вторник, 23 июня 2026 г.

Как покупать сертификаты у посредников за рубежом

После отказа от работы с Россией, сейчас многие будут перевыпускать сертификаты через посредников за рубежом. Что важно спросить у этого посредника:

Юрлицо посредника

  • В какой стране зарегистрировано юрлицо?
  • Какое точное название, регистрационный номер и VAT/Tax ID?
  • Кто бенефициар и кто подписант по договору?
  • Есть ли публичные реквизиты банка и платежные методы?

Право продавать CA

  • Являетесь ли вы официальным партнером или реселлером конкретного CA?
  • Есть ли у вас партнерский ID или подтверждение статуса?
  • Можете показать ссылку на партнерскую программу или письмо от CA?
  • Кто юридически будет владельцем аккаунта в панели CA?

География и санкции

  • Обслуживаете ли вы клиентов, связанных с Россией?
  • Есть ли у вас письменная политика по санкциям?
  • На каком этапе вы проверяете конечного клиента?
  • Можете ли вы заранее подтвердить, что мой кейс допустим?

Модель владения сертификатом

  • На кого будет выпущен сертификат: на вас или на конечное юрлицо?
  • Кто будет контролировать приватный ключ?
  • Кто получает доступ к аккаунту для продления и перевыпуска?
  • Можно ли оформить передачу контроля после выпуска?

Тип сертификата

  • Какие типы доступны: DV, OV, EV, Wildcard, SAN?
  • Какой срок действия и правила продления?
  • Есть ли ограничения по доменным зонам?
  • Есть ли требования к корпоративным документам?

Верификация

  • Какие документы нужны для выпуска?
  • Нужен ли локальный номер телефона, адрес, домен, DUNS или аналог?
  • Как проходит проверка домена и организации?
  • Сколько времени занимает выпуск в штатном режиме и при ручной проверке?

Оплата и инвойс

  • Кто выставляет инвойс?
  • На чье имя он будет оформлен?
  • Можно ли платить с иностранного счета или карты?
  • Нужен ли контракт, PO или акцепт оферты?

Политика отзыва

  • При каких условиях CA может отозвать сертификат?
  • Были ли у вас случаи массового отзыва по юрисдикции?
  • Как вы уведомляете клиента об отзыве?
  • Какой SLA на перевыпуск?

Технический контроль

  • Можно ли загрузить собственный CSR и собственную пару ключей?
  • Поддерживаете ли ACME/API для автоматического перевыпуска?
  • Где хранится приватный ключ: у клиента, у посредника или в HSM?
  • Есть ли журнал аудита по действиям в аккаунте?

Поддержка доменных зон

  • Поддерживаете ли .com, .net, .io и другие международные зоны?
  • Есть ли ограничения на .ru, .su и .рф?
  • Поддерживаете ли multiple SAN и wildcard?
  • Можно ли выпускать сертификаты для нескольких брендов или юрлиц?

Документы и договор

  • Можно увидеть шаблон договора до оплаты?
  • Есть ли в договоре право на отказ без потери денег, если CA не пройдет верификацию?
  • Кто несет риск отказа со стороны CA?
  • Есть ли NDA?

Каналы связи

  • Кто мой персональный менеджер?
  • Есть ли экстренный канал связи 24/7?
  • Где находится support — в какой стране и на каком языке?
  • Какое время ответа в рабочее и нерабочее время?

Сроки

  • Какой реальный срок выпуска для DV и OV?
  • Что обычно тормозит выпуск?
  • Сколько занимает перевыпуск при компрометации ключа?
  • Есть ли ускоренный режим?

Репутация и доказательства

  • Можете предоставить 3–5 референсов похожих кейсов?
  • Есть ли кейсы для клиентов из моей отрасли?
  • Можно ли проверить отзывы вне вашего сайта?
  • Сколько лет вы работаете именно с SSL/PKI?

Выход из схемы

  • Что будет, если посредник закроет аккаунт или прекратит работу?
  • Можно ли перенести сертификат и контроль на другое юрлицо?
  • Как быстро можно мигрировать на другого реселлера?
  • Кто хранит все исходные данные для перевыпуска?

Жесткий фильтр

  • Если на первые 1–3 вопроса отвечают уклончиво — сразу отказ.
  • Если нет письменной политики по санкциям — отказ.
  • Если посредник не показывает, кто юридически владеет аккаунтом и сертификатом, — отказ.
  • Если говорят «гарантируем, что сертификат никогда не отзовут» — это красный флаг.

Скрипт первичного звонка посреднику по выпуску международного SSL/TLS-сертификата

Ниже приведён короткий трёхминутный скрипт для первичного разговора с потенциальным посредником. Его задача — быстро отсечь неподходящих поставщиков и не тратить время на сомнительные схемы.

Скрипт звонка

Здравствуйте.

Нам нужен международный SSL/TLS-сертификат для российского клиента через вашу компанию как формального покупателя.

Сразу хотел бы уточнить несколько вопросов:

  1. Являетесь ли вы официальным реселлером или партнёром конкретного удостоверяющего центра (CA)?
  2. В какой стране зарегистрировано ваше юридическое лицо?
  3. На кого будут оформлены договор и аккаунт в панели управления CA?
  4. Обслуживаете ли вы клиентов, связанных с Россией?
  5. Можете ли вы письменно подтвердить допустимость нашего кейса до оплаты?
  6. Кто будет являться владельцем сертификата и сможет ли наша организация самостоятельно перевыпускать сертификаты без вашего участия?

Если ответ положительный

Попросите предоставить:

  • реквизиты юридического лица;
  • ссылку на партнёрскую программу или подтверждение статуса реселлера CA;
  • шаблон договора;
  • перечень документов для верификации;
  • условия отзыва и перевыпуска сертификатов.

Отдельно уточните:

  • кто является владельцем аккаунта в панели CA;
  • кто генерирует и контролирует приватный ключ (в нормальном сценарии — заказчик);
  • поддерживаются ли ACME и API;
  • кто несёт риски отказа со стороны CA или отзыва сертификата;
  • сможет ли заказчик самостоятельно перевыпускать сертификаты;
  • имеются ли ограничения по странам, санкциям или внутреннему комплаенсу CA.

Если отвечают уклончиво

  • Зафиксируйте это как красный флаг.
  • Завершите разговор.
  • Не отправляйте документы.
  • Не производите оплату.

Контрольные фразы

«Нам нужен только полностью легальный вариант, без серых схем».

«Если ваш CA может впоследствии отозвать сертификат по комплаенс-причинам, нам важно знать об этом заранее».

«Нас интересует письменное подтверждение допустимости нашего кейса до оплаты».

«Мы не хотим оказаться в ситуации, когда сертификат будет выпущен, а затем отозван из-за санкционного или комплаенс-риска».

Мини-версия для Telegram или электронной почты

Добрый день.

Нам нужен международный SSL/TLS-сертификат через ваше юридическое лицо как формального покупателя.

Просим подтвердить, что вы являетесь официальным реселлером CA, готовы обслуживать наш кейс и можете предоставить реквизиты, шаблон договора и условия отзыва сертификатов.

Также просим заранее письменно подтвердить допустимость нашего кейса и отсутствие известных ограничений со стороны CA.

До получения письменного подтверждения и завершения проверки мы не производим оплату и не передаём документы.

Красные флаги

Если посредник:

  • не раскрывает своё юридическое лицо;
  • не может подтвердить статус партнёра CA;
  • отказывается письменно подтвердить допустимость кейса;
  • просит оплату до проверки;
  • не объясняет порядок отзыва сертификатов;
  • предлагает «серые» схемы;
  • хочет контролировать ваш аккаунт или приватный ключ;
  • не может объяснить, кто будет владельцем сертификата;
  • не поддерживает ACME или API, хотя они необходимы для автоматизации;
  • уклоняется от обсуждения санкционных и комплаенс-рисков.

Любой из этих признаков — серьёзный повод отказаться от сотрудничества и искать другого поставщика.

on
Ярлыки: ,