GlobalSign отзывает сертификаты безопасности у россиян. Насколько это плохо? Какие есть альтернативы? Разбор #12

И чем опасен сертификат, который предлагают российские власти?
Аватар - Яков Пушной
Яков Пушной
ВРЕМЯ НА ЧТЕНИЕ 16 МИН
16 июня 2026
Что это за рубрика

В рубрике «Разбор Теплицы» мы в режиме реального времени разбираемся в определённой проблеме, новостях интернет-цензуры и рассказываем:

  • что происходит;
  • как это устроено;
  • как с этим можно бороться.

Кратко

Утром 13 июня 2026 года японский центр сертификации GlobalSign начал принудительно отзывать SSL-сертификаты, ранее выданные российским компаниям. О старте процедуры говорится в письме главы российского юрлица GlobalSign Дмитрия Рыжикова партнерам компании в стране — его содержание пересказал РБК со ссылкой на источник и четырёх собеседников на рынке хостинга. Отзыв стартовал в 04:10 по Москве и идет поэтапно. В списке на отзыв — порядка 15–20 тысяч доменов второго уровня. С учетом поддоменов речь может идти о сотнях тысяч сертификатов.

Текущий отзыв — не первый и не изолированный эпизод. В декабре 2023 года, когда с российского рынка ушел выдававший сертификаты GoDaddy, мы разбирали, что это значит для приватности.

Два главных сюжета

Снаружи западная инфраструктура доверия закрывает для подсанкционной России еще одну дверь. Это общее правило для всех центров сертификации, а не отдельное решение GlobalSign.

Изнутри государство встречает это как положительный повод: Минцифры и банки предлагают переходить на «российские сертификаты» Национального удостоверяющего центра. С этой заменой и разберемся отдельно.

Хронология событий

Дата Что произошло
2022–2023 Большинство западных центров (Sectigo, DigiCert, GoDaddy и др.) прекращают обслуживать российские домены. GlobalSign остается последним крупным центром сертификации, кто работает с РФ
начало июня 2026 Let’s Encrypt уточняет пользовательское соглашение и запрещает выдачу сертификатов подсанкционным лицам, организациям и госструктурам РФ
3 июня Apple удаляет рооссийский мессенджер Max из App Store, ссылаясь на санкции
6 июня GlobalSign отзывает сертификат у домена max.ru. В тот же день его заменяет Let’s Encrypt, но заявляет, что не продлит домен после 4 сентября
13 июня, 04:10 МСК Старт массового отзыва сертификатов GlobalSign. Российские банки рассылают клиентам предупреждения о проблемах с сертификатами. В Минцифры заявляют, что владельцы сайтов могут бесплатно получить отечественные сертификаты через «Госуслуги»
15 июня Минцифры выпускает развернутый комментарий: последствия «не критичны», доля GlobalSign в рунете «не превышает 5%»

Что произошло

GlobalSign — один из крупнейших в мире центров сертификации. По данным аналитического сервиса W3Techs на июнь 2026 года, компания занимает второе место по числу действующих сертификатов с долей 20,4%, уступая лишь бесплатному Let’s Encrypt (68,2%). GlobalSign основана в 1996 году в Бельгии, сейчас она входит японский холдинг GMO Internet Group. Нахождение в европейской юрисдикции обязывает компанию соблюдать санкции ЕС.

После 2022 года, когда большинство западных центров перестали обслуживать российские и белорусские домены, GlobalSign остался фактически последним крупным коммерческим центром, который продолжал полноценно работать с клиентами в России. Именно поэтому его уход бьет болезненно: по оценке замгендиректора Astra Cloud Константина Анисимова, в коммерческом сегменте западных сертификатов на GlobalSign приходилось около 90% российского рынка.

В письме Рыжикова сказано, что повлиять на решение российское юрлицо GlobalSign не может, у него «нет правовых или технических рычагов влияния». Причиной названы новые правила международного консорциума CA/Browser Forum:

После вступления новых правил в силу компания провела аудит выданных сертификатов и начала отзыв тех, что больше не соответствуют регламенту.

Что увидит обычный посетитель такого сайта, объяснил гендиректор Timeweb Андрей Баширов: после отзыва браузеры и системы считают сертификат недействительным, и при открытии страницы появляется красное предупреждение «Соединение не защищено» или аналогичное. Многие браузеры и корпоративные сервисы могут вообще заблокировать доступ. Гендиректор хостинг-провайдера RUVDS Никита Цаплин назвал происходящее «серьезным инфраструктурным риском» и подчеркнул, что единого решения у проблемы сейчас нет.

Почему вообще отзывают сертификаты?

В медиа можно встретить объяснение: мол, отзыв вызван документом международного консорциума CA/Browser Forum, якобы вступившим в силу 4 мая 2026 года и сделавшим проверку клиентов по санкционным спискам обязательной. Например, Хабр пишет, что в документе CA/Browser Forum содержится «прямой запрет» выдавать сертификаты компаниям из санкционных списков. Однако эта формулировка не вполне соответствует действительности, и здесь полезно разобраться, как обстоит дело на самом деле.

CA/Browser Forum — это добровольный консорциум центров сертификации и разработчиков браузеров: Google, Apple, Microsoft, Mozilla. Его основной свод правил — «Базовые требования» для публичных TLS-сертификатов. Изменения в этот документ вносятся через открытые голосования (ballots). В открытом списке всех голосований консорциума за конец 2025 и первую половину 2026 года нет ни одного, посвященного санкциям, спискам OFAC или BIS. Принятые в этот период правила касаются вывода из обращения алгоритма SHA-1, DNSSEC, сокращения срока жизни сертификатов и методов проверки домена. Дата «4 мая 2026», судя по всему, относится к смежному голосованию по S/MIME-сертификатам (SMC016 про SHA-1), а не к санкционной норме. Мы не обнаружили в открытом доступе «санкционный документ CA/Browser Forum».

Реальное основание проще и не требует отраслевого документа. GlobalSign, как компания из юрисдикций ЕС и Японии, обязана исполнять санкционные режимы напрямую — в первую очередь ограничения ЕС, а также американские: списки OFAC SDN и BIS Denied Persons. Именно это, а не голосование в консорциуме, заставляет центр отзывать сертификаты у подпавших под санкции клиентов. Формулировка из письма Рыжикова про «жесткие регламенты консорциума» в этом смысле — перенос ответственности на внешние «правила отрасли», хотя юридически центр исполняет санкции своей страны.

Это уточнение не меняет вывода для пользователей и владельцев сайтов. Сертификаты все равно отзывают. Однако нам кажется важным для понимания, почему смена одного западного центра на другой не спасает, и почему «вернуть как было» через переговоры с консорциумом невозможно.

Могут ли другие центры пойти тем же путем и почему смена центра не спасет?

Не просто могут — уже идут. Большинство прошло этот путь раньше GlobalSign.

Многие крупные западные центры — Sectigo, DigiCert, Thawte, GeoTrust, RapidSSL — свернули работу с российскими доменами еще в 2022–2023 годах. Российские реселлеры прямо не рекомендуют покупать их сертификаты для зон .ru, .su, .рф и .by. GoDaddy, совмещавший хостинг и выдачу сертификатов, ушел с рынка в конце 2023 года. GlobalSign держался дольше всех.

Почти все крупные публично доверяемые центры зарегистрированы в США или ЕС и обязаны исполнять санкции своих юрисдикций. Переход с одного западного центра на другой не дает устойчивой защиты. Сегодня сертификат выдает центр, который ещё работает с Россией, завтра расширят санкционные списки или клиент попадет под ограничения — и история повторится. Вероятно, нынешний отзыв — не последний, а реальный масштаб последствий станет понятен ближе к концу лета.

Каков реальный масштаб отзыва?

Участники рынка хостинга и ИБ-специалисты говорят о 15–20 тысячах доменов второго уровня, а с учетом поддоменов — о сотнях тысяч сертификатов, и о 90% коммерческого сегмента западных сертификатов. Российское Минцифры держится иной линии: «В худшем случае сайты и онлайн-сервисы, у которых они отзываются, могут быть недоступны непродолжительное время, пока владельцы получают новые сертификаты». В ведомстве утверждают, что доля GlobalSign на рынке не превышала 5%.

Обе цифры по-своему верны: 5% — доля GlobalSign во всем рунете, включая массу мелких сайтов на бесплатном Let’s Encrypt. 90% — доля именно среди платных западных сертификатов, на которых сидят банки, магазины и корпоративные сервисы. Просто Минцифры считает по всей базе, рынок — по болевой точке.

Что сломается?

Чтобы понять, что сломается на самом деле, нужна механика отзыва. Когда центр отзывает сертификат, он вносит его серийный номер в специальные списки — CRL (Certificate Revocation List) и публикует статус через OCSP (Online Certificate Status Protocol). В теории браузер при каждом подключении должен сверяться с этими списками и блокировать отозванный сертификат.

На практике все иначе: Chrome и Edge отключили онлайн-проверку отзыва много версий назад и полагаются на собственные сводные списки, которые не обновляются мгновенно. Firefox проверяет в основном сертификаты с расширенной проверкой. Мобильные браузеры и вовсе почти не проверяют отзывы.

Поэтому сам по себе отзыв ударит по рунету не так быстро, как кажется из заголовков. Однако рано или поздно сроки действия сертификатов истекут, продлить их будет нельзя. После этого сайт начнет стабильно выдавать ошибку у всех. Нас ждет не одномоментный обвал отрасли, а растянутая во времени деградация рунета по мере истечения сроков.

Отдельная и самая болезненная история — мобильные приложения с certificate pinning. Это механизм, когда приложение доверяет только одному заранее «зашитому» сертификату и отказывается работать с любым другим. После отзыва такого сертификата связь приложения с сервером может прерваться полностью — до выхода обновления. А если приложение к тому же удалили из App Store или Google Play, доставить это обновление пользователям почти невозможно. Именно в такой ловушке оказался мессенджер Max.

Что случилось с Max?

Сначала Cloudflare на сутки пометил домен max.ru меткой шпионского ПО. 3 июня Apple убрала приложение из App Store на основании санкций. 6 июня GlobalSign отозвал у max.ru сертификат . Его в тот же день заменил Let’s Encrypt, но тут же предупредил, что не станет продлевать после 4 сентября.

Метка Cloudflare и отзыв сертификата — разные по природе механизмы (репутация ПО и доверие к сертификату). Но то. что оба механизма сработали практически одновременно — признак того, что давление идёт сразу по нескольким независимым линиям. Для некоторых российских сервисов двери закрываются одна за другой.

Чем опасны «российские сертификаты» Минцифры?

Когда западный сертификат отзывают, Минцифры предлагает простой выход: бесплатно получить TLS-сертификат Национального удостоверяющего центра через «Госуслуги», за три рабочих дня, как для юрлиц, так и для ИП и физлиц. Доступны типы DV и OV на алгоритмах RSA и ГОСТ. В связи со сменой сертификата банки стали писать клиентам о возможных перебоях в работе: «Т-банк» предупредил о проблемах со входом, Россельхозбанк сообщил об ошибках в старом Android-приложении.

Проблема в том, что российские сертификаты — не равнозначная замена. Сертификату НУЦ «из коробки» доверяют только два браузера — «Яндекс.Браузер» и «Атом» от VK, где корневой сертификат уже встроен. Во всех остальных — Chrome, Firefox, Safari, Edge —сайт с сертификатом НУЦ будет открываться с ошибкой, пока пользователь вручную не установит корневой сертификат «Russian Trusted Root CA» в браузер или операционную систему. А это — реальные риски для пользователя.

Установив корневой сертификат государственного центра, вы даете ему техническую возможность выпускать «доверенные» вашим устройством сертификаты для любого сайта. В связке с контролем над трафиком это открывает дорогу атаке «человек посередине» (MITM): тот, кто владеет корневым сертификатом и контролирует канал, может расшифровать, прочитать и даже изменить ваш трафик. Причем сделает он это незаметно для вас, браузер не покажет предупреждения. Похожее уже пытались внедрить в Казахстане, где вместо настоящего сертификата Gmail пользователям подсовывали государственный.

В российском контексте это особенно чувствительно: магистральный трафик и так проходит через ТСПУ — оборудование для фильтрации, установленное у операторов в рамках «суверенного рунета». Когда тот, кто контролирует канал, и тот, кто контролирует сертификаты, — по сути одна сторона, шифрование между вами и сайтом перестает защищать вас от этой стороны. Подробно эту механику мы разбирали в материале «Государственный хакинг».

Показательно, что даже крупные государственные ресурсы — например, «Госуслуги», сайты Роскомнадзора и Минобороны — раньше предпочитали держать сертификаты как раз от GlobalSign и его линейки AlphaSSL, а не от собственного НУЦ.

Что делать обычным пользователям?

Главный риск для рядового пользователя — не сломавшиеся сайты, а предложение установить «российский сертификат» (о рисках мы уже писали выше).

Как понять, что вам предлагают сертификат НУЦ?

Сигналы: сайт банка или сервиса просит «для стабильной работы» установить сертификат безопасности, скачать его с «Госуслуг» или перейти в «Яндекс.Браузер» либо «Атом». Если инструкция ведет к установке корневого сертификата «Russian Trusted Root CA» / «Russian Trusted Sub CA» в систему или браузер, то вам хотят навязать российский сертификат. После его установки потенциально под наблюдением оказывается весь ваш HTTPS-трафик, а не только этот банк или сервис.

Что можно сделать, если без госсервисов не обойтись?

Изолируйте риски:

  • Используйте для таких сайтов отдельный браузер («Яндекс.Браузер» или «Атом»), где сертификат встроен, не используйте эти браузеры для других целей.
  • Если есть возможность, заведите отдельное устройство или виртуальную машину только для общения с госсервисами. Это устройство должно быть изолировано от основной работы и личных данных.
  • Не устанавливайте корневой сертификат в основную систему и основной браузер, через которые идет ваша обычная активность: почта, мессенджеры, банки, соцсети.
  • По возможности не ставьте приложения государственных сервисов: им даже сертификат не нужен, чтобы по запросу передать данные о пользователе.

Как удалить уже установленный сертификат?

  • В Windows: через «Управление сертификатами пользователей» → «Доверенные корневые центры сертификации», поискав там «Russian Trusted Root CA» и «Russian Trusted Sub CA».
  • MacOS: в «Связке ключей», разделы «Сертификаты» и «Центры сертификации».
  • Android: «Настройки» → поиск «Сертификаты безопасности» / «Надёжные сертификаты».
  • iOS: «Настройки» → «Основные» → «Об этом устройстве» → «Доверие сертификатам». Подробные шаги — в «Государственном хакинге».

И отдельно — о предупреждении браузера «Соединение не защищено»

На сломавшемся из-за отзыва сайте это предупреждение технически справедливо. Не стоит машинально нажимать «все равно перейти» на страницах, где вы вводите пароли или платежные данные: до восстановления сертификата соединение действительно не защищено.

Что делать разработчикам и владельцам сайтов?

Оцените экспозицию. Проверьте, какие из ваших доменов и поддоменов используют сертификаты GlobalSign (это видно в свойствах сертификата: «поле издателя» или issuer). Отдельно проверьте, нет ли среди ваших сервисов мобильных приложений с certificate pinning. Они требуют не просто новый сертификат, а полноценное обновление приложения.

Не повторяйте ошибку «одной корзины». Переход с GlobalSign на другой западный центр не снимает системного риска. Почти все крупные публично доверяемые центры работают в юрисдикциях США и ЕС и обязаны исполнять их санкции. Устойчивость дает не выбор «правильного» вендора, а архитектура: автоматизация выпуска и продления (протокол ACME), мониторинг сроков и статуса отзыва, готовность быстро сменить центр. Здесь работает то же правило, что и с обходом блокировок: надежность строится на нескольких независимых источниках, а не на одном идеальном.

Отдельный риск — подпись кода. Коммерческие центры вроде GlobalSign выдают не только TLS-сертификаты, но и сертификаты для подписи кода, без которых нельзя без предупреждений установить приложение или драйвер на Windows, macOS или iOS. По оценке Алексея Лукацкого, без альтернатив российские разработчики рискуют потерять возможность легально распространять софт, и это бьет даже по тем, у кого с TLS на сайте всё в порядке.

Схемы вроде «получать Let’s Encrypt через зарубежные прокси-серверы» слишком рискованные с регуляторной точки зрения. А переход на НУЦ решает проблему доступности для пользователей «Яндекс.Браузера» и «Атома», но не решает ее для всех остальных и перекладывает на ваших посетителей небезопасную установку корневого сертификата. Об этих рисках для пользователей стоит честно подумать, прежде чем вешать у себя баннер «установите сертификат Минцифры».

Какие есть альтернативы GlobalSign?

Бесплатные, с автоматической выдачей через ACME. Для частных лиц и негосударственных компаний РФ, не под санкциями, остается рабочим Let’s Encrypt (90 дней, автопродление). Из аналогов на похожих условиях называют ZeroSSL, SSL.com (бесплатный DV) и Actalis. Важная оговорка: все они — публично доверяемые центры под теми же санкционными правилами, поэтому для подсанкционных структур и госорганизаций они закрыты так же, как GlobalSign, а от точечного отзыва сертификата, как у Max, не застрахован никто. Google Trust Services — американский центр, для подсанкционных заведомо неприменим. Buypass, который раньше попадал в такие подборки, выдачу TLS-сертификатов прекратил.

Что стоит понимать про Let’s Encrypt. Да, сервис пообещал не продлять сертификат мессенджера Max, но это не часть массового отключения. Сервис не будет обслуживать подсанкционных лиц, организаций и российских госструктур — но не россиян в целом. Недавно у Let’s Encrypt вышло соглашение, где упоминалось следование санкционным нормам, и его легко прочитать, как запрет для всех россиян, но это не так. Let’s Encrypt даже отдельно пояснил, что для частных лиц и негосударственных компаний из России сертификаты по-прежнему доступны, а новые формулировки лишь закрепляют давно действующую практику.

Платные. Крупные западные центры (Sectigo, DigiCert, Thawte, GeoTrust) для российских доменов в основном уже недоступны. Варианты из других юрисдикций — центры СНГ или Китая — по оценке участников рынка кратно дороже и при этом не дают гарантии, что не последует аналогичный отзыв; это смена одной зависимости на другую.

Что дальше?

Все опрошенные эксперты сходятся: 13 июня — не начало, не финал, а очередной шаг. Санкционные ограничения затрагивают большой пласт российских компаний, и отзывы сертификатов будут продолжаться по мере истечения их сроков действия и расширения санкционных списков. Реальный масштаб последствий, по общей оценке, прояснится к концу лета 2026 года.

Происходящее укладывается в ту же линию, что и прошлые разборы: доступ и доверие в рунете все больше переводят на управляемые государством точки: будь то VPN, репозитории или, теперь, сами сертификаты, на которых держится «замок» в адресной строке.

Обновление 16.06: Что показывает список отозванных сертификатов

Выгрузку с перечнем отозванных сертификатов GlobalSign опубликовал Telegram-канал «Технологический Болт Генона». Это не полный список (в публикациях речь шла о 15–20 тысячах доменов), а срез на 287 записей, но даже он позволяет увидеть, как отзыв устроен и кого задевает. Все цифры ниже — по этой выборке, и колонка с новым издателем отражает состояние на момент выгрузки.

Отзыв прошёл одним автоматическим пакетом. Все 287 сертификатов отозваны 13 июня в промежуток с 04:07 до 04:09 по Москве — тремя партиями за три минуты. Все выпущены одним и тем же промежуточным центром GlobalSign (линейка OV SSL CA 2018), то есть под отзыв попал коммерческий сегмент с проверкой организации (OV), а не дешёвые сертификаты с проверкой только домена. Это подтверждает, что речь о машинной обработке списка, а не о индивидуальном разборе по жалобам.

Под ударом — финансовая и платёжная инфраструктура, а не «мелкие сайты». В выборке всего 19 организаций, и распределение показательно: платёжный контур (НСПК — оператор карт «Мир» и СБП, сервисы mirconnect.ru, СБПэй) — около 95 сертификатов; страхование (АльфаСтрахование, СОГАЗ) — около 120; банки (Россельхозбанк, Фора-банк, Абсолют, ТКБ) — около 60; отдельно нефтегаз и добыча (НОВАТЭК, Сургутнефтегаз, АЛРОСА), медиа (RT), «Сколково». Это эмпирически объясняет расхождение оценок: доля GlobalSign «не больше 5%» по рунету в целом и «около 90%» в коммерческом сегменте — не противоречие, просто отзыв бьёт прицельно по системно значимым подсанкционным организациям.

Половина хостов осталась без действующей замены. На момент выгрузки 50% сертификатов либо помечены как «новый сертификат не выпущен», либо вообще без нового издателя. То есть половина затронутых адресов технически висит без валидного публичного сертификата — наглядная иллюстрация того, что отзыв превращается не в мгновенный обвал, а в растянутую деградацию.

Важно: это срез одного источника, а не полный реестр отзыва; часть значений (особенно новый издатель) могла измениться после выгрузки.

Рынок не берет сертификаты Минцифры. Самое интересное — куда мигрируют. Лидер замены в выборке — греческий академический центр HARICA (Hellenic Academic and Research Institutions CA): на него перешли около 74 сертификатов, включая почти весь массив «АльфаСтрахования» и «Россельхозбанка». HARICA — публично доверяемый европейский центр, которому доверяют все браузеры и который пока выдает сертификаты российским организациям. Второй по популярности — Let’s Encrypt: около 43 сертификатов, в том числе весь сайт СОГАЗ. Сторонний бизнес массово выбрал европейский и бесплатный западные центры, а не отечественный НУЦ. На сертификаты НУЦ Минцифры перешло лишь около 19 — в списке преимущественно структуры, прямо завязанных на государство и ЦБ (НСПК, Россельхозбанк).

Из этого следует вывод, неудобный для позиции «российские сертификаты — равноценная замена». Даже подсанкционные организации, которым сложнее всего получить западный сертификат, в большинстве предпочли не государственный центр, а европейскую HARICA и Let’s Encrypt. Государственный центр остаётся выбором меньшинства даже среди тех, кого отзыв задел напрямую — потому что сертификату НУЦ всё ещё не доверяют обычные браузеры, а HARICA и Let’s Encrypt работают «из коробки».

Источники

Событие и подтверждения

  • «Японский GlobalSign начал отзыв „цифровых паспортов“ российских сайтов». РБК
  • «Японский GlobalSign начал отзывать „цифровые паспорта“ российских сайтов». Forbes
  • «GlobalSign начал отзывать сертификаты безопасности российских сайтов». Хабр

Позиция Минцифры

  • «Владельцы сайтов могут бесплатно получить российские TLS-сертификаты». РИА Новости
  • «В Минцифры сообщили о бесплатной возможности получить TLS-сертификаты для сайтов». Интерфакс
  • «В Минцифры прокомментировали проблемы российских сайтов с международными сертификатами». Хакер

Правовая рамка

Примечание о фактах: распространённое в СМИ объяснение, что отзыв вызван «вступившим в силу 4 мая документом CA/Browser Forum об обязательной проверке по санкционным спискам», в первоисточнике не подтверждается — в открытом перечне голосований консорциума такой нормы нет. Отзыв продиктован санкционными режимами ЕС и США, которые GlobalSign обязана исполнять как компания из этих юрисдикций.

Контекст: сертификаты Минцифры и слежка

  • «Российские сертификаты безопасности и чем они опасны. Государственный хакинг». Теплица

Какие еще разборы почитать

  • «Механизм обхода блокировок Telegram в России работает всё хуже. Разбор #9». Теплица
  • «Ресурсы для разработчиков всё менее доступны в России. Разбор #8». Теплица

Материал обновляется!

Кстати, рассылку сложнее заблокировать. Так что каждую неделю мы рассказываем о самом важном в области технологий и безопасности: как уберечь свои данные, финансы и себя в условиях блокировок, шатдаунов и финансовых ограничений. Подпишитесь!

Еще по теме
  1. Что такое SSL-сертификат, зачем он нужен и где его взять