Один из крупнейших в мире центров сертификации сайтов, японский GlobalSign, начал принудительно отзывать цифровые «паспорта» у компаний из РФ, пишет издание РБК со ссылкой на собеседников.

По их словам, о начале процесса предупреждается в письме гендиректора российского юрлица «Джи-Эм-О Глобал Сайн Раша» Дмитрия Рыжикова. В послании партнерам говорится, что международный консорциум центров сертификации и разработчиков браузеров CA/Browser Forum ввел новые требования к проверке организаций: «К нашему глубокому сожалению, текущие жесткие регламенты этого консорциума напрямую подразумевают исполнение международных санкционных ограничений. В связи с этим глобальный удостоверяющий центр начал процедуру принудительного отзыва части ранее выпущенных сертификатов для компаний из России».

SSL-сертификаты будут отзывать в РФ постепенно, начиная с сегодняшнего дня. РБК отдельно ссылается на документ CA/Browser Forum от 4 мая к проверке организаций и санкционными ограничениями. При этом в открытых правилах CA/Browser Forum прямой запрет на выдачу сертификатов заявителям из санкционных списков содержится в разделе о EV-сертификатах, то есть сертификатах с расширенной проверкой организации, обнаружил The Insider. Из этого документа напрямую не следует требование массово отзывать все обычные SSL/TLS-сертификаты российских сайтов.

После начала отзыва сертификатов российские банки начали предупреждать клиентов о возможных сбоях. По данным РБК, 13 июня Т-Банк разослал части клиентов СМС о том, что из-за санкций у некоторых российских сайтов и приложений могут возникнуть проблемы со входом. Россельхозбанк также предупредил, что старая версия его приложения на Android может работать с ошибками.

Эксперты предупреждают, что пользователи Chrome, Safari, Firefox и Edge могут увидеть предупреждения о небезопасном соединении или столкнуться с блокировкой доступа, а особенно уязвимыми могут оказаться мобильные приложения, где сертификат «зашит» в саму программу.

В свою очередь в Минцифры утверждают, что массовых проблем из-за отзыва иностранных сертификатов быть не должно. Представитель ведомства сказал журналистам, что в худшем случае сайты и онлайн-сервисы могут быть недоступны «непродолжительное время», пока их владельцы получают новые сертификаты. Он также отметил, что доля GlobalSign в Рунете, по открытым данным, не превышает 5%, а в России с 2021 года работает Национальный удостоверяющий центр Минцифры, где юрлица могут бесплатно получить отечественные сертификаты.

GlobalSign — один из крупнейших центров сертификации в мире и, по данным W3Techs, второй по числу действующих сертификатов после Let’s Encrypt. После ухода других международных центров сертификации из России в 2022 году GlobalSign оставался единственным крупным коммерческим игроком, продолжавшим работать с российскими клиентами. По данным собеседника РБК, в списке на отзыв находится около 15–20 тысяч доменов второго уровня, однако реальное число затронутых сертификатов может быть намного больше из-за поддоменов.