GlobalSign отзывает сертификаты у российских сайтов
что происходит и насколько это серьёзно
Вчера 13 июня японско-бельгийский удостоверяющий центр GlobalSign — один из крупнейших в мире — начал принудительный отзыв SSL-сертификатов у российских компаний. По оценкам участников рынка хостинга, в списке на отзыв около 15–20 тысяч доменов второго уровня, а с учётом поддоменов речь может идти о сотнях тысяч сертификатов.
Первой жертвой ранее стал мессенджер MAX: его сертификат отозвали ещё 6 июня, Let's Encrypt выдал замену в тот же день, однако уже объявил, что не будет продлевать её после 4 сентября.
Чтобы правильно считать происходящее, важно понять механику процесса.Это не политический жест отдельной компании — операционный центр GlobalSign зарегистрирован в Бельгии и принадлежит японской GMO Group.
Реальная причина — новые правила международного консорциума CA/Browser Forum, вступившие в силу 4 мая: они сделали проверку организаций по санкционным спискам OFAC SDN, BIS и европейским аналогам обязательной, а не рекомендательной.
GlobalSign провёл аудит своего портфеля и планомерно отзывает сертификаты у клиентов, которые этим правилам не соответствуют. Давление здесь коллективно-западное, идущее через отраслевой регулятор и сразу несколько санкционных режимов — российское подразделение GlobalSign в этой конструкции не имеет никаких рычагов влияния.
При этом реальный масштаб эффекта стоит оценивать трезво. Распространённый тезис о том, что браузер проверяет список отозванных сертификатов при каждом подключении, технически неверен: Chrome и Edge отключили онлайн-проверку отзыва много версий назад, Firefox делает это в основном у EV-сертификатов, а мобильные браузеры исторически почти не проверяют вовсе.
Гораздо более жёсткий эффект даёт не сам отзыв, а истечение и непродление сертификата — именно тогда сайт начнёт выдавать ошибку. Особо уязвимы сервисы с Certificate Pinning в мобильных приложениях, где отозванный или просроченный сертификат разрывает связь с сервером до выхода обновления — и здесь у операторов практически нет времени на реакцию.
А еще ведь есть проблемы с магазинами приложения. 3 июня Apple удалила MAX из App Store и отключила для него пуш-уведомления, официально сославшись на санкции против структур VK. В Google Play мессенджер пока остается — платформы действуют не синхронно и живут каждая в своей регуляторной логике.При этом MAX далеко не первый: приложения крупных российских банков недоступны для установки в обоих магазинах ещё с 2022–2023 годов, а в мае 2026 года Tech Transparency Project обнаружил в магазинах ещё десятки приложений от подсанкционных российских и китайских структур — Google и Apple начали их убирать.
И здесь две санкционные истории смыкаются: когда у приложения с Certificate Pinning отзывают или не продлевают сертификат, починить это можно только обновлением — но если приложение уже удалено из App Store, доставить патч пользователям iPhone практически невозможно. Именно в такой ловушке оказались клиенты ряда российских банков на iOS. Android за счёт альтернативных магазинов приложений в этом смысле устойчивее, а iOS остаётся самым уязвимым звеном.
В целом параллель со SWIFT и событиями 2022 года вполне уместна: речь идёт не об одномоментном обвале, а о постепенном и неравномерном процессе, у которого есть работающий российский ответ в виде собственной инфраструктуры по выдаче сертификатов.
Разумеется, обрубание привычных инструментов и сервисов будет болезненным и потребует переходного периода, но, как и в случае, с банковскими картами после ухода Visa и Mastercard, ничего катастрофичного ждать не стоит.
#Россия #технологии
