Японский удостоверяющий центр GlobalSign 18 июня запустил вторую волну отзыва TLS-сертификатов у сайтов российских организаций, попавших под международные санкции. Соответствующее уведомление 17 июня получил крупнейший российский регистратор доменов "Региональный сетевой информационный центр" ("Руцентр") от генерального директора российского юрлица "Джи-Эм-О Глобал Сайн Раша" Дмитрия Рыжикова, рассказали источники РБК на рынке информационной безопасности и подтвердил представитель "Руцентра". Отзыв начался 18 июня в 17:15 мск.
В список на отзыв попали домены "Роснефти", "Газпромбанка", "Алросы", Positive Technologies, Объединенной авиастроительной корпорации (входит в "Ростех"), АНО "Диалог", "ВЭБ.РФ" и других организаций. Всего перечень включает около 310 доменных имен от 44 компаний. Первая волна отзыва прошла 13 июня. Тогда, по данным источника РБК, под угрозой находилось 15-20 тыс. доменов второго уровня, причем реальное количество сертификатов, подлежащих аннулированию, могло достигать сотен тысяч из-за поддоменов.
TLS-сертификат - это цифровой документ, подтверждающий подлинность сайта и шифрующий трафик между браузером и сервером. Без действующего сертификата зарубежные браузеры, включая Google Chrome, Safari и Firefox, блокируют доступ к ресурсу или выводят предупреждение о небезопасном соединении. Таким образом, отзыв сертификатов напрямую влияет на доступность сайтов для пользователей на Западе и работоспособность внешних интерфейсов компаний.
Причина отзыва - новые правила международного консорциума CA/Browser Forum, в который входят все крупнейшие центры сертификации и разработчики браузеров (Google, Apple, Microsoft, Mozilla). 4 мая консорциум утвердил документ, сделавший обязательной проверку клиентов по санкционным спискам: OFAC SDN List (Управление по контролю за иностранными активами США), BIS Denied Persons List (список лиц, лишенных права на экспорт) и их европейским аналогам. Как пояснил представитель "Руцентра", в письме GlobalSign "четко указано, что причина в комплаенс-требованиях по исполнению санкционных ограничений".
"Руцентр" начал оповещать администраторов доменов из списка о риске отзыва. Параллельно компания направила заявки в российский центр сертификации "Технический центр Интернет" (ТЦИ) для выпуска за свой счет отечественных сертификатов взамен потенциально отозванных - для всего перечня пострадавших доменов. По такой же схеме "Руцентр" действовал неделей ранее, после первой волны.
Представитель "Руцентра" предупредил, что ситуация с пересмотром санкционных требований может в ближайшее время затронуть и других иностранных поставщиков сертификатов, прежде всего американский Let's Encrypt. "Поэтому компаниям под санкциями стоит дополнительно удостовериться в готовности к таким отзывам и наличии альтернативных российских решений от Минцифры или ТЦИ", - подчеркнул он. Другие опрошенные РБК доменные регистраторы сообщили, что пока не получали от GlobalSign нового письма об отзыве сертификатов.
Представитель "ВЭБ.РФ" заявил РБК, что отзыв затрагивает ограниченный круг внешних доменов корпорации. "Подобные шаги западных удостоверяющих центров мы предвидели и готовились к ним. Переход на отечественную инфраструктуру доверия - часть нашей стратегии. Ключевые сервисы мы перевели на сертификаты Национального удостоверяющего центра Минцифры заранее. Так что наших критичных ресурсов этот отзыв сертификатов не коснется", - добавил он. Клиенты "ВЭБ.РФ" - российские компании, работающие внутри страны. Сертификаты Минцифры поддерживаются российскими браузерами и предустановлены в отечественных операционных системах, поэтому для аудитории корпорации соединение остается безопасным.
Решение GlobalSign и других зарубежных центров сертификации отзывать TLS-сертификаты у подсанкционных компаний формирует устойчивый тренд: западная инфраструктура доверия становится недоступной для российского бизнеса под ограничениями. Ответные действия "Руцентра" и отдельных организаций показывают, что ключевым сценарием остается замещение иностранных сертификатов отечественными аналогами от Минцифры или ТЦИ. Однако скорость и масштаб новых волн отзыва могут поставить под угрозу сотни тысяч доменов, особенно если к процессу подключатся другие удостоверяющие центры. Для компаний, не успевших перейти на российские решения, этот риск означает потерю видимости для внешних пользователей и возможные репутационные и бизнес-потери.
