Цифровой суверенитет России под угрозой: что будет с российскими сайтами при отключении от интернета?

Резюме: Глобальный аудит SSL/TLS показал: более 77% сертификатов российских сайтов выпущены иностранными удостоверяющими центрами, а почти 60% сайтов рискуют стать недоступными в случае изоляции от интернета. Новое исследование кибербезопасности BRICS "Assessing SSL/TLS Certificate Centralization: Implications for Digital Sovereignty"(arXiv:2504.16897) раскрывает риски — и даёт четкие рекомендации, что делать прямо сейчас. Существует раздел кибербезопасности, которые исследует проблемы и решает задачи связанные с доверием между клиентами и серверами и именно он позволяет нам безопасно осуществлять операции в интернет: покупать и оплачивать товары, получать госуслуги. Это называется Public Key Infrastructure (PKI).

Почему тема PKI важна для каждого

Сертификаты и протоколы SSL/TLS — это основа цифровой безопасности: без сертификатов невозможна работа ни банков, ни порталов госуслуг, ни электронной коммерции, ни устройств передачи данных. Даже российские NGFW для своей работы используют CA иностранных вендоров. Других ведь нет. Сегодня реальность такова: судьба всей российской интернет-инфраструктуры зависит от решений 5–7 иностранных компаний. Любая санкция, сбой или атака на них — это не только политическая, но и технологическая уязвимость страны.

Ключевое понятие: цепочка доверия. Один сертификат подтверждает доверие другому сертификату. Все главные корневые сертификаты - знает весь мир и они встроены во все браузеры и устройства. А вот промежуточные сертификаты в цепочке - нужно скачивать из Интернет.

Ключевые цифры и факты исследования (arXiv:2504.16897)

• 77,8% всех SSL-сертификатов российских (и BRICS-) сайтов выдают CA из США.
• В топ-5 CA — четыре американских (Let’s Encrypt, DigiCert, Google Trust Services, Sectigo) и только один европейский (GlobalSign).
• Менее 0,25% сайтов в России используют внутренние удостоверяющие центры (CA). Для сравнения, в Китае — более 23%.
• Более 60% сертификатов — “короткие” (90 дней, Let’s Encrypt). При изоляции от интернета большая часть сервисов перестанет работать уже через 3 месяца.
• 84% сертификатов в мире выпускают всего 7 CA. Это риск “каскадного отказа”.

Top-5 стран предоставляющих SSL сертификаты для стран BRICS

Российский контекст: что это значит на практике

• Почти все госуслуги, банки, коммерция зависят от зарубежных CA, операционные системы, пункты оплаты, даже иностранные средства защиты, например NGFW.
• Случаи массового аннулирования сертификатов по санкционным или тех. причинам уже были в 2022–2024.
• “Миграция на российские CA” — не панацея, т.к. Chrome, Firefox, Safari по умолчанию им не доверяют. Для доверия требуется формальная процедура включения в корневые хранилища браузеров, что может занять годы (а для санкционных стран — быть недоступно вовсе).
• Китай — единственный в BRICS, кто смог развить внутреннюю PKI. У всех остальных — полный контроль извне.

Системные риски и недавние инциденты

• Январь 2025: сбой MSK-IX и массовые проблемы с валидацией SSL из-за невозможности догрузить промежуточные сертификаты.
• Май 2025: одновременные сбои ФНС, Честного Знака, Госключа, ЕМИАС, СБИС — пользователи массово не могли подключиться по HTTPS.
• Июнь–июль 2025: “Cloudflare-кризис” — частичная изоляция трафика, массовые SSL-ошибки на тысячах сайтов.
• 18 июля 2025: ограничение мобильного интернета и массовые сбои банковских приложений из-за certificate pinning и недоступности CA-сервисов.

Технический вывод: Даже кратковременный разрыв с внешними CA приводит к мгновенным сбоям для 60%+ всех сервисов и приложений.

Почему “внутренний CA” — не панацея

• Включить российский или корпоративный CA в доверенные хранилища на миллионах устройств (ПК, телефонов, IoT) централизованно — задача на месяцы. А кто ей занимается?
• Без доверия браузеров пользователи всегда видят ошибку “Этот сертификат не доверен”, сайты не работают.
• В Китае эту проблему решили жёстко: ОС, браузеры и приложения локализованы, везде прописаны национальные CA, экспортное ПО — дублирует цепочки. В РФ инфраструктура иная, “жёсткая локализация” недостижима.

Что делать — стратегия для инженера и бизнеса

1. Провести аудит всех цепочек сертификатов на своих ресурсах: все ли промежуточные CA выдаются сейчас сервером, возможна ли автономная работа без AIA/OCSP извне?
2. Мониторить сроки действия сертификатов и автоматизировать напоминания об истечении.
3. Готовить инфраструктуру для массовой (и централизованной) установки собственного CA на устройства, если потребуется быстро перейти на автономную PKI.
4. Строить внутренние CA по международным стандартам (WebTrust, ETSI) и лоббировать их признание в браузерах — заранее.
5. Тестировать сценарии “изоляции” и переводить внутренние сервисы на полные цепочки, локальные OCSP/CRL и стаплинг.

Заключение

Российский цифровой суверенитет зависит от 5–7 зарубежных компаний и стандартов браузеров. Это реальный риск массового сбоя не только для бизнеса, но и для государственных функций. Готовиться надо до кризиса, а не после. Полезные источники и материалы:

• Assessing SSL/TLS Certificate Centralization: Implications for Digital Sovereignty (arXiv:2504.16897)
• SSL/TLS Sovereignty Analysis — code, графики, статистика
• Censys — анализ SSL/TLS-цепочек и открытых портов

Проверьте свой сайт: Где выпущен сертификат? Есть ли полный chain? Как быстро сайт останется без HTTPS в случае отключения от интернета? Статья подготовлена на основе глобального аудита SSL/TLS (2025), с рекомендациями для бизнеса, инженеров и ИБ-экспертов. Пишите вопросы и запросы — сделаю по вашим сервисам!

Более подробная версия статьи в блоге

Читайте телеграм-канал Топ Кибербезопасности Батранкова