По информации СМИ, российские IT-компании ( «РусБИТех-Астра» (часть ГК «Астра»), «Сбертех» («дочка» «Сбера»), «Базальт СПО», «Открытая мобильная платформа» («дочка» «Ростелекома»), «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и другие) прорабатывают систему защиты отечественных программных проектов, которая сможет обеспечить защиту в условиях массового отзыва сертификатов для подписи программного кода иностранными удостоверяющими центрами.
Эта рабочая группа компаний разрабатывает проект под названием Отраслевой технологический удостоверяющий центр (ОТУЦ). На базе этого решения планируется выдавать российским разработчикам сертификаты подписи кода вместо ушедших западных УЦ. По словам одного из руководителей рабочей группы, гендиректора «КриптоПро» Станислава Смышляева, ОТУЦ уже функционирует в тестовом режиме. С ноября 2025 года построенную вокруг него систему протестировали «КриптоПро», «ИнфоТеКС», «Код безопасности», «Лаборатория Касперского», «Сбертех», а также разработчики операционных систем Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора». Они получили сертификаты в центре, подписали свои программные продукты и обменялись ими для взаимной проверки.
Цифровая подпись программного кода — это электронная метка, подтверждающая, что программа выпущена конкретным разработчиком и её код не был изменён, например хакерами. Такую метку российские компании в основном получают с использованием сертификатов, выдаваемых в западных удостоверяющих центрах.
«Разработка системы защиты софта, начатая в конце 2025 года, теперь рассматривается как основной способ сохранить безопасность российских программ, если западные удостоверяющие центры начнут отзывать сертификаты подписи кода», — указал СМИ отраслевой эксперт. Когда сертификат отозван, операционная система перестаёт доверять подписи и либо полностью блокирует запуск программы, либо выводит предупреждение о небезопасном издателе, продолжает этот собеседник. У разработчика остаётся только два способа сохранить работоспособность программы: вообще убрать подпись кода, чтобы системе было нечего проверять, или использовать сертификаты небольших иностранных компаний, которые пока не соблюдают санкции. «В случае отсутствия подписи программу зачастую можно запустить, но гарантий ее подлинности уже не будет: хакеры могут внедрить в неё вредоносный код, и это останется незамеченным», — уточнил профильный эксперт.
Мнения представителей компании по этой ситуации:
-
директор по направлению информационной безопасности IT-экосистемы «Лукоморье» (входит в «Ростелеком») Станислав Воскресенский: если сертификаты подписи кода отзовут, последствия для разработчиков софта могут быть критическими — по сути, будет остановлен конвейер его поставки пользователям. В результате пользователи потеряют возможность получать как новые бизнес-функции, так и обновления безопасности. Если разработчик софта хочет размещать свои решения в официальных магазинах, например App Store, то это станет невозможным. Также могут быть проблемы с тестированием на реальных устройствах. При этом отказ от проверки кода в случае отзыва сертификата для разработчиков будет «шагом назад». Это плодотворная почва для распространения подделок — фишингового и вредоносного программного обеспечения, а также нарушения целостности кода;
-
представитель ГК «Астра»: если Microsoft или иные западные компании отзовут сертификаты для подписи кода, может возникнуть проблема запуска российского софта в экосистеме Windows и других иностранных операционных систем. Именно поэтому задача подписи программ отечественными сертификатами и создания единого пространства доверия является крайне актуальной;
-
начальник отдела разработки программного обеспечения «Базальт СПО» Антон Мидюков: компания не пользуется зарубежными сертификатами, поэтому для отечественных операционных систем никаких последствий от их отзыва не будет. Сейчас есть инициатива сделать национальный сертификационный центр для подписи софта для отечественных операционных систем. Он устроен аналогично сертификационным центрам для сайтов: идея в том, чтобы использовать отечественную криптографию и цепочку доверия от сертификационного центра к разработчикам, а при установке программного обеспечения проверять подпись и статус сертификата;
-
профильный источник для СМИ: случаи отзыва сертификатов для подписи программного кода уже были в 2023 году со стороны Apple. Собственный удостоверяющий центр Apple тогда точечно отзывал сертификаты у некоторых подсанкционных компаний. Последним пришлось убрать подпись кода, оставив свой софт открытым для злоумышленников.
С 13 июня 2026 года в GlobalSign (один из крупнейших центров сертификации в мире) начали процедуру принудительного отзыва ранее выпущенных SSL-сертификатов у компаний из России, попадающих под санкционные ограничения ЕС/США. С 17 июня GlobalSign запустил вторую волну отзыва TLS-сертификатов у сайтов российских компаний.
В Let’s Encrypt пояснили, что сертификаты продолжат выдаваться для России, но не будут доступны для российских госучреждений и компаний под санкциями США. В начале июня 2026 года некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, внёс изменение в пользовательское соглашение, определяющее права и обязанности получателей SSL-сертификатов. В секцию с условиями запроса и использования сертификатов был добавлен пункт, не допускающий выдачу сертификатов для физических лиц и организаций, постоянно проживающих или зарегистрированных в странах или на территориях, на которые распространяются полномасштабные (comprehensive) санкции США.
В Минцифры РФ сообщили, что в случае отзыва международных сертификатов безопасности у российских владельцев сайтов в интернете есть возможность оперативно (срок исполнения — 3 рабочих дня) и бесплатно получить российские после подачи заявления на Едином портале государственных и муниципальных услуг (Госуслуги). Речь идёт о TLS-сертификатах типов DV и OV, которые обеспечивают защищённое соединение между пользователем и сайтом.
ссылка на оригинал статьи https://habr.com/ru/articles/1050262/