В российском вебе за неделю сломались две вещи. 13 июня GlobalSign — один из крупнейших удостоверяющих центров — начал массовый отзыв сертификатов у российских компаний; по оценкам участников рынка, это касается до 20 000 доменов второго уровня. Параллельно Госдума приняла закон, запрещающий российским сайтам авторизацию через иностранные сервисы, и 14 июня Авито уже отключило вход через Google.
В этой статье разбираю первое — TLS. По OAuth будет отдельный материал.
Кто я в этой истории. В Synapsea держим свои сайты и сопровождаем клиентские проекты — всего около десятка живых доменов, все на Let’s Encrypt. До 13 июня я о выпускающем сертификаты центре не задумывался: сертификат продлевался автоматически, и это было настолько фоном, что в инфраструктурной документации он даже не фигурировал. Сейчас сел и прохожу свои сайты по списку — какой issuer, какой риск, что менять и в каком порядке. Делюсь, что получилось.
Что случилось технически
Хронология такая.
4 мая. CA/Browser Forum обновил требования к удостоверяющим центрам. По сообщениям СМИ, с этой даты проверка подписантов сертификатов по санкционным спискам стала обязательной. Здесь сразу оговорка: в открытом перечне голосований консорциума такой нормы пока не нашёл — на этот факт отдельно обратило внимание издание «Теплица социальных технологий». Так что с формулировкой «новые правила CA/B Forum» в новостях стоит обращаться осторожно, в первоисточнике это не подтверждено.
4 июня. Let’s Encrypt опубликовал новую редакцию пользовательского соглашения — LE-SA v1.7. В ней формализовали санкционные ограничения: сертификаты не будут выдаваться резидентам стран под полномасштабными санкциями США и компаниям из списков OFAC. Сам Let’s Encrypt в комментариях на Hacker News и Минцифры подчёркивает, что для большинства российских пользователей ничего не меняется — это закрепление давно действующей практики. То есть обычные коммерческие и личные сайты продолжат продлеваться, как обычно.
6 июня. Первый громкий прецедент. У мессенджера MAX отозвали сертификат. Let’s Encrypt выдал замену в тот же день, но сразу предупредил, что после 4 сентября продлевать не будет.
13 июня. GlobalSign — крупнейший коммерческий удостоверяющий центр на российском рынке — начал принудительный отзыв сертификатов у российских компаний. По оценкам участников рынка хостинга и информационной безопасности, это затронет до 20 000 доменов второго уровня; с учётом поддоменов счёт идёт на сотни тысяч сертификатов. На российском коммерческом рынке у GlobalSign было около 90% доли.
Параллельно. ZeroSSL — второй после Let’s Encrypt популярный ACME-провайдер бесплатных сертификатов — по сообщениям участников рынка, тоже формализовал санкционные ограничения. То есть «убежать с Let’s Encrypt на ZeroSSL» — рабочая стратегия не для всех.
По данным W3Techs на июнь 2026, расклад на рынке такой: 68,2% сайтов подписано Let’s Encrypt, 20,4% — GlobalSign. Остальные 11% — все прочие удостоверяющие центры вместе. То есть отзыв у GlobalSign — это не «один из CA закрыл услугу», это удар по пятой части глобального рынка сертификатов.
Кому реально грозит, и в каком порядке
Это самый важный раздел. Перевести с одного CA на другой можно за полчаса, но прежде чем переключать, надо понять, у кого пожар, а у кого — пока разговоры.
Острый риск. Подсанкционные юрлица — российские структуры из списков OFAC, госорганы, организации, формально подпадающие под полные санкции США. Для них новая редакция LE-SA — не формальность, а блокировка. Сертификаты продлевать не будут. Сюда же — все, у кого сейчас стоит сертификат GlobalSign, независимо от размера и юрисдикции; они в первой волне принудительного отзыва. Срок — сейчас.
Высокий риск, окно — недели и месяцы. Сайты, для которых клиент-провайдер по DV-проверке может выглядеть как подсанкционный. Не всегда очевидно — формально по доменному имени это бывает не определить. Прецедент MAX показал, что Let’s Encrypt может выдать замену, но с явным предупреждением о сроке. То есть «нам только что выдали сертификат» не значит «нас не отключат после 4 сентября».
Средний риск. Обычные коммерческие сайты на Let’s Encrypt — никакая часть текста соглашения формально на них не указывает. Но: если в США будут расширять санкционные списки, и под них попадёт хостинг-провайдер, домен-регистратор или конечный пользователь услуги, любой компонент цепочки может стать триггером. Срок неопределённый — следить за новостями и держать резервный план.
Низкий риск, но мониторить. Личные и pet-проекты на Let’s Encrypt — практически ничего не должно поменяться. По заявлениям Let’s Encrypt, обычным частным пользователям ограничения не угрожают. Логика тут — «не паниковать, но и не игнорировать», то есть подготовить, но не делать.
Свой список из десяти сайтов я разложил по этим четырём категориям. Получилось: ноль в острой зоне (под санкциями не работаем), ноль на GlobalSign (везде Let’s Encrypt), четыре в среднем риске (коммерческие сайты клиентов, которые гипотетически могут попасть под расширение санкций), шесть в низком. Это меняет приоритет: не «срочно переключаемся», а «готовим параллельный issuer и сценарий миграции».
Альтернативы Let’s Encrypt в июне 2026
Важная вводная. С этими провайдерами лично пока не работал — все наши сертификаты на Let’s Encrypt. Раздел построен как технический обзор того, что есть на рынке, и какая совместимость с типовым ACME-стеком. Без претензии на свой опыт. Когда дойду до миграции и перепроверю каждого на боевых сайтах — напишу отдельно.
Что выбыло, хотя многие гайды ещё на это указывают
Buypass Go SSL. В прошлом — стандартная альтернатива Let’s Encrypt: норвежский удостоверяющий центр, бесплатный ACME, до 20 сертификатов на регистрируемый домен в неделю. В августе 2025 Buypass объявил о прекращении выпуска TLS-сертификатов. С 15 октября 2025 новые сертификаты не выдаются, регистрация новых ACME-аккаунтов остановлена с 15 сентября 2025. К 15 апреля 2026 все ранее выданные истекли, и ACME-сервис закрыт. На замену анонсирована Buypass GoTLS — частично бесплатная с жёсткими лимитами, основной режим — платный. На середину июня 2026 эта услуга ещё в стадии запуска. Так что популярный совет «уйди с Let’s Encrypt на Buypass» в 2026 году не работает — Buypass Go в текущем виде не существует.
ZeroSSL. До недавнего — второй по популярности бесплатный ACME-провайдер. По сообщениям участников рынка, формализовал санкционные ограничения параллельно с Let’s Encrypt. То есть для подсанкционных структур не выход, а для всех остальных риск тот же.
Что реально доступно
Google Trust Services Public CA. Бесплатный публичный удостоверяющий центр Google. Выдаёт DV-сертификаты по ACME, поддерживает wildcard, срок 90 дней. Работает не через анонимный аккаунт, а через привязку к Google Cloud-проекту: нужно создать проект, включить Public Certificate Authority API, сгенерировать ключевую пару EAB (External Account Binding) и зарегистрировать ACME-аккаунт с этим EAB. Для acme.sh и Certbot — стандартная процедура с дополнительными параметрами --eab-kid и --eab-hmac-key. Для Caddy — указание ACME-сервера https://dv.acme-v02.api.pki.goog/directory плюс EAB в блоке tls. Браузерное доверие — полное, ничего ставить не надо. Геополитический риск: компания американская, и если санкции дойдут до Google Cloud — повторится та же история, что с Let’s Encrypt. Но на сегодня — рабочая опция.
SSL.com. Коммерческий американский удостоверяющий центр с поддержкой ACME для платных тарифов. Подходит как резервный issuer, но не бесплатный. Тарифы стартуют от нескольких десятков долларов в год за домен.
Cloudflare Universal SSL. Отдельный сценарий: бесплатные сертификаты, выдаваемые Cloudflare на edge-узлах, если сайт уже проксируется через Cloudflare. Это не ACME-провайдер в прямом смысле — сертификат стоит на конечной точке Cloudflare, а с сервером Cloudflare общается по своему протоколу (Origin Certificate или Authenticated Origin Pulls). Подход требует пересборки трафика через CDN — не всегда вариант, особенно если у клиента WebSocket-нагрузка или жёсткие требования к географии маршрутизации.
Российские удостоверяющие центры
НУЦ Минцифры. Национальный удостоверяющий центр на базе НИИ «Восход». Выпускает бесплатные DV- и OV-сертификаты через портал Госуслуг. Принципиальное ограничение — браузерное доверие. Сертификаты НУЦ встроены в Яндекс Браузер и Atom. В Chrome, Firefox, Safari, Edge — не встроены; пользователь должен вручную установить корневой сертификат НУЦ в системное хранилище или в хранилище браузера. Для коммерческого сайта с массовой аудиторией это пока не работает в одиночку — у части пользователей будет открываться с предупреждением «небезопасное соединение». Имеет смысл как параллельный issuer с инструкцией для пользователей, но не как замена основному западному CA.
Платные российские центры через реселлеров. Услуги, привязанные к российским удостоверяющим центрам через коммерческие реселлеры — выдают сертификаты с глобальным доверием через партнёрские соглашения с зарубежными CA. На фоне массового отзыва GlobalSign их способность выпускать остаётся под вопросом. Ставки сейчас — от 8 000 до 30 000 рублей в год за домен, в зависимости от типа.
План инвентаризации, который я применяю на десяти сайтах
Это та часть, которую я реально делаю в эти дни. Шаги простые, но требуют дисциплины — без таблицы быстро теряешь, что у тебя где.
Шаг 1. Полный список
Открываю обычную таблицу. В первой колонке — домен. Во второй — кто хостит. В третьей — кем выпущен текущий сертификат. В четвёртой — дата истечения. В пятой — категория риска по карте из третьего раздела.
Для каждого домена дёргаю сертификат через openssl и смотрю поле Issuer:
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null \ | openssl x509 -noout -issuer -dates
Получаю что-то вроде:
issuer=C = US, O = Let's Encrypt, CN = R10notBefore=Apr 10 12:14:32 2026 GMTnotAfter=Jul 9 12:14:31 2026 GMT
Записываю в таблицу. По десяти сайтам это занимает минут пятнадцать.
Шаг 2. Кросс-проверка через CT-логи
Не доверяю одной строчке openssl. Сертификат может быть свежим, а параллельно может существовать ещё один, выданный кем-то, кого я не вспомнил — например, при разовом эксперименте с CDN или альтернативным панелью управления хостингом. Для этого — Certificate Transparency: каждый публичный сертификат публикуется в открытых лог-серверах.
Открываю crt.sh и проверяю каждый домен:
https://crt.sh/?q=example.com
Смотрю, какие issuer-ы выпускали сертификаты исторически. Если в списке только Let’s Encrypt — норма. Если виден GlobalSign, Sectigo, DigiCert — флаг, выясняю, кто и зачем заказывал, есть ли активный, не превратится ли он в проблему через месяц.
Шаг 3. Группировка и приоритеты
После шагов 1 и 2 у меня заполненная таблица. По моим десяти получилось так:
-
Четыре коммерческих сайта клиентов в среднем риске — для них имеет смысл подготовить резервный issuer (Google Trust Services как параллельный), но пока не переключать.
-
Шесть сайтов в низком риске — ставлю только мониторинг.
То есть из десяти сайтов прямо сегодня менять ничего не надо. Нужно подготовить инфраструктуру, чтобы переключение заняло минуты, а не часы, если завтра прилетит.
Шаг 4. Резервный issuer на критичных
Caddy позволяет указать несколько ACME-провайдеров в порядке fallback. Минимальный блок в Caddyfile:
example.com { tls { issuer acme { dir https://acme-v02.api.letsencrypt.org/directory } issuer acme { dir https://dv.acme-v02.api.pki.goog/directory eab { key_id YOUR_EAB_KID mac_key YOUR_EAB_HMAC_KEY } } } reverse_proxy upstream:3000}
Caddy сначала идёт к первому issuer, и если получить сертификат не удаётся — переходит ко второму. Полезно как страховка: если Let’s Encrypt перестанет отвечать конкретному домену, Caddy сам переключится на Google.
Для сайтов клиентов, где Caddy не стоит и используется связка nginx + certbot, эквивалент собирается двумя отдельными сертификатами от двух CA, которые лежат рядом в /etc/letsencrypt/live/, и тонким скриптом-обвязкой над certbot, который при провале продления у одного CA пробует второй и подменяет симлинк в конфиге nginx. На бумаге несложно, в проде надо тестировать.
Шаг 5. Мониторинг через CT-логи
Самое полезное — следить за новыми сертификатами, которые выпускаются на твои домены. Если кто-то выпустит сертификат на твой домен без твоего ведома, или CA выпустит замену, о которой ты не знаешь, CT-логи это покажут.
Бесплатные инструменты:
-
crt.sh — поиск по домену, можно настроить RSS-фид новых сертификатов.
-
certstream.calidog.io — поток в реальном времени всех сертификатов, попадающих в CT-логи. Под него легко написать фильтр на свои домены — питоновский скрипт на десять строк, который шлёт уведомление в Telegram при появлении сертификата для перечисленных доменов.
-
Facebook CT Monitoring — почтовые уведомления через API.
Ставлю на каждый домен RSS-фид с crt.sh — десять штук в RSS-ридере, проверяю раз в неделю.
Что планирую дальше
К концу лета 2026 ожидаю две вещи. Первая — расширение списка CA, которые формализуют санкционные ограничения; к Let’s Encrypt и ZeroSSL могут присоединиться остальные глобальные удостоверяющие центры, для них это вопрос юридического выживания. Вторая — внутреннее давление со стороны государства на переход коммерческих сайтов на сертификаты НУЦ. Минцифры и крупнейшие банки уже агитируют пользователей ставить корневой сертификат НУЦ в систему; следующий шаг — рекомендации (или требования) к владельцам сайтов выпускать параллельные сертификаты НУЦ.
К концу августа сделаю следующий шаг: на двух тестовых доменах из своего списка разверну параллельные сертификаты через Google Trust Services и НУЦ. После этого напишу отдельный материал с реальной практикой — что сработало, какие подводные были, как браузеры ведут себя с двумя сертификатами одновременно и что именно показывают разным пользователям.
И отдельная история — закон, запрещающий российским сайтам авторизацию через иностранные сервисы. У нас на агентских сайтах вход через Google стоял на нескольких клиентских проектах, и теперь это переделывать. Это вторая ветка инфраструктурных изменений, которые накатываются на российский веб в июне 2026 — про неё будет следующая статья.
Если у вас сейчас сертификат GlobalSign — это первая волна, действовать надо в ближайшие дни. Если на Let’s Encrypt и вы не подсанкционная структура — времени достаточно, но инвентаризацию имеет смысл сделать сейчас, пока CT-логи можно прочитать спокойно, а не в режиме срочного гашения пожара.
ссылка на оригинал статьи https://habr.com/ru/articles/1049334/