить работу через предупреждение.
Масштаб пока оценивают по-разному. Минцифры считает, что доля GlobalSign в Рунете не превышает 5%, поэтому массового отключения сайтов ждать не стоит. На рынке коммерческих сертификатов картина другая: по оценке Astra Cloud, среди западных коммерческих сертификатов GlobalSign занимал в России около 90%.
Один из собеседников рынка оценил список доменов второго уровня, попавших под отзыв, примерно в 15-20 тыс. Но домен второго уровня часто скрывает десятки, сотни или тысячи поддоменов. У крупных банков, технологических платформ, госсервисов и больших корпоративных систем сертификаты могут защищать отдельные личные кабинеты, API, внутренние панели, мобильные сервисы и платежные модули. Поэтому реальное число затронутых сертификатов может быть намного выше.
GlobalSign долго оставался для российского рынка особым случаем. Многие международные центры сертификации прекратили выпуск сертификатов для российских и белорусских доменов еще в марте 2022 года. GlobalSign продолжал работать с российскими клиентами и фактически оставался последним крупным коммерческим международным центром, который полноценно обслуживал этот сегмент.
При этом в мире GlobalSign сохраняет огромный вес. По данным W3Techs на июнь 2026 года, компания занимает второе место по количеству действующих сертификатов с долей 20,4%. Больше только у бесплатного Let's Encrypt , на который приходится 68,2%. Среди коммерческих центров сертификации GlobalSign остается крупнейшим.
Российские компании теперь будут срочно искать замену. Самый очевидный вариант для сайтов внутри страны - сертификаты Национального удостоверяющего центра Минцифры. Их выдают юридическим лицам бесплатно через Госуслуги. Но у такого решения есть ограничение: зарубежные браузеры не доверяют российскому корневому сертификату по умолчанию. Для части аудитории за пределами российской экосистемы проблема может сохраниться.
Другие варианты тоже не идеальны. Сертификаты центров из Китая или стран СНГ могут стоить заметно дороже и не дают полной защиты от новых санкционных решений. Бесплатный Let's Encrypt остается удобным для многих сайтов, но для компаний под санкционным риском и крупных инфраструктурных проектов его использование через обходные схемы может создать отдельные юридические и технические проблемы.
Сложнее всего придется мобильным приложениям, где используется certificate pinning - жесткая привязка к конкретному сертификату или центру сертификации. Если старый сертификат отозвали, приложение может просто перестать доверять серверу. В таком случае недостаточно заменить сертификат на сайте: нужно выпускать обновление приложения. А быстро провести обновление через зарубежные магазины сейчас не всегда возможно.
Похожая проблема возникает в приложениях со встроенными браузерными компонентами WebView. Если внутри приложения открываются страницы или личные кабинеты, завязанные на отозванный сертификат, пользователь может столкнуться с ошибкой даже тогда, когда основной сайт уже перевели на новый сертификат.
Отдельный риск связан с сертификатами для подписи программного кода. Такие сертификаты нужны, чтобы операционные системы доверяли приложениям и установщикам. Если российские разработчики потеряют доступ к международным сертификатам подписи кода и не найдут устойчивую замену, распространение программ для Windows, macOS и iOS станет сложнее.
Эксперты рынка считают, что нынешний отзыв не станет последним. Новые правила требуют жестче проверять организации по санкционным спискам, а значит, под удар могут попасть и другие компании. Часть крупных игроков готовилась к такому сценарию заранее, но для среднего бизнеса, который до последнего держался за зарубежные сертификаты ради совместимости с иностранными браузерами и клиентами, переход может пройти болезненно.
На рынке уже обсуждают экстренные временные меры, включая способы отложить проверку статуса отозванных сертификатов. Но такие решения не закрывают проблему и могут снижать уровень безопасности. Они дают только короткую паузу, чтобы владельцы сайтов, банковских сервисов и приложений успели выпустить новые сертификаты и обновить инфраструктуру.
Главный итог для Рунета неприятный: универсального решения больше нет. Сертификаты Минцифры подходят для российской инфраструктуры, но не работают как полноценная международная замена. Зарубежные центры могут стать дороже и рискованнее. А крупным сервисам придется заранее разделять аудиторию, приложения и цепочки доверия, чтобы следующий отзыв сертификатов не превращался в срочный ночной пожар.
- Источник новости
- www.securitylab.ru
