Отзыв SSL-сертификатов GlobalSign в РФ: как защитить сайты и приложения от блокировок

Сколько площадок под ударом

Масштаб проблемы — предмет разногласий. Минцифры оценивает долю сертификатов GlobalSign в российском сегменте интернета на уровне не выше 5% от общего объёма рынка. Однако независимые аналитики, с которыми консультировался источник, называют другие цифры: до 15–20 тысяч уникальных доменных имен корпоративного сектора. Если учитывать региональные и технические поддомены, число площадок с недействительными криптографическими подписами может исчисляться сотнями тысяч.

Российский бизнес охотно пользовался решениями GlobalSign из-за их совместимости со старыми мобильными устройствами и гибких условий корпоративного лицензирования. Теперь этим компаниям предстоит срочная миграция.

Ведомство предлагает владельцам пострадавших ресурсов переходить на бесплатные отечественные TLS-сертификаты, которые выдаёт Национальный удостоверяющий центр через портал «Госуслуг». Процесс получения автоматизирован, срок действия ключа — один год.

Мобильные приложения: почему угроза серьёзнее, чем кажется

Отдельная проблема касается мобильных сервисов, которые используют технологию Certificate Pinning. Этот механизм жёстко привязывает конкретный SSL-сертификат к исходному коду клиентского приложения. Если сертификат отзывают, приложение на смартфоне полностью теряет доверенную связь с сервером и прекращает обмен данными.

Для восстановления работоспособности разработчикам недостаточно обновить криптографические ключи на серверной стороне. Нужно выпустить срочный патч для самого клиентского приложения в магазинах — Google Play, App Store или российском RuStore. Модерация экстренных обновлений в зарубежных площадках может занять несколько суток, а всё это время сервисы будут стабильно выдавать ошибку подключения. Под удар попадают критичные финансовые и логистические платформы.

Что увидят пользователи обычных сайтов

Без действующего сертификата современные браузеры автоматически помечают ресурс как угрозу. Chrome, Safari и Firefox начнут блокировать доступ к таким площадкам или показывать полноэкранное предупреждение о возможном перехвате данных. По данным источника, подавляющее большинство посетителей немедленно покидают сайт при виде такого экрана — это прямые потери трафика и конверсии.

Ситуация затрагивает не только веб-ресурсы. Если GlobalSign отзовёт сертификаты для подписи программного обеспечения (Code Signing), операционные системы Windows и macOS начнут блокировать установку и запуск российских десктопных программ, помечая их как продукты от неизвестного издателя.

Что стоит сделать прямо сейчас

Если вы пользуетесь российскими банковскими приложениями, сервисами госуслуг, корпоративными платформами или локальными интернет-магазинами — обратите внимание на появляющиеся предупреждения браузера. Не игнорируйте их, но и не паникуйте: тревожный экран не означает автоматически, что вашим данным кто-то завладел. В данном случае речь идёт об истёкшем или отозванном сертификате, а не о взломе.

Владельцам сайтов и разработчикам мобильных приложений имеет смысл уже сейчас проверить, какой центр выдал используемые сертификаты. Если это GlobalSign — стоит заранее позаботиться о замене, не дожидаясь массовых отзывов и жалоб пользователей.