GlobalSign начал отзывать SSL-сертификаты российских сайтов: под угрозой десятки тысяч доменов

Японский удостоверяющий центр GlobalSign начал принудительно отзывать SSL/TLS-сертификаты, выданные российским организациям. Речь о сертификатах, которые позволяют браузеру считать сайт защищённым, показывать HTTPS-соединение без предупреждений и подтверждать, что пользователь подключился к нужному серверу, а не к подделке.

По данным РБК, под риском могут оказаться 15–20 тыс. доменов. Участники рынка считают, что реальный масштаб может быть больше, если учитывать субдомены, инфраструктурные сертификаты, корпоративные сервисы, API, тестовые контуры и сертификаты, оформленные через реселлеров. В самых широких оценках речь может идти о сотнях тысяч и даже миллионах затронутых записей, но такие цифры требуют аккуратного чтения: один сертификат, один домен, wildcard и множество поддоменов — это разные вещи.

Причина, как пишет РБК со ссылкой на участников рынка, связана с новыми требованиями регулятора и санкционными ограничениями. GlobalSign — международный центр сертификации, а не российская инфраструктурная компания. Если его внутренние правила, требования корневых программ браузеров или санкционный комплаенс запрещают обслуживание части клиентов, сертификаты могут быть отозваны до окончания обычного срока действия.

GlobalSign начал процедуру отзыва SSL/TLS-сертификатов у российских компаний. В публикациях говорится, что процесс стартовал 13 июня ранним утром по московскому времени. После отзыва сертификат перестает считаться действительным.

Если сертификат отозван, ломаться может не только браузерная страница. Мобильное приложение может перестать подключаться к API. Платежный модуль — не пройти проверку. Интеграция между сервисами может начать падать с TLS-ошибкой. Скрипты мониторинга и автоматизации могут посчитать сервис недоступным.

HTTPS давно стал базовой нормой интернета. Пользователь редко думает о сертификате, пока все работает. Но именно сертификат участвует в проверке: вы подключились к настоящему сайту, соединение зашифровано, а браузер доверяет цепочке сертификации.

Когда сертификат отозван, браузер или приложение должны перестать ему доверять. Это нормальный механизм безопасности. Отзыв означает: удостоверяющий центр больше не считает этот сертификат действительным.

Для обычного пользователя главный риск — не только недоступность сайта. Начинается серый период, когда мошенники могут воспользоваться хаосом. Они будут рассылать инструкции «установите новый сертификат», «скачайте безопасный браузер», «перейдите на зеркало», «добавьте корневой сертификат», «обновите приложение банка». В такой ситуации легко подменить легитимную проблему на фишинг.

У сертификата есть срок действия. Но он может закончиться раньше, если центр сертификации отзывает его. Причины бывают разные: компрометация ключа, неправильная выдача, нарушение правил валидации, прекращение обслуживания клиента, санкционные ограничения или требование регулятора.

После отзыва информация публикуется через механизмы OCSP и CRL. Браузер или приложение проверяет статус и получает ответ: сертификат действителен, отозван или статус не удалось проверить. Современные браузеры по-разному обрабатывают такие ситуации, поэтому у части пользователей сайт может «падать» сразу, а у части — с задержкой.

Отзыв отличается от истечения срока. При истечении сертификат просто старый. При отзыве центр сертификации активно говорит: этому сертификату больше нельзя доверять.

Российские компании годами покупали сертификаты у международных удостоверяющих центров: GlobalSign, DigiCert, Sectigo, Let’s Encrypt и других. Это было удобно: такие сертификаты признаются основными браузерами и операционными системами по умолчанию.

После санкций и регуляторных изменений эта модель стала менее устойчивой. Если международный центр прекращает обслуживание клиентов из России или отдельных доменных зон, компания теряет привычную цепочку доверия.

Российские удостоверяющие центры могут выпускать сертификаты, но есть проблема совместимости. Чтобы браузер доверял сертификату без предупреждений, корневой сертификат должен быть в доверенном хранилище браузера или операционной системы. Российские корневые сертификаты не везде встроены по умолчанию, особенно в иностранных браузерах и мобильных ОС. Поэтому переход на национальные сертификаты может потребовать установки корня, использования российских браузеров или отдельной настройки устройств.

История с GlobalSign ускорит то, что уже происходило: российские компании будут уходить от зависимости от международных CA там, где это возможно. Часть перейдёт на национальные сертификаты. Часть будет искать международных поставщиков, которые ещё работают с российскими клиентами. Часть начнёт активнее использовать автоматизированное управление сертификатами и короткие сроки действия.