Японский центр сертификации GlobalSign начал принудительно отзывать SSL-сертификаты у российских компаний. Для части сайтов это означает предупреждения о небезопасном соединении в Chrome, Safari, Firefox и Edge, а для некоторых сервисов и приложений — кратковременные сбои при подключении. По оценке участников рынка, проблема может затронуть до 15-20 тыс. доменов второго уровня, не считая поддоменов.
Об отзыве сертификатов утром 13 июня сообщил РБК со ссылкой на письмо российского юрлица GlobalSign и участников рынка. SSL-сертификат подтверждает подлинность сайта и обеспечивает HTTPS-соединение. После его отзыва браузер перестаёт доверять ресурсу, даже если сам сервер продолжает работать штатно.
Причиной стали обновлённые требования CA/Browser Forum, отраслевого консорциума, в который входят разработчики браузеров и крупнейшие удостоверяющие центры, включая Apple, Google, Mozilla и Microsoft. После изменения регламентов проверка организаций по санкционным спискам стала обязательной процедурой для выпуска и обслуживания сертификатов. Для международных УЦ это не формальность: нарушение правил грозит исключением корневых сертификатов из доверенных хранилищ браузеров и операционных систем.
Первые предупреждения уже начали рассылать банки и сервисные компании. Т-Банк уведомил часть клиентов о возможных проблемах со входом на некоторые российские сайты и в приложения. Россельхозбанк предупредил о сбоях в старых версиях Android-приложения. В Минцифры допустили кратковременную недоступность сайтов и онлайн-сервисов на время перевыпуска сертификатов.
Наиболее уязвимы мобильные приложения, где сертификат жёстко закреплён внутри программы. Веб-сайт можно сравнительно быстро перевести на другой TLS-сертификат, а приложение в этом случае требует обновления, которое ещё должно дойти до пользователя. Если обновление не выпущено заранее, приложение теряет связь с сервером даже при исправной серверной инфраструктуре.
Зависимость российских сайтов от иностранных центров сертификации стала заметной ещё в 2022 году, когда часть западных поставщиков начала ограничивать обслуживание клиентов из России и Белоруссии. Тогда рынок ускоренно переключился на запасные схемы: компании переносили выпуск сертификатов к другим зарубежным УЦ, а государство продвигало собственную систему TLS-сертификатов через Национальный удостоверяющий центр.
Проблема в том, что сертификат полезен лишь тогда, когда ему доверяет конечное устройство. Международные сертификаты автоматически распознаются Chrome, Safari, Firefox и Edge, потому что их корневые центры включены в глобальные trust store. Российские сертификаты внутри страны использовать можно, и для этого Минцифры предлагает выпуск через «Госуслуги», но за пределами отечественной экосистемы совместимость зависит от браузера, приложения и настроек конкретного устройства.
GlobalSign относится к числу крупных международных игроков в сегменте корпоративных сертификатов. На массовом рынке доминирует Let’s Encrypt, который выдает бесплатные DV-сертификаты и обслуживает сотни миллионов сайтов, но корпоративные заказчики часто выбирают платных поставщиков из-за процедур верификации, поддержки и интеграции с внутренними системами безопасности. Поэтому отзыв сертификатов у юрлиц бьёт не только по витринным сайтам, а по личным кабинетам, API, платежным шлюзам и мобильным приложениям.
Для бизнеса это ещё и операционный риск. Срок жизни TLS-сертификатов в отрасли последовательно сокращается, а ротация ключей и сертификатов становится более частой процедурой. Это повышает цену ошибок в инфраструктуре: если компания не держит запасной сценарий перевыпуска, сбой из технической детали быстро превращается в проблему для продаж, авторизации и клиентской поддержки.
Ближайшие дни покажут масштаб миграции на новые сертификаты. Если оценка в 15-20 тыс. доменов подтвердится, речь пойдёт об одном из крупнейших разовых пересмотров TLS-инфраструктуры в российском сегменте интернета с 2022 года. Дольше других восстанавливаться будут не сайты, а мобильные клиенты и встроенные корпоративные системы, где обновление цепочки доверия занимает не часы, а недели.