# 🔐 Почему сертификаты Минцифры (НУЦ) опасны — и почему отзыв сертификата хуже бана из App Store > [!info] Что это > Черновик публицистического поста о кризисе доверия TLS-сертификатов в России (весна–лето 2026): отзыв сертификата у мессенджера MAX, тупик с государственным удостоверяющим центром (НУЦ) и сценарии ответа властей вплоть до изоляции рунета. Конкретные свежие факты (даты по MAX, отзыв GlobalSign) опираются на открытые источники из раздела «См. также» и относятся к июню 2026 — проверяй по ссылкам. Политически острые оценки помечены отдельными дисклеймерами. --- ## TL;DR 1. **Сертификат** — это цифровое удостоверение сайта от доверенного центра (УЦ). Отзови его — и браузер встречает посетителя красным предупреждением, хотя сайт жив. 2. Отзыв бьёт **дважды**: по бизнесу (потеря клиентов) и — что важнее — по пользователю, которого приучают жать «продолжить» вопреки предупреждению. На стёртой привычке замечать предупреждения играют мошенники. 3. Государственный удостоверяющий центр Минцифры — **НУЦ (Национальный удостоверяющий центр)**, чьи сертификаты официально называют «российскими сертификатами безопасности» / «сертификатами Минцифры», — так и не попал в списки доверия Apple, Google и Microsoft с 2022 года. Поэтому он работает «бесшовно» только в отечественных продуктах (вроде «Яндекс Браузера»), а в остальных корень приходится **ставить руками**. 4. **Установка корня НУЦ опасна сама по себе**: доверенный корневой сертификат может удостоверить *любой* сайт, а значит даёт технический рычаг для незаметного перехвата (MITM, man-in-the-middle — «человек посередине») твоего HTTPS у того, кто контролирует и корень, и каналы связи. 5. Разница 2022 → 2026: тогда оставалась лазейка (GlobalSign обслуживал россиян), теперь закрылась и она — GlobalSign начал **отзывать** сертификаты со ссылкой на правила CA/Browser Forum (по оценкам рынка — порядка 15–20 тыс. доменов). Бьёт это прежде всего по **подсанкционным** организациям; обычный бизнес пока может брать сертификаты у иностранных коммерческих УЦ. 6. Мировой рынок доверия во многом держится на **горстке бигтеха** (Apple, Google, Microsoft, Mozilla): уберут корень УЦ из браузеров — бизнесу УЦ конец (как случилось с Entrust в 2024–2025). 7. Главная опасность — не один мессенджер, а то, что (по версии ряда наблюдателей) **решение теперь принимают те, для кого обрыв с миром — приемлемая цена**. --- ## Что такое сертификат (на пальцах) > [!example] Простыми словами > Когда ты открываешь сайт банка, браузер должен убедиться, что это и правда банк, а не подделка. Подтверждает это **сертификат** — цифровое удостоверение от доверенного центра (УЦ). Замочек в адресной строке означает: связь зашифрована (по протоколу **TLS** — Transport Layer Security, на котором стоит HTTPS), собеседник проверен. Отзови сертификат — и замочек гаснет. Сайт никуда не девается, но браузер встречает посетителя красным предупреждением или вовсе не пускает дальше. --- ## Две беды отзыва сертификата Отзыв несёт не одну, а сразу две беды: - **Удар по бизнесу.** Банк, магазин или госпортал теряет доверие браузеров и часть клиентов — тех, кто не станет продираться сквозь страшный экран. - **Удар по пользователю** (и он значимее). Когда людей раз за разом приучают нажимать «продолжить» вопреки предупреждению, они перестают эти предупреждения замечать. А именно на этом играют мошенники: на фишинговом сайте честного замочка нет. Так стирают привычку, на которой во многом держится повседневная безопасность в сети. > [!important] Главная мысль > Отзыв сертификата — это не про один мессенджер и не про один банк. Это про **доверие как таковое**. Чем чаще людей учат нажимать «продолжить», тем беззащитнее они становятся — и тем больше работы у настоящих мошенников. --- ## Почему сам корень НУЦ опасен лично для тебя Государство предлагает «решение»: поставить корневой сертификат НУЦ на устройство, и тогда замочек снова загорится. Проблема в том, что **корневой сертификат в твоём хранилище доверия может удостоверить любой сайт**. > [!example] Что это значит на пальцах > Доверенный корень — это «нотариус», чьей подписи браузер верит без вопросов. Обычные публичные УЦ обязаны играть по строгим правилам (CA/Browser Forum, публичные Certificate Transparency-логи, аудит браузеров) — за подлог их исключают из доверия. Государственный УЦ под юрисдикцией, где его можно обязать законом, такому внешнему контролю не подчиняется. Установив его корень, ты выдаёшь «нотариусу» бланк с твоей подписью: он сможет выписать «настоящий» сертификат для `gosbank.ru`, `google.com` или любого другого домена — и браузер покажет зелёный замочек на подделке. Сложи это с тем, что весь трафик в стране уже проходит через операторское оборудование фильтрации ([[DPI/post-pochemu-legli-ru-sajty-iyun-2026|ТСПУ]]), и получаешь технический рычаг для **незаметного перехвата и расшифровки HTTPS** (man-in-the-middle): тот, кто контролирует и корень доверия, и канал, может встать между тобой и сайтом так, что замочек останется зелёным. > [!warning] Возможность ≠ доказанное злоупотребление > На дату этого поста (июнь 2026) нет публичных доказательств **массового** перехвата трафика через корень НУЦ. Опасность здесь **структурная**: ты расширяешь полное доверие на сторону, которую можно принудить законом и которая не проходит тот внешний аудит, что публичные УЦ. Практический вывод: не ставь корень НУЦ без острой необходимости; если он нужен для конкретного госсайта — понимай, что доверие распространяется на **весь** твой HTTPS-трафик, а не на один портал. Подробный разбор конкретных атак (перехват HTTPS, кража OTP, подмена обновлений ПО), почему ручная установка корня обходит Certificate Transparency, и документированные прецеденты (DigiNotar 2011, Казахстан 2019–2023) — в отдельной заметке: [[DPI/nuc-root-mitm-threat-model|Что технически возможно через корень НУЦ: модель угроз]]. --- ## Урок 2022 года Это уже было. Весной 2022-го западные центры отказались продлевать сертификаты подсанкционным компаниям. Под удар попали сайты Центробанка, ВТБ, Совкомбанка, Промсвязьбанка — посетители ненадолго увидели предупреждение «подключение не защищено». Выход нашли, но половинчатый: 10 марта 2022 Минцифры открыло на «Госуслугах» бесплатную выдачу отечественных TLS-сертификатов от НУЦ (бесплатно — **юрлицам, владельцам сайтов**; сам НУЦ в промышленной эксплуатации с 2021 года, а с 2025 на «Госуслугах» доступен и вариант с шифрованием по ГОСТ). Но корень НУЦ так и **не попал** в списки доверия Apple, Google и Microsoft (объяснение того периода — в [репосте в канале «ЗаТелеком»](https://t.me/zatelecom/23383)). Поэтому государственный сертификат по умолчанию работает только в отечественных продуктах вроде «Яндекс Браузера», а в остальных его приходится ставить вручную, обходя те же предупреждения. Лечат симптом, не болезнь. --- ## Разница между 2022 и 2026 Тогда у бизнеса оставалась лазейка: **GlobalSign** продолжал обслуживать россиян и оставался по сути последним крупным зарубежным коммерческим УЦ, готовым это делать. Теперь закрывается и эта дверь — именно GlobalSign начал **отзывать** сертификаты, ссылаясь на новые правила CA/Browser Forum. По оценкам рынка (по сообщениям СМИ, июнь 2026), речь о **15–20 тысячах доменов**. Если цифра подтвердится, это будет крупнейшая вынужденная миграция настроек со времён запуска НУЦ. Сужается и бесплатный путь: на истории MAX видно (см. хронику ниже), как Let's Encrypt — крупнейший в мире бесплатный УЦ — сначала аварийно выпустил сертификаты 6 июня, но спустя дни (11–12 июня) на основании санкций США **отказал** в дальнейшем выпуске подсанкционному лицу. > [!note] «Только НУЦ» — это преувеличение: УЦ в мире сотни > Удостоверяющих центров в мире не два и не три — их сотни. Но **глобально доверенных** (чьи корни вшиты в браузеры Apple/Google/Microsoft/Mozilla) — несколько десятков, и почти все под юрисдикцией США/ЕС, то есть под тем же санкционным комплаенсом. Поэтому для подсанкционной организации удобные **крупные западные** варианты сужаются — но «не осталось вовсе» было бы неверно. Во-первых, выданные сертификаты живут: те же 10 сертификатов Let's Encrypt от 6 июня **продолжают работать**, потому что отозвать их в одностороннем порядке LE не может (нужна санкция OFAC) — правда, это короткоживущие сертификаты: без продления они истекут примерно к началу сентября 2026, и тогда миграцию придётся повторять. Во-вторых, государственный оператор вроде VK почти наверняка **найдёт способ** — перевыпуск у других/мелких УЦ, смена провайдеров, промежуточные схемы. Реальная цена — не «совсем без HTTPS», а **постоянная вынужденная миграция** и нарастающая хрупкость, которая и подталкивает к НУЦ как к «стабильному» запасному варианту. > [!example] Живой пример: ВТБ → HARICA (июнь 2026) > У сайта ВТБ забрали прежний сертификат — и банк тут же взял новый у **HARICA** (Hellenic Academic and Research Institutions CA, греческий некоммерческий УЦ при сети университетов GUnet; бесплатный, с ACME, как Let's Encrypt, корень есть во всех браузерах). Это **DV-сертификат** (в поле Organization — «Not Part Of Certificate»): HARICA проверяла лишь контроль над доменом `vtb.ru`, а не юрлицо за ним, поэтому при автоматическом выпуске санкционный статус банка, скорее всего, просто не всплыл. Выдан 11 июня 2026, действует до 27 декабря 2026. > > Отберёт ли HARICA его обратно? Скорее да — рано или поздно, или хотя бы не продлит: HARICA в ЕС, а ВТБ под санкциями и ЕС, и США, так что давление то же, что прижало GlobalSign и Let's Encrypt. Но не мгновенно (юридически серая зона: считается ли автоматический DV-выпуск «услугой» подсанкционному лицу) и не обязательно через досрочный отзыв — могут просто не продлить по истечении. А даже если отберут — банк перепрыгнет на следующий УЦ. Это и есть та самая **беговая дорожка**, а не «без HTTPS». --- ## Хроника «военных действий» вокруг госмессенджера MAX (весна–лето 2026) Историю удобнее читать как цепочку: каждое звено по отдельности не катастрофа, но вместе они показывают, как сервис выдавливают из мирового интернета. | Дата (2026) | Событие | |---|---| | **9 апреля** | Cloudflare относит рабочие домены стороннего клиента Telegram «Telega» к шпионскому ПО — в тот же день приложение пропадает из App Store (в Google Play и RuStore остаётся). Через пару дней (≈11 апреля) метку снимают как ошибочную, но GlobalSign успевает отозвать у «Telega» сертификат. *(По сути — репетиция сценария, который позже повторится с MAX.)* | | **30 апреля** | Cloudflare Radar помечает домен `max.ru` как Spyware и вредоносный. Это **автоматическая** метка по поведению веб-страницы и аналитики, а не доказанный шпионаж — само приложение никто не разбирал. | | **1 мая** | VK объясняет всё технической ошибкой (Cloudflare неверно прочитал заголовки веб-аналитики). Метку со страницы убирают, но в отчёте за 30 апреля она остаётся — а отчёт уже разошёлся по СМИ. Такая же метка всплывает у `web.max.ru`. | | **3–4 июня** | Apple удаляет MAX из App Store, ссылаясь на санкции (российские пользователи заметили вечером 3 июня; в части СМИ событие датируют 4 июня). Пользователям iPhone остаётся веб-версия. | | **5–6 июня** | GlobalSign **досрочно отзывает** TLS-сертификат для `*.max.ru` (действовал бы до февраля 2027): по одним сообщениям — вечером 5 июня, по другим — 6 июня. Статус Revoked — и сертификат разом перестаёт быть доверенным у Mozilla, Apple, Android, Java и Windows. | | **6 июня** | Веб-версию накрывает: Firefox — красный экран, Chrome — ошибка отозванного сертификата, Safari не пускает совсем, домен начинает ругать и антивирус Касперского. VK за часы переводит платформу на бесплатные сертификаты **Let's Encrypt** (в этот день выпущено 10 сертификатов на `max.ru` и поддомены) и частично возвращает доступ — но тысячи пользователей уже упёрлись в предупреждения. | | **11–12 июня** | Тупик и с Let's Encrypt: УЦ **отказывает в выпуске** новых сертификатов для `max.ru`. Исполнительный директор ISRG (Internet Security Research Group — НКО, оператор Let's Encrypt) подтверждает официально: домен «в конечном счёте контролируется подсанкционным лицом» (ООО «Коммуникационная платформа», связано с VK). Сообщество требует **отозвать** и уже выданные 6 июня сертификаты — но LE отвечает, что без указания OFAC (управление Минфина США по контролю за иностранными активами) сделать этого не может. | > [!warning] Что именно говорит Let's Encrypt (по первоисточнику) > Блокировка `max.ru` — это **санкционный комплаенс США (OFAC)**, а не «месть» и не блок доменной зоны `.ru`. Исполнительный директор ISRG прямо заявил: домен заблокирован, потому что «в конечном счёте контролируется подсанкционным лицом», и это **продолжение давней политики**, а не следствие свежего обновления Subscriber Agreement. При этом 4 июня 2026 соглашение LE действительно обновили, добавив запрет на использование для тех, кто связан со «страной/территорией под всеобъемлющими санкциями США» (по Wikipedia — Куба, Иран, КНДР, Россия, отдельные регионы Украины). Тонкость про невозможность отзыва: прекращение услуги подсанкционному лицу **само по себе может быть «транзакцией»** с ним, на которую нужна санкция OFAC — поэтому LE заблокировал новый выпуск, но в одностороннем порядке не отзывает уже выданное. > [!note] Про обвинения MAX в слежке > Требуя отзыва сертификатов, участники сообщества ссылались на метку Cloudflare и на разборы. Технический разбор на habr документирует прежде всего модуль **детекта VPN и доступности хостов**; более серьёзные утверждения (сбор геолокации, перечень установленных приложений, запись аудио/видео) фигурируют в материалах Novaya Gazeta Europe (30 апреля 2026) и RKS Global. Важно: это **обвинения и автоматические метки**, а не доказанный в суде факт — независимо приложение публично не вскрывали. > [!note] Про ISO/IEC 27001 в оправданиях VK > VK напоминает, что проходит аудиты и держит Bug Bounty. Аудит по ISO/IEC 27001:2022 действительно проходил (по открытым данным — сервис VK ID, аудитор Tüv Austria Standards & Compliance), но это аудит **менеджмента** безопасности — он демонстрирует, что есть процессы по ИБ, и **не исключает** преднамеренной передачи данных по требованию властей. Более того, такой процесс может быть прекрасно описан в рамках того же стандарта. Что из этого видно: удар шёл не в одну точку, а по всей опоре — репутация домена, место в App Store, доверенный сертификат. Выбей любую — и сервис спотыкается. А **отзыв сертификата опаснее остального**: он бьёт не по одному мессенджеру, а по самому механизму доверия, на котором держится весь рунет. --- ## Мировой рынок УЦ и его зависимость от бигтеха Чтобы понять варианты ответа властей, важно видеть расклад. Рынок доверия сильно сконцентрирован (доли — по числу сайтов, по данным [my-ssl.com](https://my-ssl.com/learn/top-10-ssl-cas)): | Удостоверяющий центр (УЦ) | Кратко | Доля рынка | |---|---|---| | **Let's Encrypt** | Некоммерческий, бесплатные автоматизированные SSL. Абсолютный лидер | **68,2 %** | | **GlobalSign** | Бельгийско-японский гигант: крупный бизнес, облачная автоматизация, IoT | **20,4 %** | | Sectigo (ранее Comodo) | Коммерческий широкого профиля: от дешёвых розничных до корпоративных | 5,3 % | | GoDaddy Group | УЦ регистратора доменов, авто-выпуск для своих клиентов хостинга | 3,8 % | | DigiCert Group | Премиальный корпоративный (бренды Norton, Thawte, GeoTrust) | 1,8 % | | Actalis | Крупный итальянский, ЕС | 0,7 % | | Certum | Польский, популярен в Восточной Европе | 0,5 % | | Secom Trust | Влиятельный японский | 0,3 % | | Остальные | Сотни мелких/национальных (SSL.com, TWCA, Chunghwa Telecom и др.) | < 0,1 % | > [!note] Про точность цифр > Это снимок одного источника (my-ssl.com, доли «по числу сайтов»); из-за округления сумма выходит чуть больше 100 %, а у других агрегаторов (w3techs, 6sense) цифры отличаются на несколько пунктов — Let's Encrypt там ~63–65 %, GlobalSign ~22–24 %. Важен порядок величин: Let's Encrypt — около двух третей рынка, GlobalSign — около пятой части. > [!important] Кто на самом деле держит рубильник доверия > Все УЦ зависят от горстки производителей браузеров — буквально по пальцам одной руки: **Apple, Google, Microsoft и Mozilla**. Если хотя бы одна из этих компаний удалит корень УЦ из доверенных, бизнесу этого УЦ приходит конец: никто не купит сертификат, который не работает в Chrome. Так в 2024–2025 произошло с **Entrust**: Google и Mozilla объявили о недоверии (середина 2024) к его публичным TLS-сертификатам, выпущенным после установленной даты (для Chrome — после 11 ноября 2024, для Firefox — после 30 ноября 2024), — и этот его бизнес фактически свернулся. Заметь строку GlobalSign в таблице: на отозванном у MAX центре висит **пятая часть** мировых сайтов — отсюда и разговоры об «ответном ударе» именно по нему. --- ## Пять сценариев ответа российских властей > [!note] Это прогнозы, а не факты > Ниже — аналитические сценарии (от мягкого к крайнему) с субъективными оценками вероятности, а не свершившиеся события. Они нужны, чтобы оценить «коридор» возможных ответных шагов. 1. **Договариваться.** Минцифры садится за стол с Apple и GlobalSign, пытаясь вернуть приложения в магазины, а сертификаты — в строй. *Самый безболезненный для пользователя исход, но компании не вернут то, что им запрещено санкционным законом их страны.* **Вероятность: низкая** — разговор уже идёт и пока безрезультатно. 2. **Пересадить всех на свой центр.** Добиваться, чтобы корень НУЦ стоял на каждом устройстве, а сайты переходили на отечественные сертификаты. *Внутри страны замочек снова горит, но в зарубежных браузерах корень НУЦ как не признавали, так и не признают — лечат симптом.* **Вероятность: высокая** — это делают с 2022 года, просто ускорят. 3. **Зашить корень НУЦ в технику и браузеры.** Обязать продавать в России только устройства с предустановленным корнем НУЦ и подталкивать к «Яндекс Браузеру». *Госсертификат становится бесшовным, но лишь в отечественной среде; iPhone и зарубежные браузеры в схему не укладываются.* **Вероятность: средняя** — технически готово, упирается в политическую волю давить на производителей; вдобавок миллионы ввезённых устройств никто не проконтролирует. 4. **Ударить зеркально.** Ограничить технику Apple на рынке РФ и сам GlobalSign, на чьих сертификатах висят десятки тысяч российских сайтов. *Красивый жест, рубящий сук под собой: обвалятся ровно те площадки, что ещё держатся на GlobalSign.* **Вероятность: низкая** — против выступает даже глава «Ростелекома» Михаил Осеевский (назвал шаг Apple недружественным, но призвал не отвечать зеркально). 5. **Захлопнуть дверь совсем.** Перевести рунет в режим изоляции: замкнуть трафик на внутренние узлы, национальную систему доменных имён и оборудование фильтрации. *Сертификаты мировых центров тогда просто не нужны — внутри действует своя система доверия, ценой обрыва с глобальной сетью, ударов по экономике, банкам, бизнесу и обычной связи.* **Вероятность: ещё недавно сказали бы «низкая». Сегодня — уже нет.** --- ## Почему крайние сценарии перестали быть страшилкой > [!warning] Острая политическая оценка из открытых источников > Этот раздел — авторская интерпретация на основе публикаций и расследований, а не установленный судом или официально подтверждённый факт. Приведённые атрибуции (кто и к чему причастен), а также оценки мотивов и намерений сторон отражают версию источников и приводятся как контекст, а не как доказанное утверждение. Тревога вокруг крайнего, пятого сценария (изоляции) — в том, **кто** теперь курирует рунет. По появившимся сведениям, это не Минцифры и не технари, а «Вторая служба» — Служба по защите конституционного строя и борьбе с терроризмом (ряд независимых расследований — без официального подтверждения и приговора суда — связывает её сотрудников с отравлениями Алексея Навального и Владимира Кара-Мурзы). Раньше отрасль вели люди с майндсетом безопасников, но говорившие с рынком на одном языке и считавшие деньги. Судя по публичной риторике, эти — денег не считают: для них интернет не экономика и не связь, а поле борьбы с «крамолой». И если выбор встанет между сохранением сети и полным контролем над ней, отключить сеть для них, по этой логике, — не беда. Вот в чём настоящая опасность отозванного сертификата. Дело не в одном мессенджере и даже не в банках, а в том, что решение принимают те, для кого **обрыв с миром — приемлемая цена**. А когда так думает куратор, крайний — пятый — сценарий перестаёт быть фантастикой. > [!quote] Важная оговорка про «изоляцию» > Splinternet бьёт прежде всего по самой РФ и людям внутри неё — это во многом самоповреждение (self-harming). Для внешнего мира издержки несопоставимо меньше, хотя и не нулевые (теряется доступ к российской аудитории и рынку, рвутся трансграничные сервисы и связь с диаспорой). Можно считать такой исход очень плохим — но и вечно жить в страхе перед ним не выход. --- ## Итог Отзыв сертификата опаснее удаления из магазина приложений, потому что бьёт не по одной компании, а по **всем сразу**: по бизнесу, по привычке пользователя доверять замочку и по самому фундаменту доверия в сети. Государственный НУЦ эту проблему не решает — он лишь переносит точку доверия на сторону, которую нельзя проверить извне и которую можно обязать законом. А на фоне того, что — по версии ряда наблюдателей — решения принимают люди, готовые к обрыву с глобальной сетью, главный риск — не «не откроется мессенджер», а сам сценарий splinternet. --- ## 📚 См. также - [[DPI/post-cert-danger-kratko-june-2026|Коротко: замочек погас — почему это касается каждого]] — сжатая версия этой статьи для широкой аудитории - [[DPI/post-pochemu-legli-ru-sajty-iyun-2026|Почему «легли» ру-сайты в июне 2026 (ТСПУ)]] — соседний разбор того же периода: как операторское оборудование фильтрации ломает легитимные сайты - [[DPI/ru-network-blocklists|Сетевые блокировки в РФ]] — общий контекст инфраструктуры цензуры - [[VLESS/dpi-tls-june-2026|Сибирская схема: подсеть + фингерпринт + частота]] — как устроена детекция TLS-трафика на стороне ТСПУ - 🔗 [Let's Encrypt forum: почему выпуск сертификата для max.ru запрещён политикой](https://community.letsencrypt.org/t/why-issue-certificate-for-max-ru-forbidden-by-policy/248143) — **первоисточник**: официальное подтверждение блокировки по санкциям (OFAC), обновление Subscriber Agreement от 4 июня 2026, нюанс с невозможностью отзыва - 🔗 [Разбор MAX как spyware (habr, рус.)](https://habr.com/ru/articles/1006666/) — на него ссылалось сообщество, требуя отзыва сертификатов (обвинения, не доказанный факт) - 🔗 [Объяснение про корень НУЦ (репост в канале «ЗаТелеком», 2022)](https://t.me/zatelecom/23383) — почему госкорень не попал в списки доверия - 🔗 [Топ-10 мировых УЦ (my-ssl.com)](https://my-ssl.com/learn/top-10-ssl-cas) — источник долей рынка из таблицы выше - 🔗 [Минцифры: о сертификатах безопасности](https://digital.gov.ru/activity/kiberbezopasnost/sertifikaty-bezopasnosti) — официальная страница НУЦ: история (с 2021), ГОСТ-вариант (2025), выдача юрлицам - 🔗 [Госуслуги: поддержка российских сертификатов](https://www.gosuslugi.ru/crt) и [сертификаты у Сбербанка](https://www.sberbank.ru/ru/certificates) — как государство и банк предлагают ставить корневой и выпускающий сертификаты / «Яндекс Браузер»