Представьте, что завтра вы открываете браузер и не можете зайти ни в интернет-банк, ни на Госуслуги, ни на рабочий портал. Не потому, что сайты упали, а потому, что все они вдруг стали для вашего компьютера «чужими». Замочек в адресной строке перечеркнут, вместо привычной страницы — красное предупреждение: «Ваше соединение не защищено». Что случилось? Чтобы это понять, давайте на минуту станем цифровыми пограничниками и разберёмся, как интернет вообще понимает, кому можно доверять.
Замочек, который работает на доверии
Каждый раз, когда вы видите замочек рядом с адресом сайта, ваш браузер проверяет удостоверение личности этого сайта — сертификат безопасности. Как пограничник смотрит на ваш паспорт и решает, пускать ли через границу, так и браузер смотрит, кто выдал сертификат. Если выдал уважаемый, признанный во всём мире центр сертификации — например, американский DigiCert или некоммерческий Let’s Encrypt — сайту можно верить.
Но у пограничника есть список стран, паспортам которых он доверяет без лишних вопросов. В браузере этот список называется корневым хранилищем. И там, в этом самом хранилище, российских «паспортных столов» — корневых центров сертификации — нет. Уже много лет почти все сертификаты для сайтов в зоне .ru и .рф выдаются иностранными организациями. Просто потому, что их корни встроены во все браузеры мира: Chrome, Firefox, Safari, Edge.
Пока политическая погода тихая, это никого не беспокоит. Но что будет, если введут санкции и иностранные центры сертификации одномоментно перестанут обслуживать российские домены? Или, ещё хуже, их корни начнут удалять из браузеров? Ответ жёсткий: российский сегмент интернета мгновенно станет «недействительным» для всех зарубежных программ, а пользователи без специальной подготовки не смогут попасть на собственные сайты. Словно у целой страны вдруг аннулировали все паспорта.
Вот для защиты от такого сценария и задумывался Национальный удостоверяющий центр (НУЦ), подведомственный Минцифры России. Давайте разложим по полочкам, в чём его суть, почему он не пытается покорить мир и как именно он спасёт интернет внутри страны.
От «КриптоПро» к собственному корню: как зрела идея
Долгое время Россия обходилась собственными криптографическими алгоритмами только в узких сферах — для электронных подписей чиновников, защищённых каналов госорганов, систем «закрытого контура». В массовом же интернете применялась западная криптография RSA и ECDSA, а доверие опиралось на зарубежные центры. Идея же создать свой корневой центр, который станет «вершиной доверия» для всех сайтов внутри страны, витала в воздухе ещё с начала 2010-х годов.
Переломным моментом стала необходимость обеспечить устойчивость критической информационной инфраструктуры при любых внешних воздействиях. В 2021 году был учреждён НУЦ, и началась планомерная работа по встраиванию его корневого сертификата в отечественное программное обеспечение: операционные системы, браузеры, почтовые клиенты. Идея простая: если мир отвернётся, у нас должен быть свой «паспортный стол», которому мы доверяем безоговорочно.
Как работает суверенная пирамида доверия
Технически задумка выглядит как строительство пирамиды, где на вершине — один-единственный корневой сертификат НУЦ. Дальше всё развивается по цепочке:
- НУЦ выпускает свой корневой сертификат. Это главный.
- Этот корень принудительно или добровольно встраивают во все стратегически важные системы и отечественные браузеры. Например, Яндекс Браузер начиная с версии 17.1 доверяет российским корням изначально и, более того, поддерживает национальные криптоалгоритмы (ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012) даже без установки «КриптоПро CSP». То есть браузер из коробки способен проверить подпись сертификата, выданного НУЦ, без каких-либо зарубежных криптобиблиотек.
- Аккредитованные удостоверяющие центры получают право выдавать сертификаты сайтам от имени НУЦ. Теперь любой сайт — от интернет-магазина до портала госуслуг — может получить «паспорт» российского образца.
Таким образом, у нас появляется полностью автономный контур доверия. Государство гарантирует, что сертификаты, выпущенные внутри пирамиды НУЦ, считаются действительными на всей территории страны. Это ровно та же логика, по которой работают зарубежные корневые центры, но только в национальном масштабе.
Почему НУЦ не станет мировым и почему это нормально
Может возникнуть резонный вопрос: а нельзя ли просто взять и включить корень НУЦ в Chrome или Safari, чтобы российские сертификаты работали по всему миру? Ответ — практически нет, и это не упущение, а осознанная архитектура проекта.
- Политическая причина. Чтобы попасть в корневое хранилище того же Google или Mozilla, нужно пройти аудит по правилам международного CA/Browser Forum. Это фактически неподъёмное требование для центра, напрямую подчинённого государству, да ещё и в условиях санкционных реалий. Никто не захочет предоставлять иностранным регуляторам доступ к ключевой криптографической инфраструктуре.
- Техническая причина. Российские ГОСТ-алгоритмы, на которые рассчитана полная линейка НУЦ, не поддерживаются нативными криптографическими движками зарубежных браузеров. Даже если чудом корень и встроят, проверить подпись они всё равно не смогут.
- Юридическая причина. Сертификат, выданный в российской юрисдикции, может не соответствовать западным нормам о персональных данных и трансграничной передаче информации, что автоматически блокирует его признание.
Поэтому глобального признания у НУЦ не будет. Но это не баг, а фича. Весь смысл проекта в том, чтобы отказаться от глобального признания как от единственного источника легитимности и построить свой. Как в случае с собственной валютой: рубли отлично работают внутри страны, но в магазине за рубежом ими не расплатиться. Идея НУЦ — обеспечить бесперебойную цифровую жизнь внутри периметра, когда «заграничные карточки» перестанут приниматься.
День, когда отключили все западные корни: живой сценарий
Давайте нарисуем самую наглядную картинку. Допустим, завтра вводятся жёсткие санкции, и сразу несколько крупнейших западных центров сертификации в одностороннем порядке отзывают все сертификаты для доменов .ru и .рф, а их корни исчезают из глобальных браузеров. Что видят люди?
За рубежом и на неподготовленных устройствах в России. Пользователь запускает Chrome или Firefox, пытается зайти на сайт банка, новостной портал или маркетплейс. Вместо привычной страницы — красное предупреждение безопасности «Ваше подключение не защищено», и кнопка «Продолжить в безопасном режиме» не спасает, потому что браузер просто отказывается устанавливать соединение. Миллионы людей де-факто отрезаны от российского интернета. Электронная коммерция встаёт, порталы госуслуг недоступны, внутренний документооборот парализован.
А теперь переведём взгляд на пользователя, который сидит за компьютером с отечественной операционной системой и Яндекс Браузером. Он спокойно открывает тот же самый сайт банка и видит привычный замочек. Да, возможно, всплывёт однократное уведомление «Сертификат проверен Национальным удостоверяющим центром», но доступ есть. Госуслуги грузятся, почта работает, платёжная система функционирует. Почему? Потому что браузер уже доверяет российскому корню, а сайт заблаговременно получил сертификат от НУЦ или подчинённого ему удостоверяющего центра. Соединение защищено, данные шифруются, всё как обычно — только внутри своего контура доверия.
Отсюда появляется простой практический вывод: если пользователь хочет без лишних настроек открывать российские сайты, использующие сертификаты Национального удостоверяющего центра, ему стоит заранее установить Яндекс Браузер или другой отечественный браузер, где поддержка российских корневых сертификатов уже встроена. В обычном Chrome, Firefox или Safari такой сертификат может восприниматься как недоверенный, и человек снова увидит пугающее предупреждение о небезопасном соединении. Яндекс Браузер в этом смысле работает как готовый пропуск в национальный контур доверия: пользователю не нужно вручную добавлять корневые сертификаты, разбираться в хранилищах безопасности и криптопровайдерах. Достаточно использовать браузер, который уже понимает российскую инфраструктуру сертификации.
Вот он, ключевой сценарий: внешний мир российских сайтов не видит, зато вся страна продолжает жить в цифровом пространстве без глобальной катастрофы. Чёткая граница интернет-сегмента, заранее укреплённая национальной системой сертификации.
Широкий контекст: не только браузеры, но и весь «суверенный интернет»
Важно понимать, что НУЦ — не просто про строчку в настройках браузера. Его корень должен быть прошит везде, где только может понадобиться проверка подлинности:
- в роутеры и точки доступа, чтобы внутрисетевые соединения доверяли друг другу;
- в почтовые серверы, чтобы корпоративная переписка не прерывалась;
- в системы электронного документооборота (СЭД), где миллионы договоров и актов подписываются усиленной квалифицированной подписью;
- в Единую систему идентификации и аутентификации (ЕСИА), на которой держатся Госуслуги.
Уже сейчас есть реальные примеры: для работы с госзакупками по 44-ФЗ и 223-ФЗ площадки требуют применять сертификаты, выпущенные аккредитованными УЦ, корни которых восходят именно к НУЦ. А Яндекс Браузер уже умеет работать с клиентскими сертификатами на токенах вроде Рутокен или JaCarta — это необходимо для входа на чувствительные порталы и подписания документов без зарубежного криптопровайдера.
То есть это не фантастика, а инженерная реальность, разворачивающаяся прямо сейчас. Когда говорят о «суверенном интернете», часто представляют некий абстрактный рубильник. Но на самом деле его базовые кирпичики — именно такие прозаические вещи, как свой корневой удостоверяющий центр.
Заключение: запасной аэродром, который строят в ясную погоду
Национальный удостоверяющий центр можно сравнить с запасным аэродромом и собственным авиадиспетчером. Пока небо открыто и все летают по глобальным правилам, он кажется дорогой игрушкой. Но как только для российского сегмента интернета закроют воздушное пространство, этот аэродром станет единственной возможностью сохранить связность внутри страны. Да, через него не получится улететь за рубеж — российские сертификаты не будут признаны иностранными браузерами. Но цель и не в этом. Цель — гарантировать, что в любой шторм пассажиры внутри огромной страны не окажутся заперты в аэропортах с аннулированными билетами.
Именно в этом глубинная, стратегическая задумка НУЦ: не изоляция ради изоляции, а создание стабильного, неподконтрольного внешним силам фундамента для российской цифровой экономики и государственного управления. Мы привыкли, что интернет — это что-то единое и незыблемое. Но на самом деле он держится на очень хрупких доверительных цепочках. И теперь у нас есть своё звено, которое не лопнет при любом внешнем давлении.
