У российских сайтов массово отзывают цифровые сертификаты из–за санкционных рисков.
Один из крупнейших глобальных центров сертификации — GlobalSign массово отзывает TLS–сертификаты у российских сайтов. Из–за этого даже корректно работающий ресурс может начать открываться с предупреждением о небезопасном соединении.
Потенциально под ударом могут оказаться 15–20 тыс. доменов. Под ограничения попали отдельные региональные ресурсы, тогда как крупные федеральные сайты в основном продолжают работать без аналогичных проблем. По Петербургу точной статистики пока нет, но эксперты говорят как минимум о сотнях сайтов и сервисов. Одна из пострадавших компаний сообщила "ДП" на условиях анонимности, что не получила понятного обоснования отзыва.
Цепная реакция
Генеральный директор "Технического центра Интернет" Алексей Рогдев рассказал "ДП", что по состоянию на 24 июня в зоне.RU было отозвано около 3,2 тыс. сертификатов GlobalSign. Общая оценка в 15–20 тыс. доменов, по его мнению, выглядит реалистичной. У организаций, которые потенциально могут быть затронуты новыми санкциями, в зоне.RU зарегистрировано около 12,5 тыс. доменов второго уровня.
Читайте также:
Из реестра ИТ–компаний Минцифры рискуют исчезнуть 333 петербургские компании
Путин подписал закон о запрете входа на сайты через иностранную почту
В Петербурге участились споры с сайтами-посредниками по продаже авиабилетов
В Москве частично заработали сайты из "белых списков" после 5 дней...
Сайту финских товаров запретили рекламу шпрот и сыров из ЕС в Петербурге
“
"Отзыв сертификатов GlobalSign идёт волнами, а не однократно. Первая волна началась 13 июня 2026 года (410 сертификатов), вторая — 18 июня (1412 сертификатов), третья — 23 июня (1317 сертификатов). С учётом поддоменов и wildcard–сертификатов реальное число затронутых технических единиц кратно выше. Один отозванный wildcard автоматически выводит из строя сразу все поддомены основного домена организации", — объясняет Рогдев.
Руководитель департамента информационных технологий ИТ–компании MONS, входящей в ГК "КОРУС Консалтинг", Евгений Пивоваров подтверждает, что один сертификат не равен одному сайту.
“
"Один сертификат может защищать один сайт. Wildcard–сертификат может защищать сотни и тысячи поддоменов, а крупные компании часто используют один сертификат для целого набора сервисов", — говорит он.
По словам эксперта, если считать не только основные домены, но и API (программные интерфейсы приложений), корпоративные порталы, мобильные backend–сервисы, VPN–шлюзы, почтовые сервисы и другие TLS–защищённые ресурсы, число реально затронутых сервисов может быть действительно огромным.
Странная выборка
Для пострадавших компаний логика GlobalSign выглядит абсолютно непрозрачной. Один региональный ресурс сталкивается с отзывом сертификата, другой крупный сайт — нет. При этом эксперты сомневаются, что речь идёт об индивидуальной оценке "важности" сайта.
Алексей Рогдев объясняет, что выборка является санкционно–правовой. По его словам, GlobalSign ориентируется на формальные списки, включая SDN List, BIS Entity List и BIS Denied Persons List. В них перечислены конкретные юридические лица, аффилированные структуры и физические лица–бенефициары.
"Это объясняет кажущуюся непоследовательность: небольшое региональное издание или дистрибьютор могут попасть в SDN через цепочку собственников или связь с подсанкционным холдингом, тогда как крупный федеральный медиабренд формально не входит ни в один из этих списков. GlobalSign проверяет юридические лица и бенефициаров, а не редакционный вес и аудиторный охват ресурса", — подчёркивает Рогдев.
После отзыва сертификата сервер обычно продолжает отвечать на запросы. Но меняется реакция браузера: он предупреждает пользователя, что соединение небезопасно. Для большей части аудитории этого достаточно, чтобы закрыть страницу.
Старший партнёр IT–интегратора "Энсайн" Алексей Постригайло говорит, что внешне это часто выглядит именно как недоступность сервиса.
“
"После отзыва сертификата сервер обычно продолжает работать, однако браузер перестаёт доверять соединению. Пользователь видит предупреждение или блокировку доступа. Мобильное приложение может просто потерять связь с сервером. Внешне это часто выглядит как падение сайта, хотя технически он остаётся доступен", — описывает он.
Для бизнеса особенно опасны автоматические сервисы: приложения, платёжные формы, API и партнёрские интеграции. Пользователь в браузере иногда может нажать "перейти дальше", а приложение или корпоративная система такой возможности не имеют.
Срочная замена
Получить новый цифровой сертификат взамен отозванного часто можно бесплатно — через Let’s Encrypt, Национальный удостоверяющий центр Минцифры и другие варианты. Но траты неизбежны при аварийной установке и проверке всех связанных сервисов.
“
"Один обычный сайт при готовых доступах можно перевести за 2–4 часа. Для среднего бизнеса с несколькими сервисами разумный срок составляет 1–3 рабочих дня. Срочная замена обычно стоит несколько десятков тысяч рублей. Основные расходы связаны с поиском всех точек использования сертификата и проверкой после установки", — объясняет Постригайло.
Для крупной инфраструктуры расходы могут быть ещё выше. По словам технического директора компании "Стахановец" Сергея Щербакова, при множестве поддоменов процесс может растянуться на несколько дней или недель. А привлечение внешнего подрядчика в аварийном режиме способно обойтись в сотни тысяч рублей.
Главная ошибка — заменить сертификат только на основном домене и решить, что проблема закрыта.
"Даже после успешной замены главного сертификата остаётся ряд уязвимых мест. В первую очередь это поддомены, которые не покрыты новым wildcard–сертификатом. Затем — мобильные приложения с жёсткой привязкой к старому сертификату. Их нельзя обновить на лету, для этого требуется выпуск новой версии в магазинах приложений. Также под удар попадают платёжные формы и партнёрские API, которые могут требовать строгой проверки цепочки доверия", — перечисляет Щербаков.
