В июне 2026 года два крупнейших удостоверяющих центра — Let's Encrypt и GlobalSign — обновили правила выдачи и отзыва SSL-сертификатов. Далее о том, как это коснётся российских пользователей и что делать владельцам сайтов и приложений.
Let's Encrypt внёс санкции в пользовательское соглашение
4 июня 2026 года некоммерческий удостоверяющий центр Let’s Encrypt, выдающий бесплатные SSL/TLS-сертификаты, обновил пользовательское соглашение. В раздел 3.1 («Ваши гарантии и обязанности») добавлен пункт, запрещающий выдачу сертификатов для лиц и организаций, подпадающих под действие санкций США, а также для подсанкционных лиц по спискам OFAC.
Что именно произошло
Let’s Encrypt, как американская организация (Internet Security Research Group, ISRG), официально закрепила в договоре, что:
- сертификаты не выдаются лицам — жителям территорий, находящимся под полным эмбарго США, а также организациям, зарегистрированным там (на сегодня — Крым, ДНР/ЛНР, Иран, КНДР, Куба);
- сертификаты блокируются для любых лиц или компаний, включённых в санкционные списки OFAC (например, SDN List);
- сертификаты недоступны для организаций, которые контролируются подсанкционными лицами или действуют от их имени.
Россия в список полного эмбарго не входит, но отдельные российские компании, госструктуры или лица, попавшие под персональные санкции США, под действие новых правил попадают.
Кого коснутся изменения
| Категория | Последствия |
|---|---|
| Частные лица и обычные компании из РФ | Без изменений — сертификаты выдаются и продлеваются. |
| Государственные учреждения РФ | Сертификаты выдаваться не будут (даже если домен не в списках). |
| Компании/лица из SDN-списка OFAC | Полная блокировка — получить или продлить сертификат невозможно. |
| Владельцы доменов .ru/.su, чьи IP-адреса заблокированы госрегуляторями РФ | Технические сбои при выпуске (не связаны с санкциями напрямую). |
По словам представителей ISRG: «Let’s Encrypt может выдавать сертификаты для негосударственных организаций в России благодаря исключениям OFAC, направленным на защиту свободы интернета и прав человека».Однако, как отмечают эксперты, слово «can» в официальных ответах не гарантирует, что ситуация не изменится в будущем.
Что делать сейчас
1. Проверить, не попал ли домен под блокировку
На данный момент есть три способа, как это сделать.
Способ 1. Юридическая проверка (списки OFAC)
Перейдите на официальный поисковик Минфина США (OFAC). Введите в поле Name название компании, которая зарегистрировала домен, или имя её конечного бенефициара (на английском языке):
Если система выдаст Match Score 100 — ваш домен заблокирован для Let’s Encrypt. Другие сервисы также заблокируют выпуск SSL.
Способ 2. Техническая проверка (тестовый выпуск сертификата)
Самый надёжный способ проверить прямо сейчас — запустить тестовую генерацию сертификата в режиме «песочницы» (Staging). Это безопасно и не расходует лимиты.
Команда для Certbot:
certbot certonly --dry-run -d ваш-домен.ruЕсли команда завершилась сообщением The dry run was successful, значит, никаких санкционных или региональных ограничений на домене нет. Если в тексте ошибки есть слова Unauthorized, Blocked или Policy, домен либо забанен по политическим причинам, либо неверно настроена DNS-запись.
Способ 3. Сетевая проверка (доступность серверов Let's Encrypt из вашей сети)
Проверьте, есть ли у вашего сервера доступ к серверам Let's Encrypt:
curl -I https://letsencrypt.orgЕсли ответ 200 OK, то сеть работает. Если Connection timed out или Could not resolve host, то проблема может быть с сетевыми блокировками государственных регуляторов РФ, а не с санкциями.
2. Запросить отзыв сертификата, если вы под санкциями или работаете в госструктуре РФ, и переходить на аналоги
Лучше всего самостоятельно запросить отзыв сертификата через ACME-клиент (этого требует раздел 3.2 соглашения). А далее переходить на использование сертификатов альтернативных российских удостоверяющих центров — сертификаты от Госуслуг (для госорганов) или иные коммерческие УЦ, работающие вне юрисдикции США. Важный момент: сертификаты от Госуслуг признаются только в России. Это значит, что зарубежные браузеры будут показывать предупреждение о небезопасном соединении.
3. Следить за новостями
Если вы обычный владелец сайта, то вам пока ничего не нужно менять. Let’s Encrypt продолжает работать в штатном режиме. Тем не менее рекомендуем настроить автоматическое продление (например, через Certbot) и следить за новостями — санкционная политика может измениться в любой момент.
Что грозит за использование сертификата после попадания под санкции
По соглашению LE-SA v1.7 пользователь обязан самостоятельно запросить отзыв сертификата (раздел 3.2), если его компания или он лично попали в санкционные списки OFAC (SDN List). Это касается не только новых заявок, но и уже действующих сертификатов, даже если они были получены до введения санкций или до обновления соглашения.
Если не сделать этого, ISRG вправе принудительно отозвать сертификат (раздел 4.2). Кроме того, пользователь будет обязан возместить ISRG все убытки и судебные издержки, если таковые будут. Штрафов со стороны ISRG нет, но риски включают:
- внезапную потерю работоспособности сайта;
- невозможность подать иск к ISRG (по условиям соглашения);
- потенциальные претензии OFAC уже к пользователям, а не к Let’s Encrypt.
Let’s Encrypt формализовал санкционные ограничения в договоре, но для большинства российских пользователей ничего не изменилось. Проблемы возникнут только у госорганов и у физических лиц или компаний из списков OFAC. Тем не менее всем владельцам сайтов рекомендуется проверить свои домены через инструмент OFAC и иметь план «Б» на случай ужесточения политики. Мы будем обновлять материал по мере поступления новой информации.
Источники: oppennet, хабр, letsencrypt
GlobalSign начал массовый отзыв SSL-сертификатов у российских компаний
13 июня 2026 года японский удостоверяющий центр GlobalSign — второй в мире по количеству выданных сертификатов — запустил принудительный отзыв SSL-сертификатов у российских организаций. Процесс будет проходить поэтапно.
Причина: Международный консорциум CA/Browser Forum (глобальный регулятор, объединяющий центры сертификации и разработчиков браузеров — Google, Apple, Microsoft, Mozilla) утвердил обновлённые требования, которые вступили в силу 4 мая 2026 года. Согласно новым правилам, проверка организаций по санкционным спискам (OFAC SDN List, BIS Denied Persons List и их европейским аналогам) стала обязательной, а не рекомендательной.
GlobalSign, основанная в Бельгии и позднее проданная японскому холдингу GMO Internet Group, обязана соблюдать санкционные ограничения и США, и ЕС. Проведя аудит портфеля клиентов, компания начала принудительный отзыв сертификатов у российских организаций, попавших под санкции.
Кого коснутся изменения
Под угрозой — до 20 тысяч доменов (с учётом поддоменов — сотни тысяч или миллионы сертификатов). Под отзыв попадают крупные банки, госструктуры и крупный бизнес. Малый бизнес и частные лица прямо не пострадают, но получение новых сертификатов станет дольше из-за обязательных проверок.
Доля GlobalSign в Рунете, по данным Минцифры, не превышает 5%. Однако в коммерческом сегменте западных сертификатов компания занимает около 90% рынка.
Какие последствия
Для сайтов: браузеры (Chrome, Safari, Firefox) начнут показывать предупреждение «Соединение не защищено» или блокировать доступ.
Для приложений: под угрозой сертификаты для подписи кода — без них невозможно установить приложение на Windows, macOS или iOS. Особенно уязвимы приложения с Certificate Pinning — они могут полностью потерять связь с серверами.
Что можно сделать
Если вы используете сертификаты GlobalSign, обязательно убедитесь, что сертификат работает. Откройте сайт в браузере в режиме инкогнито. Если видите предупреждение, значит, сертификат отозван. Второй шаг — поиск альтернативного решения. Как уже писали выше, стоит присмотреться к сертификатам от Госуслуг (принимаются только российскими браузерами) или другим коммерческим УЦ, которые не подпадают под юрисдикции США и ЕС.
Разработчикам приложений: если в вашем приложении используется «закрепление» сертификата (Certificate Pinning), после отзыва сертификата приложение перестанет работать. Рекомендуется выпустить обновление с новым сертификатом.
