Отзыв SSL-сертификатов GlobalSign: чем это грозит российским компаниям

GlobalSign отобрала SSL-сертификаты у российских компаний. Что теперь будет?

GlobalSign отобрала SSL-сертификаты у российских компаний. Что теперь будет?

Внесение поправок в регламент CA/Browser Forum привело к решению об отзыве SSL-сертификатов для ряда сайтов, относящихся к российским компаниям, которые находятся под внешними санкциями. Носит ли это решение косметический характер или может иметь серьёзные последствия — этот вопрос требует анализа.

 

 

 

 

 

 

  1. 1. Введение
  2. 2. Неожиданное решение или неизбежный результат
  3. 3. Региональная регуляторика vs глобальный Интернет
  4. 4. Влияние решения GlobalSign на российский рынок
  5. 5. Киберопасность и политические решения
  6. 6. Доля GlobalSign и других зарубежных УЦ на российском рынке
  7. 7. Проблемы требуют решения
  8. 8. Выводы

Введение

18 июня в 17:15 по московскому времени ИТ-администраторов ряда больших российских организаций ждал неприятный сюрприз: один из крупнейших в мире коммерческих центров сертификации GlobalSign, зарегистрированный в Японии, отозвал свои корневые сертификаты у 44 компаний (около 310 доменных имён). В список пострадавших попали «Роснефть», «Газпромбанк», «Алроса», «Positive Technologies», Объединённая авиастроительная корпорация (ОАК, входит в состав Ростеха), АНО «Диалог», ВЭБ.РФ и др.

Это была уже вторая волна отзыва сертификатов. Первая была запущена 13 июня 2026 года и также была направлена против российских компаний, находящихся под санкциями ЕС и США. Нет также оснований утверждать, что процесс завершён и продолжения не будет.

Неожиданное решение или неизбежный результат

Формально, российские компании не были предупреждены заранее, однако фактически изменения вносятся волнами, поэтому тех, кто ещё не попал под удар, можно считать предупреждёнными. 

17 июня, накануне начала «второй волны», генеральный директор российского представительства GlobalSign Дмитрий Рыжиков направил уведомительное письмо в адрес российских коммерческих регистраторов доменов. В нём официально сообщалось об ужесточении правил выдачи сертификатов после поправок, внесённых 4 мая в регламент CA/Browser Forum. Это добровольный консорциум, созданный для развития отраслевого сотрудничества между центрами сертификации (CA) DigiCert, Sectigo, Let's Encrypt, GlobalSign, Entrust, GoDaddy, SSL.com и др. с одной стороны и производителями браузеров (Chrome, Firefox, Safari, Edge) с другой стороны. Цель — разработка единых правил, регулирующих использование общедоступных доверенных сертификатов.

Главное «ужесточение» в обновлённых правилах — ввод учёта санкционных ограничений и пересмотр ранее выданных сертификатов с последующим принудительным отзывом тех, которые не удовлетворяют обновлённым правилам. В список «пострадавших» попали прежде всего компании из России и Ирана. Хотя письмо Дмитрия Рыжикова касалось в первую очередь решения GlobalSign, которое было принято для исполнения этих рекомендаций, его не стоит рассматривать как частное. Оно (решение) носит системный характер. 

 

Рисунок 1. Самые популярные центры сертификации в мире (Cloudflare Radar)

Самые популярные центры сертификации в мире (Cloudflare Radar)

 

CA/Browser Forum не является государственным агентством. Поэтому его решения не накладывают юридических требований по принудительному исполнению. Этот консорциум не является также органом по стандартизации, таким как IETF, хотя в его документах нередко можно обнаружить ссылки на стандарты IETF, такие как TLS и X.509. 

Однако решение CA/Browser Forum следует рассматривать как вескую рекомендацию в адрес участников консорциума: установите определённые базовые требования, которым должны следовать все общедоступные центры сертификации, чтобы их сертификаты принимались браузерами. Влияние отечественных участников в таких организациях сейчас очень серьёзно снизилось, поэтому донести мнение российской стороны крайне затруднительно. Дмитрий Рыжиков в своём письме отметил, что компания «Джи-Эм-О Глобал Сайн Раша», представляющая интересы GlobalSign в России, «не имеет правовых или технических рычагов влияния на решения консорциума». 

 

Рисунок 2. Диспетчер сертификатов Microsoft Edge для Windows 11 предлагает большой выбор различных сертификатов

Диспетчер сертификатов Microsoft Edge для Windows 11 предлагает большой выбор различных сертификатов

 

Региональная регуляторика vs глобальный Интернет

Принятое решение вызывает вопросы. Насколько законными являются рекомендации глобального консорциума по исполнению санкционных ограничений, вводимых для учёта регуляторики в более узких, региональных границах?

«В значительной части международно‑правовой доктрины односторонние санкции, не одобренные Советом Безопасности ООН, рассматриваются как спорная, экстерриториальная принудительная мера. Ряд государств и авторов прямо квалифицируют их как нарушение принципа невмешательства и незаконные односторонние принудительные меры, тогда как США, ЕС и их союзники считают такие санкции допустимым инструментом своей внешней политики. Несмотря на их спорный правовой статус, они активно применяются США и ЕС для осуществления политического давления на различные страны, в том числе Россию», — прокомментировал возникшую ситуацию Иван Черников, руководитель продукта «Рутокен CLM» в компании «Актив». 

«Однако данные санкции не только давят на страны, но и дают определённые возможности: они подталкивают страны к развитию собственных инфраструктур (национальные УЦ, отечественные облака, ПО), тем самым уменьшая зависимость от США и повышая устойчивость киберпространства в целом. В данной исторической парадигме повышается роль правильного выбора лучших практик в сфере управления сертификатами SSL/TLS, разработкой которых занимается компания “Актив”. Полная инвентаризация сертификатов, мониторинг их статуса в реальном времени, а также автоматизация их обновления совместно с продуманной стратегией по резервированию УЦ помогают компаниям максимально избежать рисков, если оценивать риск массового отзыва не 5% сертификатов на рынке, а оставшихся 95%».

 

Рисунок 3. Фрагмент обновлённых правил CA/Browser Forum по валидации сертификатов CA (May 4, 2026)

Фрагмент обновлённых правил CA/Browser Forum по валидации сертификатов CA (May 4, 2026)

 

В обновлённых правилах, в частности, вводится требование на обязательную проверку по санкционным спискам — OFAC SDN List, BIS Denied Persons List и другим (взамен рекомендательной опции). Если конкретно, то в новой редакции указано: при валидации сертификатов УЦ для пользователей на территории США должны приниматься во внимание санкционные списки, установленные американским правительством. Если же применение сертификата происходит на территории любой другой страны, то разработчики браузеров должны предпринимать доступные им меры для учёта именно локальных (а не американских) санкционных списков и экспортных ограничений.

Принятое решение выглядит сомнительным хотя бы потому, что в сертификатах не указывается разграничение на территорию их применения. В то же время сертификат выдаётся на определённую компанию, которая может самостоятельно вводить региональные ограничения на доступ к её сервисам. Поэтому появление требования в правилах на обязательную проверку браузером законности применения сертификата на определённой территории является более логичным. 

Очевидно, что одномоментное обновление браузеров по всему миру вряд ли осуществимо. Поэтому в GlobalSign приняли «соломоново решение»: лучше запретить больше требуемого, чем обеспечивать контроль за разрешениями.

Влияние решения GlobalSign на российский рынок

Нынешнюю ситуацию на рынке центров сертификации нельзя назвать безоблачной. В середине 2024 года вендоры браузеров Google Chrome, Mozilla Firefox и Apple Safari объявили об отказе в доверии новым TLS-сертификатам, эмитируемым другим популярным провайдером сертификации — компании Entrust. Поводом для такого решения стали систематические нарушения им требований комплаенса. 

Это стало самым значительным событием на рынке со времен принятия аналогичного решения в отношении компании Symantec в 2017–2018 гг., которое серьёзно изменило конкурентную среду и вызвало массовую миграцию клиентов, прежде всего, в центры сертификации DigiCert, Sectigo (бывший Comodo) и GlobalSign.

 

Рисунок 4. Наиболее популярные в мире коммерческие центры сертификации SSL (W3Techs, 2026)

Наиболее популярные в мире коммерческие центры сертификации SSL (W3Techs, 2026)

 

По данным W3Techs, две трети рынка коммерческих и бесплатных центров сертификации сейчас принадлежит организации Let's Encrypt (она выдаёт бесплатно сертификаты всем желающим). Но ещё 4 июня эта компания обновила правила своей подписки (Encrypt Subscriber Agreement). В новой редакции там введено требование ко всем клиентам предоставить подтверждение отсутствия в санкционных списках США, ЕС и других стран, а также упоминания в списках ограничений для экспортного контроля. Фактически это означает, что сертификаты Let's Encrypt также больше не будут доступны российским учреждениям и компаниям, находящимся под санкциями.

 

Рисунок 5. Новая редакция правил центра сертификации Let's Encrypt 

Новая редакция правил центра сертификации Let's Encrypt

 

Оператор GlobalSign является вторым по количеству выданных сертификатов в мире с долей 19,2%. Но для России он играет особую роль, потому что является единственным среди международных центров, открывших представительство в России на текущий момент времени. 

Напомним, что в 2022–2023 гг. другие крупнейшие международные центры сертификации — Sectigo (Comodo), GoDaddy, DigiCert (Thawte, Rapid, GeoTrust) — прекратили выпуск своих сертификатов для российских доменов (.RU, .РФ, .SU) или закрыли учётные записи клиентов, которые «могли находиться в Российской Федерации». Поэтому GlobalSign оставался до сих пор единственным международным коммерческим центром сертификации, который продолжал предоставлять полноценный сервис российским клиентам.

Сейчас услуги GlobalSign включают управляемую платформу PKI, сертификацию S/MIME, сертификаты TLS и облачный менеджер сертификатов, интегрирующийся с Microsoft AD и сертификатами учётных записей пользователей. Отказ от её услуг означает, что российским компаниям потребуется искать замену с аналогичным набором функций и уровнем доверия.

«При отзыве сертификата, сайт может стать недоступен на короткое время, позднее сертификат может быть заменен на сертификат из международного УЦ, который продолжает работать с Россией (например, Harica) или на сертификат российского УЦ. В случае когда сертификат был заменён на сертификат от российского УЦ, сайт не во всех браузерах будет работать корректно, — прокомментировал Иван Черников (компания «Актив»). — На данный момент корневые сертификаты национального УЦ предустановлены и полностью поддерживаются в “Яндекс.Браузере”. В большинстве популярных зарубежных браузеров и ОС они не входят в стандартный список доверенных корневых сертификатов, поэтому корректная работа возможна лишь при дополнительной настройке доверия.

Это может привести скорее к неудобствам и формированию новых, неблагоприятных привычек у пользователей. После отзыва сертификата пользователь видит предупреждение об опасности страницы, но может перейти к сайту после предупреждения: это только снижение конверсии и рост оттока пользователей. Однако это формирует вредные привычки у пользователей: часть пользователей игнорирует предупреждения и привыкает кликать дальше, обесценивая саму идею TLS‑проверок».

Киберопасность и политические решения

Очевидно, что GlobalSign стремилась к соблюдению комплаенса. Но по сути её решение ведёт в первую очередь к подмене маркера в браузере с безопасного на небезопасный и выдаче соответствующего предупреждения при запросе информации с сайта подсанкционной компании. По сути, киберкриминальная опасность приравнена к политическим разногласиям, т. е. происходят подмена понятий и ввод пользователей в заблуждение.

«На данный момент GlobalSign не публикует перечень отозванных сертификатов публично, а российский офис компании сообщил партнёрам лишь о начале процедуры, — отметил Иван Черников. — Критерием отзыва является попадание организации под санкции ЕС или США. Компании, которые не входят в реестр санкций ЕС или США, пока не находятся под прямой угрозой. Тем не менее изменение санкционной политики может расширить круг затронутых организаций, заставляя все российские компании учитывать новые риски в будущем. 

При анализе рисков массового отзыва сертификатов от международных удостоверяющих центров нужна многоуровневая стратегия: диверсификация УЦ, как российских, так и зарубежных, резервные сертификаты и автоматическая замена в реальном времени. Для этого могут потребоваться консультации по выстраиванию обновлённой стратегии и внедрению автоматизации в управление сертификатами в организации. Получить такую услугу можно, например, в компании “Актив”».

 

Рисунок 6. Глобальный рынок выданных сертификатов за апрель-июнь 2026 г. (Cloudflare)

Глобальный рынок выданных сертификатов за апрель-июнь 2026 г. (Cloudflare)

 

Доля GlobalSign и других зарубежных УЦ на российском рынке

Уход крупных международных центров регистрации в 2022–2023 гг. привёл к массовому возвращению доменов в России к отечественным регистраторам Ru-Center и «Рег.ру». Это отметил в интервью РБК неназванный представитель Минцифры, отметив, что «доля GlobalSign в Рунете не превышает сейчас 5%, по данным открытых источников, а в России с 2021 года работает Национальный удостоверяющий центр Минцифры». 

Он заявил, что это позволяет юрлицам, владеющим сайтами, получить отечественные TLS-сертификаты бесплатно на «Госуслугах» в течение трёх рабочих дней. «Это — сертификаты типов DV и OV, обеспечивающие зашифрованное соединение между пользователем и сайтом. Они обеспечивают возможность передачи данных в зашифрованном виде, подтверждают подлинность сайта и защищают онлайн-транзакции».

Существуют также другие решения. Например, компания Positive Technologies уже 18 июня добавила в свой список поставщиков сертификатов компанию ZeroSSL из Австрии. Хотя он доступен только 90 дней, но такое дробление является характерным для данного провайдера и предоставляется во всех его тарифных планах — от начального бесплатного до бизнесового. 

 

Рисунок 7. Решение компании Positive Technologies

Решение компании Positive Technologies

 

Однако остаётся вопрос, насколько значимым является решение GlobalSign для российских компаний. Какой нынешний уровень распространения её сертификатов? 

Например, по данным армянской аналитической службы CertIZDAT, сертификаты GlobalSign всё ещё широко используются среди российских госкомпаний. 

«По оценкам участников рынка, под отзывом и/или угрозой отзыва до 15–20 тыс. доменов второго уровня, при этом во второй волне GlobalSign поимённо упоминается 44 организации (около 300 доменов), в основном это структуры, напрямую связанные с государством, или компании, находящиеся под прямыми санкциями Европейского Союза или США, — уточнил Иван Черников (компания «Актив»). — То есть пострадали крупные организации, что в рамках масштаба всей доменной системы составляет менее 0,3% доменов второго уровня в российских национальных доменных зонах (.RU, .РФ и др.). Стоит также отметить, что по оценке Минцифры на данный момент GlobalSign занимает не более 5% рынка SSL-сертификатов в России, основная часть доменов использует другие УЦ — российские или зарубежные». 

По данным американской исследовательской компании IPInfo.io, в июне 2026 года сертификатами GlobalSign было покрыто около 13,4% российских сайтов в доменной зоне .RU. Для сравнения, сервис бесплатных сертификатов Let’s Encrypt, по их данным, охватывает в настоящее время около 74% веб-сайтов в зоне .RU. На сервис Google Trust Services приходится около 7,4%.

Несмотря на наличие собственного центра сертификации, управляемого Министерством цифрового развития, который выдаёт российские SSL (TLS) сертификаты Russian Trusted SSL, до сих пор в списках IPInfo.io сохраняется упоминание 17 веб-сайтов государственных органов РФ, которые продолжают работать на сертификатах GlobalSign.

 

Рисунок 8. Доля коммерческих глобальных УЦ в доменной зоне .RU на июнь 2026 г. (IPInfo)

Доля коммерческих глобальных УЦ в доменной зоне .RU на июнь 2026 г. (IPInfo)

 

Интересно отметить, что до октября 2025 года доля GlobalSign продолжала расти на российском рынке и достигла уровня около 30 тыс. сайтов. Это указывает на развитие бизнеса этого японского провайдера в России. Однако именно в тот момент начались кулуарные обсуждения внутри консорциума CA/Browser Forum о введении ограничений на подсанкционные компании. После этого доля GlobalSign в России стала постепенно снижаться и к июню 2026 года упала на 27% от максимума (до 22 тыс. доменов).

 

Рисунок 9. Доля коммерческих глобальных УЦ в доменной зоне .RU за прошедший год (IPInfo)

Доля коммерческих глобальных УЦ в доменной зоне .RU за прошедший год (IPInfo)

 

Значительную долю GlobalSign на российском рынке подтвердил и замгендиректора «Астра Групп» Константин Анисимов в разговоре с РБК, заявив, что в коммерческом сегменте доля GlobalSign среди западных сертификатов составляет в России около 90% рынка, а в бесплатном сегменте лидируют сертификаты Let's Encrypt, тогда как веб-сайты госсектора перешли на сертификаты Минцифры.

Проблемы требуют решения

На первый взгляд может показаться, что отзыв сертификатов GlobalSign имеет только «косметический» эффект. Очевидно, что это вызовет неудобство в работе пользователей через иностранные браузеры (Chrome / Firefox / Safari / Edge). Вероятно, усилится поток ложноположительных событий в SIEM-системе корпоративного контроля ИБ. 

С точки зрения пользователя это означает, что в поле адресной строки браузера будет появляться значок-предупреждение, а также будет выдаваться диалоговое окно с сообщением об отсутствии гарантий безопасности при посещении адресуемого веб-сайта. Формально это побуждает пользователей к переходу на отечественные браузеры. Но фактически психология людей направлена на сохранение пользовательского опыта и привычек, а не к их замене. 

Однако есть и более серьёзные проблемы. Бизнес российских компаний не ограничивается только внутренним рынком. Интерес к российским информационным ресурсам продолжают проявлять со всего мира. При этом пользователи работают не только с браузерами американских вендоров. Но, например, ни один из популярных китайских браузеров (360 Secure Browser/360 Safe Browser; QQ Browser; Sogou Browser; UC Browser; XBrowser; 115 Browser) не имеет в своей конфигурации поддержку российских сертификатов. Появление предупреждения для китайских пользователей — это проявление ИБ-риска и очевидный отказ от дальнейшего просмотра «сомнительного» сайта.

«Если российские разработчики не найдут альтернатив, они потеряют возможность легально распространять свой софт — без создания фирм-прокладок за рубежом», — предупредил Алексей Лукацкий, независимый эксперт рынка ИБ, в разговоре с РБК. Это указывает на то, что давление оказывается прежде всего на государственные компании и крупный бизнес. Для небольших негосударственных компаний и физических лиц это событие не имеет большого значения, отметил он. «Единственное, что изменится, — срок выпуска новых сертификатов: санкционная проверка теперь будет более жёсткой и пристальной».

Гендиректор хостинг-провайдера RUVDS Никита Цаплин охарактеризовал происходящее как «серьёзный инфраструктурный риск». Попутно он отметил, что этот риск был «ожидаем для рынка». 

«Мы наблюдаем финальный этап ухода международных удостоверяющих центров из России. Для компаний средней руки, которые до последнего держались за зарубежные сертификаты ради глобальной совместимости, это может обернуться экстренной миграцией и операционными сбоями». Наибольший урон, по его словам, это нанесёт мобильным приложениям с Certificate Pinning («закреплением» конкретного сертификата) или WebView (со встроенным браузерным компонентом). «Без срочного выпуска обновлений они полностью потеряют связь с серверами, а оперативно провести апдейт через зарубежные маркетплейсы сейчас крайне затруднительно», — подытожил Никита Цаплин.

Отметим в итоге, что сертификаты Минцифры устойчивы к санкциям, но они не признаются зарубежными браузерами. Переход на «региональные центры сертификации», которые уже стали достаточно крупными, чтобы попасть в список поддерживаемых топовыми браузерами сертификатов, теперь перекрыт обновлёнными рекомендациями консорциума CA/Browser Forum.

Главным итогом, по мнению Никиты Цаплина, станет «окончательное исчезновение бесшовного Рунета» — бизнесу придется либо разделить инфраструктуру на внутренний и внешний контуры, либо смириться с блокировками для части аудитории.

Выводы

Хотя обновлённые рекомендации консорциума CA/Browser Forum, которые уже приняли на вооружение популярные центры сертификации Let's Encrypt и GlobalSign, носят только рекомендательный характер, фактически началась изоляция крупного российского бизнеса и госструктур от мирового интернета. Препятствий для малого бизнеса и частных лиц не создаётся, но у них неизбежно возникают связи с подсанкционными участниками, поэтому правила CA/Browser Forum могут продолжать изменяться.

В создавшихся условиях в России явно требуется принятие стратегического решения: втягивать в орбиту запретов участников рынка, которые пока не подвергаются давлению, либо искать компромиссные пути для решения проблемы. Прежний путь обхода через «серые схемы» замедляет процесс выталкивания российского бизнеса с мирового рынка и снижения влияния на мировые процессы российских госструктур, но по сути не позволяет сохранить прежнюю роль.

Полезные ссылки: