Японская компания GlobalSign — один из крупнейших мировых центров сертификации — с утра 13 июня начала процедуру принудительного отзыва ранее выпущенных SSL-сертификатов у компаний из России.
Об этом сообщает гендиректор российского юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрий Рыжиков в письме партнёрам, рассказал РБК источник, знакомый с содержанием документа, и подтвердили четыре собеседника на рынке хостинг-провайдеров.
SSL-сертификат — цифровой «паспорт» сайта. Он подтверждает подлинность ресурса, гарантирует, что пользователь подключился к нужному сайту, а не к поддельному, и шифрует трафик между браузером и сервером. Именно он отвечает за значок замка в адресной строке и протокол HTTPS. Без действующего сертификата зарубежные браузеры — Google Chrome, Safari, Firefox — отказываются открывать сайт или выводят предупреждение о небезопасном соединении.
В письме Рыжикова указано, что Международный консорциум CA/Browser Forum (глобальный регулятор, в котором входят все крупнейшие центры сертификации и разработчики браузеров — Google, Apple, Microsoft, Mozilla) утвердил обновлённые требования к проверке организаций.
«К нашему глубокому сожалению, текущие жёсткие регламенты этого консорциума напрямую подразумевают исполнение международных санкционных ограничений», — указано в документе.
«В связи с этим глобальный удостоверяющий центр начал процедуру принудительного отзыва части ранее выпущенных сертификатов для компаний из России».
В опубликованном на сайте CA/Browser Forum документе, вступившем в силу 4 мая, содержится прямой запрет для удостоверяющих центров выдавать сертификаты компаниям из санкционных списков.
Проверка по OFAC SDN List, BIS Denied Persons List и их европейским аналогам стала обязательной. GlobalSign, основанная в 1996 году в Бельгии и позже проданная японскому холдингу GMO Internet Group, обязана соблюдать санкционные ограничения ЕС.
Представитель Минцифры сообщил РБК, что при отзыве иностранного сертификата «в худшем случае сайты и онлайн-сервисы могут быть недоступны непродолжительное время, пока владельцы получают новые сертификаты».
«Доля GlobalSign в Рунете не превышает 5%», — добавил он, напомнив, что в России с 2021 года работает Национальный удостоверяющий центр Минцифры.
Юрлица могут получить отечественные TLS-сертификаты бесплатно на «Госуслугах».
Замгендиректора Astra Cloud Константин Анисимов заявил, что в коммерческом сегменте западных сертификатов GlobalSign занимает в России порядка 90% рынка. Замгендиректора подчеркнул, что отзыв сертификата означает, что браузеры будут считать его недействительным.
По данным собеседника РБК, в списке на отзыв находится порядка 15–20 тыс. доменов второго уровня. Реальное количество сертификатов может измеряться сотнями тысяч или даже миллионами — особенно если в списке окажутся домены крупных банков, госструктур и технологических платформ.
Независимый эксперт Алексей Лукацкий отметил, что нынешний отзыв — не последний.
«Под санкциями находится очень большое количество крупных игроков российской экономики — и эта история точно продолжится».
Гендиректор RUVDS Никита Цаплин назвал происходящее «серьезным инфраструктурным риском», но «ожидаемым для рынка».
«Мы наблюдаем финальный этап ухода международных удостоверяющих центров из России».
