Анатомия регуляторного сбоя: цепочка PKI рушится на верхнем уровне управления. Принудительный отзыв со стороны GlobalSign автоматически переводит миллионы связанных сервисов в статус «недоверенных» для Chrome, Safari и Firefox.
| АРХИТЕКТУРНЫЙ УЗЕЛ | ТОЧКА ОТКАЗА И ПОСЛЕДСТВИЯ |
|---|---|
| Root CA (GlobalSign) | Инициировал процедуру отзыва (Revocation) 13 июня в 02:10 BST под давлением новых правил комплаенса CA/B Forum. |
| Intermediate Validation | Списки отзыва (CRL) и OCSP-ответчики начинают отдавать статус 'Revoked' для цепочек, завязанных на российские юридические лица. |
| Your Server (.RU) | Шифрование технически продолжает работать, но зарубежные браузеры мгновенно блокируют сессию, выдавая пользователю предупреждение о риске ИБ. |
Безопасность Рунета, десятилетиями построенная на доверии к зарубежным коммерческим удостоверяющим центрам, столкнулась с очередным системным сбоем из-за санкций и недружественных действий правительств других стран.
Японский удостоверяющий центр GlobalSign начал принудительный отзыв SSL/TLS-сертификатов для ряда доменов в зоне .ru.
Для многих компаний это означает не просто техническое обновление, а фактическую потерю «доверенного статуса» в браузерах — с предупреждениями о небезопасном соединении и потенциальной недоступностью сервисов.
Первичный источник и хронология
Первым о масштабах ситуации сообщил РБК вечером 12 июня 2026 года.
В течение ночи информация дополнялась техническими деталями, а к утру 13 июня тема стала одной из ключевых в федеральных и отраслевых СМИ.
Документальное подтверждение и механизм комплаенса
Речь не идёт о техническом сбое или ошибке инфраструктуры.
Факт отзыва подтверждается официальным уведомлением, направленным партнёрам и регистраторам от российского представительства «Джи-Эм-О Глобал Сайн Раша» (GMO GlobalSign Russia), подписанным генеральным директором Дмитрием Рыжиковым.
Суть регуляторной причины
Согласно документу, процедура массового отзыва сертификатов стартовала:
13 июня 2026 года, 02:10 BST
Причина — изменения в правилах международного консорциума CA/Browser Forum, которые ужесточили требования к участникам PKI-экосистемы.
Теперь удостоверяющие центры обязаны:
-
автоматически проверять владельцев доменов по санкционным спискам:
- OFAC SDN List
- BIS (Bureau of Industry and Security, США)
- санкционные списки ЕС
- применять ограничения на уровне выдачи и продления сертификатов
Фактически вводится модель, при которой доверие в браузерах становится производной от глобальных санкционных политик.
Масштаб инцидента
| Параметр | Значение |
|---|---|
| Домены под прямым влиянием | 15–20 тыс. доменов второго уровня |
| Реальное число сертификатов | сотни тысяч – миллионы (включая wildcard и поддомены) |
| Последствия в браузерах | предупреждения безопасности или блокировка доступа |
| Время простоя | от нескольких минут до часов (в зависимости от замены сертификатов) |
| Официальная позиция Минцифры РФ | инцидент носит регуляторный характер, признаков компрометации нет |
Инженерный взгляд: что на самом деле сломалось
С точки зрения конечного пользователя это выглядит как «интернет внезапно стал красным и недоступным».
С точки зрения архитектуры PKI — это ожидаемое поведение системы доверия, построенной на внешних корневых центрах сертификации.
Важно понимать:
TLS-сертификат — это не шифрование как таковое.
Это разрешение браузеру доверять серверу.
И это доверие:
- не контролируется владельцем сайта полностью
- может быть отозвано третьей стороной
- зависит от политики браузерных вендоров и глобальных регуляторов
После отзыва корневого или промежуточного доверия:
- сертификат технически может быть валиден
- но браузер перестаёт ему доверять
- и интерфейс пользователя превращается в предупреждение о риске
Фактически «замочек в браузере» исчезает не из-за взлома, а из-за изменения цепочки доверия. На ее вершине - международная компания. А она прокисла.
Масштаб последствий
Заявленные 15–20 тысяч доменов — это только видимая часть.
С учётом:
- CDN-инфраструктур
- wildcard-сертификатов
- корпоративных поддоменов
- API-контуров и сервисных доменов
реальное число затронутых технических сущностей может исчисляться миллионами серверов.
Позиция регулятора
Минцифры РФ заявило, что:
- компрометации ключей не зафиксировано
- атаки или инцидента ИБ нет
- проблема носит исключительно регуляторный характер зарубежных CA
Что это значит для администраторов и CISO
С практической точки зрения ситуация возвращает рынок к базовому вопросу архитектуры доверия:
Варианты адаптации:
- временные бесплатные CA (например, Let’s Encrypt) — ограниченная устойчивость к политическим изменениям
- переход на национальные удостоверяющие центры — требует ручного доверия к корневым сертификатам
- гибридные схемы через прокси-цепочки и мульти-CA архитектуру
Но стратегически вопрос один:
Кто управляет вашим «замочком в браузере» — вы или внешняя юрисдикция?