Отзыв SSL-сертификатов у российских сайтов: чем грозит

Утром 13 июня 2026 года японский удостоверяющий центр GlobalSign запустил принудительный отзыв SSL-сертификатов у российских компаний. Решение связано с обновленными требованиями международного консорциума CA/Browser Forum — с июня 2026 года его участники обязаны проверять клиентов по санкционным спискам США и ЕС. В списке на отзыв находится от 15 до 20 тысяч доменов второго уровня. С учетом поддоменов речь может идти о сотнях тысяч или даже миллионах сертификатов.

Параллельно в начале июня изменил условия работы крупнейший в мире удостоверяющий центр Let's Encrypt. Сертификаты для российских госструктур и компаний под санкциями США теперь недоступны. Минцифры заявило, что ситуация не должна стать критической. Национальный удостоверяющий центр бесплатно выдает российские TLS-сертификаты DV и OV через «Госуслуги» в течение трех рабочих дней. Однако эксперты предупреждают, что отзывы будут продолжаться по мере расширения санкционных списков.

Что теперь делать сайтам

Юрий Тюрин, технический директор MD Audit, рассказал Hi-Tech Mail, что в краткосрочной перспективе сайтам необходимо оперативно перевыпускать сертификаты у альтернативных удостоверяющих центров и обновлять цепочки доверия на серверах, чтобы не допустить падения HTTPS и предупреждений в браузерах. В среднесрочной — пересматривать архитектуру доверия: не завязываться на одного провайдера, использовать несколько CA и внедрять автоматизацию управления сертификатами.

Где получать сертификаты

По словам эксперта, альтернативы есть — как среди международных, так и среди локальных центров. Однако выбор теперь определяется не только ценой и удобством, а рисками отзыва и стабильностью работы в конкретной юрисдикции. Компании все чаще рассматривают распределенную модель: несколько поставщиков, бесплатные CA для части сервисов и отдельные решения для критичных систем.