Японский удостоверяющий центр запустил вторую волну отзыва TLS-сертификатов у российских компаний под санкциями
18 июня в 17:15 по Москве GlobalSign начал массово отзывать TLS-сертификаты у российских структур, попавших под международные санкции. Это уже вторая волна - и, судя по масштабу, куда серьёзнее первой.
Кто в списке и что происходит
Под удар попали крупнейшие игроки: «Роснефть», «Газпромбанк», «Алроса», Positive Technologies, Объединённая авиастроительная корпорация, ВЭБ.РФ, АНО «Диалог» и ряд других организаций. Генеральный директор российского юрлица японского центра сертификации письменно уведомил отечественного регистратора «Руцентр» о запуске процедуры - тот незамедлительно начал связываться с администраторами доменов и параллельно запросил выпуск замещающих сертификатов через «Технический центр Интернет» за собственный счёт. Шотландия - Бразилия смотреть онлайн
TLS-сертификат - это цифровой паспорт сайта. Без него браузеры - Chrome, Safari, Firefox - либо выдают пугающее предупреждение о небезопасном соединении, либо вовсе блокируют загрузку страницы. Для бизнеса это означает мгновенный обрыв трафика.
Масштаб проблемы: цифры впечатляют
По предварительным оценкам, непосредственно под отзыв попадают от 15 000 до 20 000 доменов второго уровня. Звучит не катастрофично - до тех пор, пока не учесть, что под каждым таким доменом могут располагаться сотни и тысячи ресурсов третьего уровня и глубже. Итоговая цифра, по мнению специалистов отрасли, способна достичь сотен тысяч, а возможно, и миллионов сайтов.
При этом GlobalSign занимает скромные 5% всего Рунета. Зато в коммерческом сегменте зарубежных сертификатов японский удостоверяющий центр контролирует около 90% российского рынка - именно поэтому его действия ощущаются так болезненно. В ближайшие дни аналогичные шаги могут предпринять и другие иностранные игроки, прежде всего американский Let's Encrypt.
Есть ли выход
Минцифры заранее предупреждало о такой развязке и предложило конкретное решение: российские сайты могут бесплатно получить отечественные сертификаты через портал «Госуслуги». Схема работает, но требует времени на переоформление - а значит, краткосрочные сбои в работе части ресурсов всё равно неизбежны.
- Российские сертификаты выдаются бесплатно через «Госуслуги»
- «Руцентр» берёт расходы на замещение части сертификатов на себя
- Период уязвимости - время между отзывом и получением нового сертификата
- Основная проблема: браузеры большинства пользователей не доверяют российским удостоверяющим центрам по умолчанию
Последний пункт - ключевой. Даже получив отечественный сертификат, сайт может продолжать выглядеть небезопасным для пользователей с иностранными браузерами: глобальные вендоры пока не включили российские центры сертификации в свои доверенные списки. Так что для части аудитории проблема не исчезнет автоматически - она просто сменит форму.