Японский удостоверяющий центр GlobalSign начал вторую волну принудительного отзыва SSL-сертификатов у российских компаний. Это уже второй подобный случай за неделю, поэтому ситуация перестаёт выглядеть как разовая мера и всё больше напоминает системный пересмотр работы иностранных поставщиков сертификатов с российскими доменами.
SSL-сертификат нужен сайту для подтверждения подлинности и шифрования соединения между браузером и сервером. Именно он связан с HTTPS и значком замка в адресной строке. Если сертификат отзывают, его серийный номер попадает в специальный список недействительных сертификатов. После этого браузеры могут показывать пользователю предупреждение о небезопасном соединении или вовсе блокировать доступ к сайту.
Новая волна отзыва началась 18 июня. По данным, которые получил российский регистратор Руцентр, в список попали около 310 доменных имён, связанных с 44 компаниями. Среди них упоминаются домены крупных организаций, включая Роснефть, Газпромбанк, Алросу, Positive Technologies, Объединённую авиастроительную корпорацию, АНО Диалог и ВЭБ.РФ.
Причиной отзыва названы комплаенс-требования, связанные с исполнением санкционных ограничений. То есть речь идёт не о технической проблеме сертификатов, а о юридических и регуляторных рисках для иностранного удостоверяющего центра. Для российских компаний это означает, что даже исправно работающий сайт может столкнуться с проблемами доступа из-за внешнего решения поставщика сертификатов.
Руцентр уже связывается с администраторами доменов, которые могут попасть под отзыв, и предупреждает их о рисках. Также направлены заявки в российский центр сертификации Технический центр Интернет, чтобы выпустить отечественные сертификаты взамен потенциально отозванных иностранных. Это должно помочь сайтам быстрее восстановить нормальную работу и избежать предупреждений в браузерах.
Ситуация опасна тем, что пользователи могут воспринять предупреждение браузера как признак взлома или мошенничества. Для банков, промышленных компаний, государственных и корпоративных сервисов это особенно чувствительно. Даже кратковременные проблемы с сертификатом могут привести к потере доверия, снижению доступности сайта и дополнительной нагрузке на техподдержку.
Первая волна отзыва сертификатов GlobalSign стала известна 13 июня. Тогда речь шла о значительно более крупном списке: назывались 15–20 тысяч доменов второго уровня, а с учётом поддоменов потенциально могли пострадать сотни тысяч или даже миллионы сертификатов. Минцифры при этом заявляло, что доля GlobalSign в Рунете не превышает 5%, однако для отдельных компаний последствия всё равно могут быть серьёзными.
Отдельный риск заключается в том, что похожий подход могут применить и другие иностранные удостоверяющие центры. Если пересмотр санкционных требований затронет не только GlobalSign, российским сайтам придётся быстрее переходить на альтернативные сертификаты и заранее готовить резервные варианты. Особенно внимательно за ситуацией будут следить компании, которые используют зарубежные сертификаты для критически важных сервисов.
Главный смысл новости в том, что проблема с SSL-сертификатами российских сайтов становится не единичным инцидентом, а частью более широкой зависимости от иностранных инфраструктурных поставщиков. Отзыв сертификата не ломает сайт напрямую, но может сделать его недоступным или подозрительным для пользователей. Поэтому российским компаниям придётся заранее продумывать замену сертификатов и снижать зависимость от зарубежных удостоверяющих центров.