Японский удостоверяющий центр GlobalSign, входящий в число крупнейших в мире, инициировал процедуру принудительного отзыва ранее выданных SSL/TLS-сертификатов у ряда российских организаций. Поводом послужило обновление требований Международного консорциума CA/Browser Forum - глобального регулятора, объединяющего ведущие центры сертификации и разработчиков браузеров: Google, Apple, Microsoft и Mozilla. Именно этот орган устанавливает единые стандарты выпуска и аннулирования цифровых сертификатов. Обновленные регламенты предусматривают обязательное соблюдение международных санкционных ограничений, что непосредственно затрагивает ресурсы, принадлежащие российским компаниям, попавшим под американские и европейские рестрикции.
Между тем ряд других крупных игроков рынка успел ограничить доступ к своим услугам для российских клиентов еще раньше. Такие центры, как DigiCert и Sectigo, приостановили выдачу сертификатов отечественным компаниям без исключения. GoDaddy вместе со своим подразделением Starfield полностью покинули российский рынок. Google Trust Services, в свою очередь, переориентировался на работу через Google Cloud и Cloudflare, однако новых клиентов из России в рамках Google Cloud компания больше не принимает.
Он решает три задачи: шифрует трафик между браузером и сервером, подтверждает подлинность сайта и обеспечивает целостность передаваемых данных. Благодаря сертификату злоумышленники не могут просто прочитать перехваченные пароли или данные карты и им гораздо сложнее подменить сайт через атаки в сети. Сертификат выпускает центр сертификации, которому доверяют браузеры; при успешной проверке в адресной строке появляется замочек и префикс https. Сегодня для любых сайтов с авторизацией, персональными данными или оплатой TLS-сертификат фактически обязателен и воспринимается как базовая гигиена безопасности, а отсутствие HTTPS - серьезный сигнал недоверия.
Когда пользователь пытается открыть сайт без SSL-сертификата или с просроченным/недействительным сертификатом, поведение браузера отличается в зависимости от ситуации, но общая логика одна: браузер предупреждает о риске и затрудняет доступ к сайту.
Если сайт не имеет сертификата и в браузере перед адресом показывается префикс http, браузер загружает страницу, но в адресной строке вместо замочка показывает предупреждение "Небезопасно" или перечеркнутый значок. Chrome, Firefox и Edge таким образом сигнализируют: все, что вы введете - логин, пароль, данные карты - будет передано в открытом виде.
Если сертификат просрочен или недействителен, то браузер действует жестче: он полностью блокирует загрузку сайта и показывает экран с ошибкой - например, "Ваше соединение не является приватным" (Chrome) или "Предупреждение: возможная угроза безопасности" (Firefox). На экране указан код ошибки: NET::ERR_CERT_DATE_INVALID - если сертификат просрочен, ERR_CERT_COMMON_NAME_INVALID - если сертификат выдан на другой домен. Пользователь может нажать "Дополнительно" и все равно зайти на сайт на свой страх и риск, но браузер повторно предупреждает об опасности.
Бесплатный удостоверяющий центр Let's Encrypt, обслуживающий 64,9% всех сайтов в мире, пока еще остается доступным инструментом для российских ресурсов: сертификат здесь можно получить бесплатно и в полностью автоматическом режиме. Вместе с тем необходимо обратить внимание на важный нюанс.
Подписывая ее, пользователь подтверждает, что не находится, не зарегистрирован и не проживает на территории, в отношении которой США ввели санкции, а также не является запрещенной или ограниченной стороной и не действует в ее интересах. Помимо этого, некоммерческая организация ISRG (Internet Security Research Group), основавшая и управляющая Let's Encrypt, закрепила за собой право отказать в выдаче сертификата по любому законному основанию.
Руководитель отдела доменов "Руцентра" Георгий Казаров отмечает, что процесс отзывов сертификатов GlobalSign носит волновой характер и, скорее всего, будет продолжен. Кроме того, уже есть признаки того, что аналогичные проверки по санкционным спискам начинают применять и другие иностранные удостоверяющие центры - в первую очередь американский Let's Encrypt. Это значит, что риск может затронуть не только клиентов GlobalSign, а все подсанкционные компании, использующие иностранные сертификаты. Однако с учетом того, что механика отзыва сертификатов уже понятна, а санкционные перечни публичны, у компаний есть время, чтобы подготовиться.
"Компаниям из санкционных списков стоит попробовать выпустить иностранный сертификат в другом удостоверяющем центре, где пока отзывы не начались, - это даст дополнительный запас прочности. Но обязательно подстраховаться отечественным сертификатом: от Минцифры или от ТЦИ. Для внутренних систем и приложений - добавить корневые сертификаты в доверенные на всех рабочих станциях и серверах, чтобы избежать предупреждений браузеров. Разработчикам мобильных приложений стоит срочно проверить, не используется ли жесткая привязка к сертификату, и при необходимости подготовить обновление", - рассказал Казаров.
"За последние 10 дней у нас кратно выросло число заявок от корпоративных клиентов в Центр сертификации "Технического центра Интернет" (ТЦИ), а также запросов на сертификаты для защиты групп доменов внутри единой инфраструктуры. Ранее TLS-сертификаты ЦС ТЦИ использовало ограниченное число заказчиков и, по сути, они выполняли роль резервного инструмента или использовались для внутренней инфраструктуры. Сейчас к российскому центру сертификации массово обращаются компании, которые раньше полагались на международные ЦС и не рассматривали национальный TLS в качестве базового решения. Для части из них выпуск сертификатов связан с заменой уже отозванных или потенциально проблемных с точки зрения санкций иностранных сертификатов, - объясняет генеральный директор ТЦИ Алексей Рогдев. - Очевидно, что для бизнеса сейчас крайне важно иметь возможность быстро перейти на российские TLS-сертификаты".
А что делать обычному пользователю, который попадает на российский сайт с отозванным или просроченным международным SSL/TLS-сертификатом?
Есть несколько вариантов. Можно продраться сквозь все предупреждения и "красные флаги" зарубежных браузеров Chrome, Safari, Firefox и попасть на сайт. Однако если данный сайт нужен часто, это неудобно.
Также можно самостоятельно установить сертификат в популярные зарубежные браузеры, но это уже потребует некоторых усилий.
Windows (Chrome, Edge, Opera)
Единый официальный источник для скачивания - страница gosuslugi.ru/crt, авторизация не нужна. Нужно скачать два файла: корневой сертификат russian_trusted_root_ca.cer и выпускающий russian_trusted_sub_ca.cer.
Для каждого файла порядок действий одинаков: кликните правой кнопкой мыши по файлу → "Установить сертификат" → "Текущий пользователь" → "Далее". Для корневого сертификата обязательно выбрать хранилище вручную: "Поместить в следующее хранилище" → "Обзор" → "Доверенные корневые центры сертификации" → "Готово". Для выпускающего сертификата хранилище можно оставить на автоматическом выборе. После установки обоих файлов нужно перезапустить браузер, иногда - перезагрузить Windows.
Firefox на Windows - исключение: он использует собственное хранилище, не Windows. В нем нужно : "Настройки" → "Приватность и защита" → "Просмотр сертификатов" → вкладка "Центры сертификации" → "Импортировать" - и указать файл сертификата, поставив галку "Доверять при идентификации веб-сайтов".
MacOS
Скачайте файл russiantrustedca.pem со страницы "Госуслуг" для macOS. Откройте его - запустится приложение "Связка ключей", где появятся Russian Trusted Root CA и Russian Trusted Sub CA. Дважды кликните на Russian Trusted Root CA → раздел "Доверие" → "Параметры использования сертификата" → "Всегда доверять" → закройте окно, введите пароль от Mac → "Обновить настройки". Повторите те же действия для Russian Trusted Sub CA и после этого очистите кэш браузера.
iPhone / iPad (iOS)
Зайдите на gosuslugi.ru/crt прямо с iPhone, выберите раздел iOS и скачайте профиль → нажмите "Разрешить". Затем: "Настройки" → "Профиль загружен" → "Установить" → введите пароль от iPhone → "Установить". Этого еще недостаточно: нужно дополнительно включить доверие. Зайдите в "Настройки" → "Основные" → "Об этом устройстве" → "Доверие сертификатам" → активируйте тумблер рядом с Russian Trusted Root CA. Без этого второго шага сертификат установлен, но сайты все равно не откроются.
Android
Скачайте russian_trusted_root_ca.cer со страницы Госуслуг для Android. Откройте "Настройки", в поиске введите слово "Сертификат" → выберите "Установка сертификатов" → "Сертификат центра сертификации". Если появится предупреждение, нажмите "Все равно установить". Выберите скачанный файл из папки "Загрузки" - появится уведомление "Сертификат ЦС установлен". Повторите процедуру для выпускающего сертификата russian_trusted_sub_ca.cer, после чего очистите кэш браузера. Конкретное расположение пунктов меню зависит от производителя (Samsung, Xiaomi, Huawei), но логика везде одна.