Японский удостоверяющий центр GlobalSign начал новую волну отзыва TLS-сертификатов у российских сайтов. Под ограничения попали домены «Роснефти», «Газпромбанка», «Алросы», Positive Technologies, ОАК, АНО «Диалог», ВЭБ.РФ и других организаций — всего около 310 доменных имен от 44 компаний.
Как пишет РБК, 17 июня соответствующее письмо получил «Руцентр», а сам отзыв новой партии сертификатов начался 18 июня. Причиной названы санкционные ограничения. Представитель «Руцентра» сообщил изданию, что сертификаты отзываются у доменных имен, принадлежащих российским подсанкционным компаниям.
Первая волна отзыва началась 13 июня. Тогда участники рынка говорили о риске для 15–20 тысяч доменов второго уровня, не считая поддоменов.
Что такое TLS-сертификат
TLS-сертификат — это цифровое подтверждение подлинности сайта. Он нужен, чтобы браузер понимал: пользователь действительно открыл нужный ресурс, а соединение с ним защищено.
Если сертификат отозван, просрочен или установлен неправильно, браузер может показать предупреждение о небезопасном соединении. В некоторых случаях сайт вообще не откроется без дополнительных действий со стороны пользователя.
Именно поэтому в соцсетях и Telegram-каналах появились сообщения, что «российские сайты скоро перестанут открываться в Chrome».
Chrome не отключает российские сайты
Проблема не в том, что Google или Chrome отдельно блокируют российские сайты. Браузеры просто проверяют сертификаты по общим правилам безопасности. Если сертификат отозван удостоверяющим центром, браузер перестает считать соединение надежным.
То есть речь идет не о блокировке всего российского интернета, а о проблемах у конкретных сайтов и сервисов, чьи сертификаты были выданы иностранными центрами сертификации и которые попали под санкционные ограничения.
Кого это может затронуть
В первую очередь риски касаются крупных компаний, банков, госкорпораций и технологических сервисов, связанных с подсанкционными структурами. Проблемы могут возникать не только на сайтах, но и в мобильных приложениях, если они используют жесткую привязку к конкретному сертификату.
Для обычных коммерческих сайтов, региональных СМИ, интернет-магазинов и небольших проектов прямой угрозы из-за этой волны пока не видно — если они не связаны с подсанкционными организациями и их сертификат не выдан GlobalSign.
Однако владельцам сайтов все равно стоит проверить, кто выпустил их сертификат и когда истекает срок его действия. Особенно если сайт использует иностранного поставщика сертификатов.
А что с Let’s Encrypt
Отдельно обсуждается риск для сертификатов Let’s Encrypt — одного из крупнейших бесплатных удостоверяющих центров. В начале июня Let’s Encrypt обновил пользовательское соглашение и добавил в него санкционные ограничения: заявитель подтверждает, что не относится к лицам или организациям, находящимся под санкциями, и не действует от их имени.
Но пока нет подтверждений, что Let’s Encrypt перестал выдавать сертификаты всем российским сайтам или всей зоне .ru. Речь идет именно о санкционных ограничениях, а не о полном запрете для российских доменов.
Что предлагают в России
Минцифры сообщило, что российские владельцы сайтов могут бесплатно получить отечественные TLS-сертификаты через Госуслуги. Речь идет о сертификатах типов DV и OV, которые выдаются Национальным удостоверяющим центром Минцифры.
Но есть важный нюанс: российские сертификаты корректно поддерживаются прежде всего отечественными браузерами и российскими операционными системами. В иностранных браузерах вроде Chrome, Safari или Firefox такая замена не всегда будет работать для пользователя «из коробки».
Поэтому эксперты считают, что ситуация может привести к дальнейшему разделению инфраструктуры: одни сайты будут ориентироваться на российские сертификаты и отечественные браузеры, другие продолжат использовать международные решения, если сохранят такую возможность.
Главное
Массового отключения российских сайтов в Chrome сейчас не происходит. Но для части подсанкционных компаний отзыв TLS-сертификатов действительно может привести к ошибкам при открытии сайтов и работе приложений.
Для пользователей это будет выглядеть как предупреждение браузера о небезопасном соединении. Для владельцев сайтов — как сигнал проверить сертификаты, сроки их действия и готовность к замене, если иностранный удостоверяющий центр перестанет их обслуживать.
Ранее мы разбирались, зачем смартфоны в России хотят ставить на учет по IMEI и что это изменит для владельцев телефонов.
Антон Зевакин