GlobalSign начала отзывать часть SSL-сертификатов, выданных российским компаниям. Для владельцев сайтов это означает риск потерять корректную работу HTTPS, а пользователи увидят предупреждения браузера о небезопасном соединении. По оценкам участников рынка, проблема может затронуть от 15 тыс. до 20 тыс. доменов второго уровня, а с учетом поддоменов счет пойдет на сотни тысяч сертификатов.
О начале процедуры стало известно из письма гендиректора российского подразделения «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова партнерам компании. Как сообщил РБК, причиной стали обновленные требования CA/Browser Forum. Этот консорциум формирует базовые правила для удостоверяющих центров и браузеров, а его требования фактически обязательны для игроков, чьи корневые сертификаты встроены в Chrome, Safari, Firefox и другие продукты.
Новые правила требуют учитывать санкционные ограничения не только при выпуске новых сертификатов, но и при обслуживании уже действующих. После отзыва сертификата сайт не перестает открываться физически, но браузер может пометить соединение как небезопасное или заблокировать доступ без ручного обхода предупреждения. Для интернет-магазина, банка или корпоративного кабинета это обычно равносильно потере трафика и части операций.
Оценки масштаба расходятся. В Минцифры заявили, что доля GlobalSign в российском интернете не превышает 5% и напомнили о российских TLS-сертификатах, которые можно бесплатно получить через Национальный удостоверяющий центр. Участники рынка дают иную картину. В Astra Cloud утверждают, что среди коммерческих зарубежных сертификатов GlobalSign в России занимает до 90%, тогда как бесплатный сегмент в основном закрывает Let’s Encrypt.
Риск не ограничивается сайтами. Сертификаты используют для API, почтовых шлюзов, VPN, внутренних панелей управления и подписи программ. Если приложение жестко проверяет заранее заданный сертификат по схеме certificate pinning, отзыв может оборвать связь с сервером до выхода обновления. Такой сценарий особенно болезнен для мобильных приложений и корпоративного софта, который обновляют не по нажатию одной кнопки.
Проблема назревала не первый год. После 2022 года несколько западных поставщиков сертификатов и облачной инфраструктуры начали ограничивать работу с российскими клиентами, особенно если речь шла о санкционных компаниях и госструктурах. На этом фоне Россия запустила собственную схему доверенных сертификатов через Национальный удостоверяющий центр.
У этой замены есть технический предел. Российские сертификаты работают в экосистеме, где соответствующие корневые сертификаты добавлены в хранилище доверия, прежде всего в российских браузерах и ряде отечественных ОС. Международные браузеры их по умолчанию не признают. Поэтому для сайта с заметной зарубежной аудиторией или для сервиса, завязанного на иностранные устройства и приложения, переход на локальный сертификат решает одну проблему и создает другую.
Есть и экономический фон. По данным W3Techs, HTTPS давно стал стандартом де-факто и используется у подавляющего большинства сайтов из мирового топа. Потеря доверенного сертификата сегодня бьет не по «дополнительной защите», а по базовой доступности сервиса. Для e-commerce и финтеха даже несколько часов с предупреждением браузера обычно означают просадку конверсии и рост обращений в поддержку.
Ситуация с GlobalSign важна еще и потому, что рынок удостоверяющих центров сильно концентрирован. Корневое доверие контролируют считаные игроки, а правила для них задают не национальные регистраторы доменов, а консорциумы и программы доверия Google, Apple и Mozilla. Если аналогичный подход начнут жестко применять и другие центры, российским компаниям придется выбирать между локальной совместимостью и международной.
Для хостинг-провайдеров и интеграторов это означает срочную инвентаризацию сертификатов и зависимостей. Нужно проверить не только публичные домены, но и все промежуточные сервисы, балансировщики, CDN-узлы, MDM-системы и мобильные клиенты. Обычно именно такие «невидимые» связки ломаются первыми, а ищут их уже после того, как пользователи перестали логиниться.
В ближайшие недели рынок получит более точный масштаб по числу реально отозванных сертификатов и списку затронутых компаний. Если оценки в 15-20 тыс. доменов подтвердятся, это станет крупнейшей волной вынужденной миграции TLS-настроек в российском сегменте сети со времени запуска национального удостоверяющего центра в 2022 году.