GlobalSign начала вторую волну отзыва TLS-сертификатов
Японский центр сертификации GlobalSign начал вторую волну отзыва TLS-сертификатов у российских организаций, попавших под международные санкции. Процесс стартовал 18 июня в 17:15 мск, сообщил РБК со ссылкой на письмо гендиректора российского юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова в адрес регистратора Ru-Center. Для затронутых сайтов это означает риск предупреждений о небезопасном соединении в браузерах и краткого сбоя, если администраторы не успеют заменить сертификаты.
В список доменов, сертификаты по которым подлежат отзыву, вошли ресурсы «Роснефти», «Газпромбанка», «Алросы», Positive Technologies, Объединенной авиастроительной корпорации, АНО «Диалог», ВЭБ.РФ и других структур. По данным издания, Ru-Center начал связываться с администраторами доменов и направил заявки в российский Технический центр Интернет, чтобы выпустить для них новые сертификаты за свой счет.
TLS-сертификат подтверждает подлинность сайта и шифрует трафик между пользователем и сервером. Без него Chrome, Safari и Firefox либо показывают заметное предупреждение, либо блокируют загрузку страницы. Для банков, госструктур и крупных корпоративных порталов это проблема не имиджа, а доступности сервиса.
В Минцифре ранее предупреждали, что российские сайты могут бесплатно получать отечественные сертификаты через «Госуслуги». Ведомство оценивало долю GlobalSign в Рунете менее чем в 5%, хотя в коммерческом сегменте зарубежных сертификатов эксперты, опрошенные РБК, дают компании около 90% российского рынка. По их оценке, отзыв может затронуть 15-20 тыс. доменов второго уровня, а с учетом вложенных поддоменов счет может идти на сотни тысяч и даже миллионы сайтов.
Отзыв TLS-сертификатов GlobalSign
Это не первая такая история для российского сегмента интернета. После введения санкций в 2022 году власти запустили национальную инфраструктуру TLS-сертификатов и предложили использовать ее для государственных ресурсов, банков и компаний, которым зарубежные удостоверяющие центры могут отказать в обслуживании. Тогда же Минцифры впервые начало выпуск сертификатов через «Госуслуги».
У этой схемы есть ограничение: отечественные сертификаты не встроены в глобальные хранилища доверия браузеров и мобильных ОС. Поэтому для бесшовной работы на всех устройствах компании по возможности держались за международных поставщиков, а российские сертификаты чаще использовали как резервный вариант или для ограниченного круга пользователей. В корпоративной среде это решаемо настройками, в массовом интернете сложнее.
Риск расширения отзывов связан не только с GlobalSign. В материале РБК говорится, что в ближайшие дни аналогичные действия могут предпринять и другие зарубежные центры сертификации, в первую очередь Let’s Encrypt. Это чувствительный сценарий: Let’s Encrypt выдает бесплатные сертификаты и остается крупнейшим игроком на мировом рынке, обслуживая сотни миллионов сайтов. Если ограничения дойдут и до Let’s Encrypt, проблема выйдет далеко за пределы крупных санкционных компаний и может затронуть малый бизнес, медиа и сервисы, которые автоматизировали выпуск сертификатов через ACME.
В ближайшие дни главным вопросом станет не масштаб действий GlobalSign, а то, присоединятся ли к ним другие иностранные центры сертификации. Если отзыв ограничится нынешним списком, эффект останется точечным и сведется к срочной замене сертификатов. Если ограничения дойдут и до Let’s Encrypt, российскому интернету придется в ускоренном режиме переводить на локальные решения уже не тысячи, а заметно большее число ресурсов.
