Экзистенциальная угроза цифровой экономике: что будет, если отключат DigiCert и GlobalSign? Реальные бизнес-риски и сценарии блокировки CA — экспертное мнение

Экспертное заключение специалиста по кибербезопасности для ИТ-директора и владельца бизнеса

1. Executive Summary

Отключение страны от западных Certificate Authorities (DigiCert, Sectigo, GlobalSign, Let's Encrypt и др.) представляет экзистенциальную угрозу для цифровой экономики поскольку разрушается созданная десятилетиями единая структура доверия. За три десятилетия работы в области информационной безопасности я наблюдал множество системных сбоев, но отключение от глобальной PKI-инфраструктуры — это беспрецедентный сценарий, который может парализовать не только веб-сервисы, но и всю экосистему мирового цифрового доверия. И это уже где-то рядом, коллеги.

Масштаб проблемы: 95%+ всех HTTPS-соединений, электронных подписей корпоративного уровня, API-интеграций и финтех-сервисов окажутся недоступными для внешних пользователей в течение первых 24-48 часов после отключения.

Причины, почему "жёсткая локализация" PKI в России недостижима (по состоянию на 2025)

1. Гетерогенность устройств и софта

• В РФ преобладают многообразные ОС и устройства (Windows, macOS, Linux, Android, iOS, "серые" прошивки на IoT и кассовом ПО).
• Нет единой централизованной ОС и "экосистемы" (как в КНР, где почти всё — форки Linux/Android и местные бренды).  КНР создала собственную цифровую экосистему: HarmonyOS, Aliyun, Baidu Browser, WeChat, и т.д.

2. Неконтролируемые браузеры и маркетплейсы

• Chrome, Firefox, Safari, Edge — контролируются западными вендорами, доверие к корневым CA задаётся через их процедуры (Inclusion Program, Root Program).
• Нельзя централизованно, на уровне регулятора, массово "навязать" доверие российским CA на сотнях миллионов устройств (без доступа к исходникам и дистрибуции ПО).

PKI-инфраструктура российских сайтов: скрытые уязвимости и риски сетевой изоляции

Анализ экспертов по информационной безопасности и PKI-технологиям

В условиях возрастающих геополитических рисков и потенциальной сегментации российского сегмента сети, вопросы устойчивости PKI-инфраструктуры приобретают критическое значение. Как эксперты по информационной безопасности и специалисты в области работы с сертификатами, мы проанализировали текущее состояние SSL/TLS-инфраструктуры российских веб-ресурсов и выявили ряд системных проблем, которые могут привести к массовым отказам в обслуживании при отключении России от глобального интернета.

Архитектурные особенности цепочек сертификатов российских сайтов

Подавляющее большинство российских веб-ресурсов, включая государственные порталы и сервисы крупнейших компаний, полагаются на сертификаты, выпущенные международными удостоверяющими центрами (CA). В хранилищах доверенных корневых сертификатов на компьютерах и смартфонах россиян присутствуют глобальные корневые центры – DigiCert, GlobalSign, Sectigo, GoDaddy, Let's Encrypt и др.

Критическая статистика централизации: Согласно недавнему исследованию "Assessing SSL/TLS Certificate Centralization: Implications for Digital Sovereignty" (arXiv:2504.16897), более 75% сертификатов для российских доменов исходят от небольшого количества международных Certificate Authorities. Это создает беспрецедентную степень зависимости от зарубежной PKI-инфраструктуры.

Геополитические риски централизации: Исследование показывает, что такой уровень концентрации создает критические уязвимости для цифрового суверенитета. В случае политических санкций или технических ограничений доступа к этим CA, вся российская интернет-инфраструктура оказывается под угрозой одновременного коллапса.

Корректная работа SSL/TLS-соединения требует построения полной цепочки доверия от конечного сертификата сайта (leaf certificate) через промежуточные удостоверяющие центры (intermediate CA) до корневого сертификата (root CA), предустановленного в доверенном хранилище клиента.

Цифровой суверенитет России под угрозой: что будет с российскими сайтами при отключении от интернета?

Резюме: Глобальный аудит SSL/TLS показал: более 77% сертификатов российских сайтов выпущены иностранными удостоверяющими центрами, а почти 60% сайтов рискуют стать недоступными в случае изоляции от интернета. Новое исследование кибербезопасности BRICS "Assessing SSL/TLS Certificate Centralization: Implications for Digital Sovereignty"(arXiv:2504.16897) раскрывает риски — и даёт четкие рекомендации, что делать прямо сейчас. Существует раздел кибербезопасности, которые исследует проблемы и решает задачи связанные с доверием между клиентами и серверами и именно он позволяет нам безопасно осуществлять операции в интернет: покупать и оплачивать товары, получать госуслуги. Это называется Public Key Infrastructure (PKI).

Почему тема PKI важна для каждого

Сертификаты и протоколы SSL/TLS — это основа цифровой безопасности: без сертификатов невозможна работа ни банков, ни порталов госуслуг, ни электронной коммерции, ни устройств передачи данных. Даже российские NGFW для своей работы используют CA иностранных вендоров. Других ведь нет. Сегодня реальность такова: судьба всей российской интернет-инфраструктуры зависит от решений 5–7 иностранных компаний. Любая санкция, сбой или атака на них — это не только политическая, но и технологическая уязвимость страны.

Ключевое понятие: цепочка доверия. Один сертификат подтверждает доверие другому сертификату. Все главные корневые сертификаты - знает весь мир и они встроены во все браузеры и устройства. А вот промежуточные сертификаты в цепочке - нужно скачивать из Интернет.