Поговаривают, что 13 июня GlobalSign вслед за Let’s Encrypt начал без объявления войны отзыв TLS-сертификатов у российских сайтов. Что характерно, хотя вой поднялся до небес и версии выдвигаются самые разнообразные, вплоть до очередного жидомасонскогобандеровского заговора, названия конкретных пострадавших сайтов никто не приводит, их количеством никто не пугает. Сообщается лишь, что отзыв может затронуть «до 20.000 российских сайтов». Может затронуть, а может и 0 – это тоже «до 20.000».
Минцифры тут же радостно завело старую песню о главном об импортозамещении, коим уже воспользовались полтора землекопа.
Что произошло на самом деле? Два популярных у российских сайтовладельцев члена CA/Browser Forum приступили к исполнению Order 66 параграфа 3.2.2.12.2 Extended Validation Guidelines версии 2.0.2, которая вступила в силу еще 4 мая, а была утверждена 27 февраля, о чем заинтересованные лица узнали по традиции внезапно, когда грянул гром.
Краткий пересказ параграфа 3.2.2.12.2: УЦ членов CA/Browser Forum при выдаче TLS-сертификата должны проверять, что он не запрошен лицом, находящимся под санкциями страны регистрации УЦ или США. Про отзыв ранее выданных сертификатов ничего не сказано, что, разумеется, не отменяет возможности забега впереди паровоза в порядке частной инициативы и других рекордов на спецолимпиаде.
Желаете получить TLS-сертификат для сайта, владелец которого признан иноагентом или, напротив, внесен в санкционные списки Госдепа? Нет? Тогда не льстите себе, он не попадет в те самые пресловутые «до 20.000».
Комментарии (25)
censor2005
16.06.2026 01:08Правильно ли я понял, что ограничение коснётся только Extended Validation (EV) сертификатов? Обычные DV и Wildcard получать можно без ограничений, так как в них можно вписать организацию от балды?
ifap Автор
16.06.2026 01:08Теоретически можно, т.к. в правилах не сказано, что проверять должны лицо, в интересах которого фактически будет использоваться сертификат, а не запросившего его Васю Пупкина или ООО "Аленький цветочек". Но надо смотреть, не нарушает ли это каких-то более общих правил.
LiamBlue
16.06.2026 01:08Вот отчего бы России не создать свой УЦ? Для использования на территории страны и возможно сопредельных государств? Не принадлежащий государству, и никак от госструктур не зависящий? Корневые сертификаты МинЦифры не годятся.
Почему бы такой УЦ не разместить где-нибудь в нейтральной стране? Те же ОАЭ, например. Как и телеграм. Они достаточно нейтральны?
Тогда бы достаточному количеству людей в пост-СССР показалось бы убедительным, что такой корневой сертификат можно поставить на свой компьютер.
Плохо, что Thawte не предоставляет сертификаты для России. ЮАР оказалась не нейтральной страной.
pavel_raskin
16.06.2026 01:08Корневой сертификат такого УЦ должны признавать остальные участники. Без этого смысла нет. Иначе будет аналог сертификатов Минцифры.
LiamBlue
16.06.2026 01:08Нужно, чтобы УЦ пользовался доверием. Сертификаты Минцифры им не пользуются по причине аффилированности с госструктурами и государством Россия.
Даже если корневой сертификат такого УЦ другие участники признавать не будут (он не будет встраиваться в список корневых сертификатов браузеров), всё равно у него будет больше шансов быть установленным самими юзерами в частном порядке.
Телеграмом, вот например, масса населения России вполне себе пользуется, и ему доверяет. Доверяет шифрованию, секретности коммуникаций. Независимости от властей РФ. Это показательный пример.
Может как раз Павлу Дурову стоит задуматься об этом вот УЦ?
Aelliari
16.06.2026 01:08Доверяет шифрованию, секретности коммуникаций
Они просто не понимают что их переписка в облачных чатах телеграм лежит в открытом (для сервера телеграм) виде. А секретные чаты реализованы неудобно (намеренно неудобно?)
Manguss
16.06.2026 01:08Мы в принципе на пороге кризиса доверия, голосовой и видео звонок уже не гарантируют что ты общаешься именно с этим человеком которого ты видишь и слышишь, видео пруфы события так же не достоверны. В таких реалиях нельзя верить получается ничему, везде может быть подмена и обман, интересно как будет решать эту проблему человечество.
dvmuratov
16.06.2026 01:08Нужно делать иначе. У каждой страны в мире должен быть свой национальный УЦ. И все сертификаты национальных УЦ должны прописываться в браузерах, ОС и так далее.
Aelliari
16.06.2026 01:08Это не решает проблему доверия. Ты предлагаешь частным компаниям принудительно встраивать в их хранилище доверенных чужие сертификаты. При чем вне зависимости от желания компании и соответствия CA требованиям
ant3mc
16.06.2026 01:08"ЮАР оказалась не нейтральной страной".
Вспомнил историю с RISC-V . Они в 2020 переехали из США в Швейцарию, объяснив это стремлением избежать санкционного давления. В итоге всё равно подчинились санкциям США, сильно "понизив" росс. участников.
https://habr.com/ru/companies/riscvalliance/articles/1032524/comments/#comment_29943262
Можно и Линукс вспомнить (который понизил росс. мэйнтейнеров), но те хотя бы американская компания.
v_0ver
16.06.2026 01:08Да сколько угодно насоздавай УЦ и сертификатов, всё решают компании из США - Google/Apple/Mozilla/Microsoft/CISCO итд, захотят они не класть твой сертификат к хранилище рутовых сертификатов своего ПО, ты там и не окажешся.
Rusadmin72
16.06.2026 01:08Абсолютно согласен, все зависит от того, есть корневой сертификат твоего УЦ в списке доверенных ОС/приложения или нет. Остальное влажные мечты.
Я так же корневой при помощи openssl создаю и от него выпускаю, только чё толку то от него - ему доверяю только я
ant3mc
16.06.2026 01:08вот что Гугл ответил:
Под ИТ-санкции в контексте выдачи и обслуживания международных SSL/TLS-сертификатов в России подпадают все юридические и физические лица, включенные в блокирующие санкционные списки США (SDN-лист) и ЕС, а также любые государственные ведомства и министерства. [1, 2]
В июне 2026 года международный консорциум CA/Browser Forum обновил правила безопасности, обязав абсолютно все крупные центры сертификации жестко соблюдать санкции. Это привело к массовым принудительным отзывам цифровых сертификатов для тысяч российских интернет-ресурсов. [2, 3, 4]
...
Как ведут себя ключевые мировые УЦ?
GlobalSign (Япония/Бельгия): С 13 июня 2026 года запустил поэтапный принудительный отзыв ранее выданных бизнесу из РФ SSL-сертификатов повышенной надежности (OV и EV), если их владельцы прямо или косвенно связаны с санкционными списками. [5, 6]
Let's Encrypt (США): Внес изменения в пользовательское соглашение. Некоммерческий УЦ официально запретил выдачу бесплатных автоматических сертификатов для российских госучреждений, компаний из SDN-листа и лиц под экспортными ограничениями США. При этом в организации уточнили, что обычных граждан и неподсанкционный частный бизнес ограничения пока не касаются. [1, 6]
...
ant3mc
16.06.2026 01:08В связи с июньскими ограничениями 2026 года под принудительный отзыв международных SSL-сертификатов от GlobalSign попали абсолютно все российские банки, находящиеся под блокирующими санкциями (в списках SDN США или ЕС). [1]
Среди банков, которые уже официально подтвердили рассылку предупреждений для своих клиентов или столкнулись с отзывом, выделяются следующие финансовые организации:
Т-Банк — разослал клиентам уведомления о возможных временных сбоях при входе на веб-сайты. [2, 3]
Россельхозбанк (РСХБ) — предупредил пользователей о возможных ошибках в работе старых версий мобильного приложения на смартфонах Android. [2, 3]
Сбербанк, ВТБ, Альфа-Банк, Промсвязьбанк, Совкомбанк — эти и другие крупнейшие подсанкционные банки начали системно терять зарубежные сертификаты безопасности еще в прошлые волны санкций и практически полностью перешли на отечественное шифрование НУЦ Минцифры. Текущее ужесточение правил закрывает для них последние лазейки по использованию сторонних иностранных УЦ через дочерние структуры. [1, 4]
Как это влияет на клиентов банков?
Проблемы с веб-версиями и личными кабинетами: Если банк не успел оперативно заменить отозванный сертификат, зарубежные браузеры (Chrome, Safari, Edge) заблокируют вход на сайт банка или покажут ошибку безопасности. [5, 6]
Сбои в мобильных приложениях: Могут перестать работать старые или необновленные версии мобильных банковских приложений на Android, так как они теряют защищенную связь с серверами банка.
ant3mc
16.06.2026 01:08"заинтересованные лица узнали внезапно"
Именно сейчас начался массовый отзыв сертификатов. А меры "заинтересованными лицами" предпринимаются давно-
Подготовка в России к сценарию тотального отзыва иностранных SSL/TLS-сертификатов велась системно и поэтапно с 2022 года, что позволило избежать моментального коллапса критической инфраструктуры рунета в июне 2026 года. [1]
Государство и ИТ-индустрия выстраивали полностью независимый внутренний контур шифрования, действуя сразу по нескольким направлениям. [2]
1. Создание Национального удостоверяющего центра (НУЦ)
В марте 2022 года Минцифры оперативно развернуло государственный Национальный удостоверяющий центр. К моменту массовых отзывов 2026 года он уже был полностью протестирован и готов к кратным нагрузкам: [3, 4, 5]
Бесплатный выпуск: Любое российское юрлицо, физлицо или ИП может бесплатно и за пару дней получить TLS-сертификат уровней DV (проверка домена) и OV (проверка организации) через портал Госуслуг. [5, 6]
Двойной стандарт: Сертификаты НУЦ выпускаются как на базе отечественных алгоритмов шифрования (ГОСТ), так и на базе общемирового стандарта RSA, чтобы обеспечивать совместимость с разным ПО. [5, 6]
Яндекс Браузер и Атом (от VK) заблаговременно получили встроенные корневые сертификаты Минцифры.
3. Стратегия крупного бизнеса и банков
Крупнейшие банки (Сбербанк, ВТБ) полностью перевели свои веб-версии на сертификаты Минцифры еще в 2022–2023 годах, параллельно обучая клиентов ставить отечественные сертификаты на смартфоны и ПК.Для защиты мобильных приложений подсанкционные компании использовали технологию своего УЦ внутри приложения: в код мобильного банка под Android заранее «зашивалось» доверие к собственным серверам, минуя проверки систем Google. [3]
4. Экстренные меры на стороне провайдеров
Поскольку для среднего и малого частного бизнеса массовый июньский отзыв стал болезненным, российские хостинг-провайдеры и ИТ-эксперты задействовали временные технические лазейки: [1]
Игнорирование статуса отзыва: На некоторых внутренних узлах связи настраивается короткая пауза или игнорирование списков отзыва сертификатов (CRL/OCSP), чтобы дать сайтам «дожить» несколько дней до перевыпуска.
-
Разделение трафика: Крупные веб-ресурсы начали разделять потоки: пользователям из РФ отдается российский сертификат Минцифры, а для зарубежного трафика экстренно выпускаются неподсанкционные международные аналоги. [1]
Влияние санкций жестко разделило малый бизнес по типу деятельности:
Неподсанкционный b2c-бизнес (магазины, кофейни, салоны): Они пострадали косвенно, если использовали массовые зарубежные конструкторы сайтов или хостинги, попавшие под веерные блокировки. Им приходится вручную перевыпускать бесплатные сертификаты Let’s Encrypt или менять провайдера.
Партнеры госсектора и подсанкционных гигантов: Небольшие b2b-компании, ИТ-стартапы или подрядчики, которые частично принадлежат подсанкционным лицам или работают на доменах госорганов, попали под прямые блокировки без права использовать международные УЦ.
ant3mc
16.06.2026 01:08Да, под принудительный отзыв попали именно основные адреса сайтов — домены второго уровня (company.ru).
Это привело к «эффекту домино» для всей ИТ-инфраструктуры затронутых компаний из-за следующих технических особенностей:-
Массовый отзыв поддоменов: Блокировка домена второго уровня (company.ru) автоматически означает аннулирование всех его поддоменов третьего, четвертого и последующих уровней (lk.company.ru, api.company.ru, payment.company.ru). У крупных технологических платформ и банков таких поддоменов могут быть тысячи.
Отзывают Wildcard-сертификаты: Компании часто покупают один общий сертификат (Wildcard) вида *.company.ru, чтобы защитить всю свою сеть сайтов. При отзыве такого сертификата из-за санкций «падает» безопасность абсолютно всех сервисов компании разом.
-
ant3mc
16.06.2026 01:08Ещё интереснее-
Да, это прямое и жесткое требование глобального регулятора интернета.Массовый отзыв цифровых паспортов российских сайтов происходит не по личной инициативе отдельных компаний, а из-за обновленных правил консорциума CA/Browser Forum. [1]
Что это за организация?
CA/Browser Forum — это главный международный регулятор в сфере веб-безопасности. В него на равных правах входят: [1, 2]
Разработчики браузеров и ОС (Google, Apple, Microsoft, Mozilla), которые решают, каким сайтам открывать доступ.
Центры сертификации (CA) (GlobalSign, DigiCert, Let's Encrypt и др.), которые эти сертификаты технически выпускают. [1]
Суть нового требования
Регулятор принял нормативный документ, который сделал проверку клиентов по "международным" санкционным спискам строго обязательной, а не рекомендательной, как это было раньше. Удостоверяющие центры теперь обязаны проверять всех владельцев сайтов по базам: [3]
OFAC SDN List (блокирующие санкции США).
BIS Denied Persons List (экспортные ограничения США).
Аналогичным санкционным спискам Евросоюза. [3]
Почему центры сертификации беспрекословно ему подчиняются?
Если условный GlobalSign или Sectigo откажется выполнять требования CA/Browser Forum и продолжит обслуживать подсанкционный бизнес из РФ, наказание будет мгновенным и фатальным для их бизнеса. [4]
Google, Apple и Microsoft просто исключат этот удостоверяющий центр из своих «белых списков» (Root Programs). После этого все сертификаты данного УЦ по всему миру перестанут признаваться браузерами Chrome, Safari и Edge, а сама компания-нарушитель мгновенно обанкротится. Поэтому у международных УЦ просто нет технического или правового выбора — они обязаны исполнять регламент.
LiamBlue
16.06.2026 01:08Там похоже ещё хлеще. Разработчики браузеров и ОС вообще могут прописать в их коде отказ устанавливать в браузере или ОС какие-то конкретные корневые сертификаты. Т.е. просто устроить дискриминацию по своему произволу.
Т.е. даже если вы создадите свой УЦ. Даже если юзеры захотят ставить корневой сертификат этого УЦ на свои браузеры, на свои компьютеры. То всё равно, разработчики этого браузера легко могут запретить это сделать.
ant3mc
16.06.2026 01:08Интересно, что даже этот мой коммент про CA/Internet forum (уровень выше) заминусили!
Да , и конечно российским "иноагентам" ничего не грозит.
В соответствии с правилами CA/Browser Forum, УЦ обязаны соблюдать законы той страны, в которой они физически зарегистрированы или ведут операционную деятельность.
Что это за страны ?Хотя американские (OFAC, BIS) и европейские санкции наносят самый массовый удар, требования комплаенса для международных удостоверяющих центров (УЦ) охватывают глобальную систему ограничений, привязанную к юрисдикциям ключевых участников ИТ-рынка. [1, 2]
Международные УЦ обязаны проверять клиентов по следующим спискам:
1. Списки ООН (ООН / UN Consolidated List)
Это базовый, фундаментальный список ограничений, который признан на международном уровне. Любой УЦ в мире (независимо от того, находится он в США, Европе или Азии) по умолчанию блокирует организации и лица, внесенные в перечни Совета Безопасности ООН. [1, 3, 4, 5]
2. В соответствии с правилами CA/Browser Forum, УЦ обязаны соблюдать законы той страны, в которой они физически зарегистрированы или ведут операционную деятельность. Из-за этого в силу вступают: [6, 7]
Национальные списки Великобритании (UK OFSI)Списки Японии (там юрисдикция GlobalSign)
Списки Швейцарии
Почему все говорят именно про США и ЕС?
Экстерриториальность: Санкции США (в частности, списки OFAC SDN) имеют «вторичный» характер. Если условный азиатский или европейский УЦ попытается их проигнорировать, США могут наказать его финансово, перекрыв доступ к долларовой системе. [3, 5]
Контроль над Root Programs: Как упоминалось ранее, ключевые создатели правил — это Google, Apple и Microsoft. Будучи американскими корпорациями, они технически зашивают в правила CA/Browser Forum приоритет комплаенс-процедур США (таких как проверка по базам BIS Denied Persons/Entities). [6]
Таким образом, для российского бизнеса, попавшего под ограничения, заблокирован доступ практически ко всей глобальной сети доверенных УЦ, включая американские, европейские, британские и японские площадки. [2]
ant3mc
16.06.2026 01:08Здесь особенно важна роль вторичных санкций.
Индийские и прочие удостоверяющие центры (УЦ) точно так же подпадают под действие вторичных санкций США. Более того, они обязаны соблюдать те же правила веб-индустрии, что и любые другие мировые игроки. [1, 2] В Индии есть крупные национальные УЦ, имеющие международное признание (например, eMudhra). Однако использовать их как «обходной путь» для подсанкционного российского бизнеса не получится по двум критическим причинам: [3]1. Прямой риск вторичных санкций для индийских компаний
Вторичные санкции США сформулированы экстерриториально. Это означает, что если Минфин США (OFAC) зафиксирует, что индийский УЦ выдал SSL-сертификат российскому банку из SDN-листа (например, Сбербанку или Т-Банку), санкции будут наложены на сам индийский УЦ. [1, 2, 4]
Цена нарушения: Индийская компания мгновенно потеряет право вести расчеты в долларах, лишится американских контрактов и будет изолирована от глобальной финансовой системы.
2. Зависимость от американских Root Programs (Главный рычаг)
Чтобы сертификаты индийского УЦ признавались браузерами по всему миру, этот УЦ должен находиться в «белых списках» (Root Stores) операционных систем Apple, Google и Microsoft. [3]
По законам США эти американские ИТ-гиганты обязаны немедленно удалить из своих систем любой иностранный УЦ, который уличен в помощи подсанкционным российским структурам.
Если eMudhra или другой индийский центр выдаст сертификат подсанкционной компании из РФ, Apple и Google и Microsoft вычеркнут его из систем iOS, Android, macOS и Windows. После этого индийские сертификаты перестанут работать по всему миру, что мгновенно уничтожит бизнес этого УЦ.
Поэтому индийские, китайские и любые другие азиатские удостоверяющие центры, имеющие статус публично доверенных (Publicly Trusted), строго соблюдают американские санкционные списки и автоматически откажут подсанкционным компаниям из России.
Granulex
16.06.2026 01:08Параграф 3.2.2.12.2 EV Guidelines распространяется только на Extended Validation сертификаты – их в российском сегменте единицы, никак не десятки тысяч. Количество действующих EV-сертификатов на .ru-доменах можно проверить через публичные логи Certificate Transparency: там их не более нескольких сотен. Let's Encrypt при этом EV вообще не выдаёт, так что его упоминание в одном ряду с GlobalSign – либо ошибка источника, либо речь о каком-то отдельном решении за рамками этого параграфа.
Dmitri-D
Это означает, что Let's encrypt и другие огранизации, подписывающие сертификаты, должны действовать в соответствии с законом своей страны. Т.е. если Let's encrypt ведет бизнес в США, то они проверяют клиента на соответствие санкциям США. А если в Лабрадоре, то на соответствие санкциям Лабрадора.
Конкретно "находящимся под санкциями страны регистрации УЦ или США." - такого там в требованиях нет. Страна регистрации УЦ есть, а "или США" - нет.
Единственное место где США упоминаются - это в списке допустимых методов проверки - где брать списки. И там прямо сказано - "If the CA has operations in the U.S. " Т.е. если УЦ уже работает в США. И не работающих в США УЦ довольно много.
ant3mc
все крупнейшие УЦ зарегистрированы в США (один в Бельгии-Японии) . И подчиняются законам США , о санкциях в том числе.
ant3mc
Впрочем, главное даже не регистрация УЦ в США . Это требование глобального регулятора Интернета - CA Internet Forum. Обойти его нельзя, если пользоваться крупнейшими браузерами. Интернет "децентрализован" :)