GlobalSign утром 13 июня начал принудительный отзыв SSL/EV-сертификатов у части российских компаний, об этом сообщили РБК и отраслевые участники рынка. Для владельцев сайтов это означает риск предупреждений в браузерах, ошибок в мобильных приложениях и срочной замены сертификатов на рабочие TLS-цепочки.
Отзыв сертификатов GlobalSign затронул доверие браузеров к части российских сайтов
По данным публикаций РБК, которые пересказали профильные издания, GlobalSign начал поэтапно отзывать SSL-сертификаты у российских компаний 13 июня 2026 года. В сообщениях говорится, что процесс связан с проверкой владельцев сертификатов по санкционным спискам и с требованиями, применяемыми к удостоверяющим центрам в экосистеме публично доверенных TLS-сертификатов.
SSL/TLS-сертификат нужен сайту для защищённого соединения по HTTPS. Когда пользователь открывает страницу, браузер проверяет, кому выдан сертификат, действителен ли он и доверяет ли ему операционная система или браузер. Если сертификат отозван, сайт может продолжать технически отвечать на запросы, но браузер уже видит проблему доверия и показывает предупреждение.
GlobalSign в своей документации описывает отзыв как штатную часть жизненного цикла сертификата: его может инициировать подписчик, регистрационный орган или сам удостоверяющий центр. Компания также указывает, что запросы на отзыв рассматриваются в том числе при наличии оснований, связанных с безопасностью или статусом сертификата. См. справку GlobalSign по отзыву сертификатов: Revocation FAQs.
EV-сертификаты подтверждают юридическую организацию и сильнее завязаны на проверку владельца
EV-сертификат, или Extended Validation, проходит расширенную проверку организации. В таких сертификатах важны юридическое название компании, регистрационные сведения и корректность данных о владельце. Поэтому любые изменения в правилах проверки организаций сильнее бьют именно по EV-сертификатам, чем по обычным DV-сертификатам, где удостоверяющий центр подтверждает в основном контроль над доменом.
Контекст вокруг EV сейчас меняется и на уровне CA/Browser Forum — отраслевой площадки, где удостоверяющие центры и разработчики браузеров согласуют правила для публично доверенных сертификатов. 3 июня 2026 года CA/Browser Forum опубликовал результаты голосования по Ballot SC087v2, связанному с улучшением правил указания регистрационных номеров в EV-сертификатах. В документе отдельно говорится о разных трактовках поля serialNumber и о необходимости точнее описать, как кодируются регистрационные номера и даты: Ballot SC087v2.
Этот ballot сам по себе не объясняет весь отзыв российских сертификатов, но показывает общий тренд: к EV-сертификатам применяют более строгую формализацию данных о юридических лицах. Для компаний это означает, что сертификат становится зависим не только от владения доменом, но и от корректности юридической информации, статуса организации и применимых ограничений.
Санкционные проверки превращают TLS-сертификаты в инфраструктурный риск
Главный практический риск для российских сайтов связан с тем, что TLS-сертификат давно стал частью базовой инфраструктуры. Без него ломается не только «замок» в адресной строке. Ошибки могут появиться в интернет-банке, личном кабинете, API, платёжной форме, мобильном приложении, вебвью внутри приложения и интеграциях между сервисами.
GlobalSign на официальной странице корпоративных политик отдельно публикует Public Sanctions Policy. Это не свежая новость 13 июня, но важный контекст: компания публично фиксирует наличие санкционной политики в своём наборе корпоративных документов: Corporate Policies.
Вчера сертификат считался доверенным, сегодня браузер или приложение может начать считать соединение небезопасным. Пользователь в такой ситуации часто видит не юридическую причину, а техническую ошибку: «подключение не защищено», «сертификат недействителен», «невозможно установить безопасное соединение».
CRL, OCSP и Certificate Transparency помогают браузерам увидеть проблему
После отзыва сертификат попадает в механизмы проверки статуса. На практике браузеры и операционные системы используют разные способы: списки отозванных сертификатов CRL, онлайн-проверку OCSP и собственные механизмы распространения информации о недоверенных сертификатах.
GlobalSign в своей документации указывает, что Certificate Transparency помогает владельцам доменов и участникам рынка видеть выданные сертификаты через публичные журналы. Это важно для аудита, обнаружения ошибочной выдачи и контроля сертификатов, которые появляются для конкретного домена: Rolling Out Certificate Transparency to SSL Certificates.
Администратору сайта следует использовать мониторинг сертификатов для отслеживания проблем. Важно проверять дату окончания срока действия, цепочку доверия, статус отзыва и сертификаты, которые фактически применяются на продакшен-серверах, балансировщиках, CDN и API-шлюзах.
Бизнесу придётся быстрее переходить на резервные схемы выпуска сертификатов
Если сайт попал под отзыв, самый короткий путь к восстановлению HTTPS — перевыпуск сертификата у доступного удостоверяющего центра и корректная установка полной цепочки. Для российских компаний выбор зависит от аудитории. Если сайт рассчитан на широкую международную аудиторию, нужен сертификат, которому доверяют основные браузеры и операционные системы. Если сервис ориентирован на пользователей внутри России, часть компаний может рассматривать национальные сертификаты, но у них есть ограничение по поддержке за пределами доверенной среды.
Отдельный риск — старые мобильные приложения и устройства. Даже если сайт быстро переехал на новый сертификат, часть клиентов может продолжать видеть ошибки из-за устаревшего хранилища корневых сертификатов, жёстко закреплённых цепочек доверия или особенностей Android WebView. Именно поэтому отзыв сертификатов часто затрагивает не только веб-сервер, но и клиентскую инфраструктуру.
Для крупных проектов нормальная схема выглядит как аварийный сценарий: инвентаризация всех доменов и поддоменов, проверка сертификатов на каждом входе, выпуск замены, тестирование на старых клиентах, обновление CDN и контроль ошибок в логах. Чем больше поддоменов и интеграций, тем выше шанс, что один забытый сертификат станет точкой отказа.
Инцидент демонстрирует стоимость зависимости
История с GlobalSign показывает, что TLS-сертификат нельзя воспринимать как разовую покупку на год. Для бизнеса это часть операционной устойчивости: сертификаты надо учитывать, мониторить и уметь быстро менять без ручного поиска по серверам.
На момент подготовки материала публичного отдельного заявления GlobalSign о полном масштабе отзыва не найдено. Свежие сообщения ссылаются на письмо российского юрлица GlobalSign и источники на рынке хостинга. Поэтому точный охват события ещё может уточняться: разные оценки говорят о тысячах доменов второго уровня и гораздо большем числе затронутых поддоменов.
Владельцам сайтов с GlobalSign EV/SSL стоит проверить статус сертификатов, подготовить альтернативный выпуск и убедиться, что мониторинг HTTPS видит не только срок действия, но и отзыв. Для пользователей главный ориентир проще: предупреждение браузера о недействительном сертификате лучше воспринимать как сигнал остановиться, особенно если речь идёт о платежах, личных данных или входе в аккаунт.
