Японский удостоверяющий центр GlobalSign утром 13 июня начал принудительный отзыв ранее выпущенных SSL-сертификатов (цифровых сертификатов, подтверждающих подлинность сайта и шифрующих соединение) у российских компаний. Процедура стартовала в 04:10 по московскому времени и затронет, по оценкам участников рынка, от 15 до 20 тысяч доменов второго уровня. Реальный масштаб с учётом поддоменов может измеряться сотнями тысяч сертификатов.
Причина отзыва - обновлённые требования международного консорциума CA/Browser Forum, глобального регулятора, объединяющего всех крупнейших разработчиков браузеров и удостоверяющие центры. Документ, вступивший в силу 4 мая, сделал обязательной проверку организаций на присутствие в санкционных списках OFAC SDN, BIS Denied Persons и их европейских аналогах. Ранее такая проверка носила рекомендательный характер. GlobalSign, основанная в Бельгии и принадлежащая японской холдинговой компании GMO Internet Group, обязана соблюдать санкционные ограничения Евросоюза. После аудита портфеля центр сертификации начал поэтапно аннулировать сертификаты российских клиентов.
Генеральный директор российского подразделения "Джи-Эм-О Глобал Сайн Раша" Дмитрий Рыжиков в письме партнёрам подтвердил: компания "не имеет правовых или технических рычагов влияния" на решение консорциума. Письмо цитирует РБК со ссылкой на источник и четырёх собеседников среди хостинг-провайдеров.
Для пользователей отзыв сертификата означает появление в браузерах предупреждения о небезопасном соединении или полную блокировку доступа к ресурсу. Браузеры сверяют серийный номер сертификата с публичным списком отозванных сертификатов (Certificate Revocation List) при каждом подключении. После попадания в список ресурс перестаёт вызывать доверие у Google Chrome, Safari, Firefox и других программ. Первые СМС-предупреждения клиентам разослал Т-Банк, Россельхозбанк сообщил о возможных ошибках в старой версии приложения для Android.
GlobalSign оставалась последним крупным коммерческим центром сертификации, который продолжал полноценную работу с российскими клиентами после того, как в марте 2022 года Sectigo, DigiCert, Thawte, GeoTrust и RapidSSL прекратили выпуск сертификатов для доменов .RU, .РФ, .SU и .BY. Замгендиректора Astra Cloud Константин Анисимов оценил долю GlobalSign на российском рынке коммерческих зарубежных сертификатов примерно в 90%. В Минцифры привели иную оценку - не более 5% в масштабах Рунета - и напомнили, что с 2021 года юрлица могут бесплатно получить отечественные TLS-сертификаты через Национальный удостоверяющий центр на портале "Госуслуги".
Однако российские сертификаты не признаются зарубежными браузерами по умолчанию, а переход на удостоверяющие центры из других стран не страхует от аналогичных отзывов. Генеральный директор RUVDS Никита Цаплин назвал происходящее "серьёзным инфраструктурным риском" и ожидаемым финальным этапом ухода международных центров сертификации из России. По его словам, наиболее уязвимыми окажутся мобильные приложения с механизмом закреплением конкретного сертификата. После отзыва приложение может полностью потерять связь с серверами до выпуска обновления, а оперативно провести его через зарубежные маркетплейсы сейчас затруднительно.
Независимый эксперт по информационной безопасности Алексей Лукацкий указал на ещё одно последствие: GlobalSign и Let's Encrypt выдают сертификаты для подписи программного кода, без которых невозможно установить приложение на операционные системы Windows, macOS или iOS. Если российские разработчики не найдут альтернативу, легальное распространение софта за рубежом окажется под вопросом. Он также отметил, что нынешний отзыв не станет последним. Под новые требования подпадает большое количество компаний, уже затронутых санкциями.
Российскому бизнесу придётся разделять инфраструктуру на внутренний и внешний контуры либо смириться с блокировками для части аудитории. Сертификаты Минцифры закрывают потребности внутри страны, но не решают задачу глобальной совместимости. Let's Encrypt остаётся вариантом для многих сайтов, однако для крупных игроков с высокими регуляторными требованиями его использование через обходные схемы создаёт дополнительные риски. Принудительный отзыв сертификатов не станет единичным эпизодом, обновлённые правила уже действуют, и следующая волна затронет другие компании, оказавшиеся под санкционными ограничениями.
