Сертификат заблокировали? Разбираемся, кто из десятков доверенных УЦ ещё работает с зоной .ru
Практический разбор для тех, у кого HTTPS сломался не из-за кривого конфига, а из-за санкций, доменной зоны и договора мелким шрифтом.
Проблема с TLS-сертификатом редко выглядит драматично изнутри. Вчера сайт открывался, сегодня браузер ругается, мониторинг пищит, пользователи пишут в поддержку. А администратор внезапно узнаёт, что домен, юрлицо, страна регистрации, платёжный метод и корневой центр связаны куда сильнее, чем хотелось бы. Человечество, как обычно, взяло простой технический механизм и навесило на него санкции, экспортный контроль, корневые хранилища браузеров и договоры на английском мелким шрифтом.
Если Let’s Encrypt, DigiCert или другой удостоверяющий центр отказал в выпуске, перевыпуске или продлении, причина не всегда в настройках сервера. Отказ бывает двух сортов. Технический: не прошла проверка домена, мешает CAA-запись, ошиблись с DNS. Правовой: санкции, доменная зона, адрес организации, совпадение с запрещённой стороной. Для обычного сайта всё выглядит одинаково — HTTPS падает. Для бизнеса разница огромна: техническую ошибку чинят за час, а санкционный отказ иногда нельзя обойти легально вообще.
Почему сертификат могли заблокировать или не продлить
TLS-сертификат подтверждает, что сервер владеет доменом, и помогает зашифровать соединение между сайтом и посетителем. Публичный сертификат должен цепляться к корню, который признают браузеры и операционные системы. Пока цепочка цела, посетитель видит нормальный HTTPS. Когда цепочка рвётся, браузер показывает предупреждение, мобильное приложение теряет соединение, а корпоративный клиент начинает подозревать всё подряд, включая провайдера, прокси, антивирус и карму.
Технический отказ чаще связан с проверкой владения доменом: DNS-запись не появилась, веб-сервер не отдаёт проверочный файл, IPv6 ведёт на другой узел, CDN прячет нужный ответ, а в CAA разрешён единственный центр. Лечится быстро. Правовой отказ означает, что центр не хочет или не может обслуживать конкретное юрлицо, доменную зону, страну, госструктуру или связанную компанию. Добавлением TXT-записи такое не лечится в принципе.
Старую привычку «поставил и забыл» убивает CA/Browser Forum
Многие годами ставили сертификат раз в год и вспоминали про него только после красного письма от мониторинга. Этот режим умирает. CA/Browser Forum принял бюллетень SC-081v3, по которому максимальный срок публичных TLS-сертификатов снижается ступенчато: 200 дней с 15 марта 2026 года, 100 дней с 15 марта 2027 года и 47 дней с 15 марта 2029 года. Параллельно режут сроки переиспользования данных проверки: для subject identity information (данные организации в OV/EV) — до 398 дней с марта 2026 года, для проверки домена и IP — ещё короче, с дальнейшим снижением. Бьёт это в первую очередь по крупным компаниям, которым продают «солидные» сертификаты с проверкой организации.
Вывод простой: ручное продление превращается из неприятной рутины в производственный риск. С 47 днями речь идёт о замене раз в шесть-семь недель, около восьми раз в год на каждый сертификат. Без автоматизации это самодельная машинка для аварий.
Что на самом деле изменилось у Let’s Encrypt в 2026 году
Let’s Encrypt остаётся самым удобным вариантом для большинства обычных сайтов: бесплатно, автоматически, через ACME, без переписки с менеджером. В 2026 году вокруг сервиса стало больше шума, и здесь важно не повторять громких пересказов в духе «Let’s Encrypt заблокировал Россию».
Что произошло на самом деле: вышла версия 1.7 соглашения от 4 июня 2026 года. В раздел 3.1 добавили санкционную гарантию: подписчик подтверждает, что не находится, не зарегистрирован и обычно не проживает на территории под комплексными санкциями США, не является запрещённой или ограниченной стороной и не действует от её лица. Там же ISRG оставляет за собой право отказать по любой законной причине. Это подтверждают независимые разборы соглашения.
И отдельно про сами санкции, потому что здесь легко перегнуть. США делят ограничения на комплексные (как по Кубе, Ирану, КНДР и отдельным регионам Украины) и адресные либо секторные. Россия — это режим значительных, секторных и точечных мер, а не сплошное эмбарго всей территории уровня Кубы или КНДР. Поэтому для российского сайта риск отказа зависит не от самой зоны .ru, а от владельца, юрлица, контролирующих лиц, государственного участия, банков и связей с санкционными списками. Для частного проекта и обычной компании вне списков Let’s Encrypt чаще всего отрабатывает даже на домене .ru. Для госструктур, банков и организаций из санкционных списков риск кратно выше, и вчерашний успешный выпуск не гарантирует завтрашнее продление.
GlobalSign, DigiCert и Sectigo: кто действительно режет зоны
Здесь важно не валить всех в одну кучу. GlobalSign — это центр с санкционным контролем, а не «истребитель зоны .ru». Корпоративно это японская GMO GlobalSign K.K., а связанные площадки по сертификату ISO перечислены в Великобритании, Бельгии, США, Индии, Сингапуре и других странах. Компания заявляет, что соблюдает применимые санкционные правила и проверяет рискованные признаки, но публичного запрета именно доменной зоны .ru, как у американцев ниже, не вводила. На практике российское юрлицо или подсанкционная сторона может не пройти проверку, но механика здесь «отсекаем подозрительного клиента», а не «рубим зону скопом».
DigiCert формулирует ограничения прямо. В справке по странам и регионам компания приостанавливает выпуск и перевыпуск всех типов сертификатов, связанных с Россией и Беларусью. В список ограниченных зон входят .ru, .рф, .su, .ru.com, .ru.net, .moscow, .москва, .рус, .tatar, .by, .бел и связанные домены, а также организации с адресом в РФ или РБ.
Sectigo на официальной странице прямо указывает Россию в списке стран, для лиц и организаций которых сертификаты не выпускаются по экспортным ограничениям США. Детализацию по конкретным зонам .ru, .su, .рф, .by удобнее смотреть в сводных списках и у посредников: официальная страница перечисляет страну, но не расписывает все доменные зоны так детально. Через посредников результат тот же — корень всё равно проверит выпуск.
А нельзя ли просто взять другой доверенный УЦ?
Самый частый вопрос, и здесь сидит главное заблуждение. Доверенных центров не семь, а десятки. В корневых программах Mozilla, Microsoft, Apple и Chrome лежат десятки организаций. По одному только голосованию в CA/Browser Forum виден состав: Actalis, Buypass, Certum, D-Trust, DigiCert, Disig, eMudhra, Entrust, GDCA, GlobalSign, GoDaddy, HARICA, iTrusChina, Izenpe, JPRS, Kamu SM, Let’s Encrypt, SECOM, Sectigo, SSL.com, SwissSign, Telia и другие — и это лишь голосующие, а не весь список корней.
Ограничитель — не количество центров, а юрисдикция. Признание корня браузером и готовность центра выпустить вам сертификат — две независимые вещи. Большинство публично признанных центров зарегистрировано в США, ЕС, Великобритании, Канаде, Норвегии, Швейцарии и Японии — то есть там, где действуют санкции США и ЕС. Дальше нюанс, который часто упрощают: санкционный режим ЕС не означает автоматический запрет на выпуск TLS для любого .ru или любого российского юрлица. Греция — член ЕС, Норвегия не член, хотя имплементирует санкции ЕС через свои механизмы. На практике европейские центры работают в санкционной среде, поэтому возможны отказы по итогам проверки клиента (KYC), ограничения по платежам и связанным лицам. Прямой запрет именно по зоне .ru нужно проверять у конкретного центра, а не считать его данностью.
Формальные дыры остаются у неевропейских и неамериканских центров — китайских, индийских, турецких. Под западные санкции они напрямую не подпадают. Но это не лазейка, а смена одного риска на другой. Во-первых, признание таких корней зависит от конкретного корня, цепочки, продукта и версии платформы, и его нужно сверять в Chrome Root Store и Mozilla CCADB перед использованием. Во-вторых, у части китайских центров есть документированная история потери доверия за злоупотребления: CNNIC лишили доверия в 2015 году после выдачи промежуточного сертификата, который использовали для атаки «человек посередине», а WoSign и StartCom потеряли доверие в 2016–2017 годах за бэкдейтинг сертификатов и сокрытие сделки. Браузеры вообще регулярно отзывают доверие у центров за нарушения — Symantec в 2018-м, Entrust в 2024-м. В-третьих, переводя корпоративную инфраструктуру на такой центр, бизнес фактически отдаёт контроль над цепочкой доверия структуре в другой юрисдикции с собственными интересами. «Технически доступно» и «разумно ставить в прод» — разные вещи.
Российские сертификаты Минцифры и частная PKI
Для российских организаций главный локальный вариант — TLS-сертификаты Национального удостоверяющего центра Минцифры, которые юрлица получают бесплатно через Госуслуги. Здесь прячется подвох, ради которого стоит читать весь текст: «сертификат выпущен» и «сертификату доверяет весь интернет» — это два разных режима, а не два названия одного и того же.
Признание внутри России означает, что сертификат работает там, где корень НУЦ уже стоит и принят: в российских браузерах с предустановленным корнем (Яндекс.Браузер), в корпоративной среде с заранее розданными корнями, на устройствах, куда корень добавили вручную. Признание основными браузерами и ОС по умолчанию — совсем другое. Корень НУЦ Минцифры не входит ни в одну крупную корневую программу. Россия пыталась — большие браузеры её центр не приняли, потому что включение в Chrome, Mozilla, Apple и Microsoft требует аудитов, прозрачности, журналов Certificate Transparency и доверия к управлению.
Поэтому для банка, госуслуги или внутреннего портала с российской аудиторией такой сертификат может быть рабочим. Для сервиса с клиентами из Европы, Азии и США, с мобильными приложениями, без предустановленного корня — зарубежный Chrome, Safari, Firefox, Android или iOS покажут предупреждение о недоверенной цепочке.
Частная PKI — это когда вы сами становитесь удостоверяющим центром и раздаёте свой корень на рабочие станции, серверы и мобильные устройства. Полный контроль, независимость от публичных центров, любая доменная зона. Цена — такому сертификату доверяют только устройства, которыми вы управляете. Для внутренних систем и закрытых контуров вариант идеальный, для публичного сайта со случайной аудиторией бесполезный: чужой браузер не обязан принимать ваш корень.
Большая сравнительная таблица: кто может выпустить сертификат на .ru
Практическая карта рынка, разбитая на четыре группы. Зону .ru и российское юрлицо мы развели в две отдельные колонки, потому что это разные причины отказа: DigiCert, например, режет и по доменной зоне, и по адресу организации, а у Let’s Encrypt проблема не в зоне, а в санкционном статусе владельца. Для каждого центра дана ссылка на источник.
Удостоверяющие центры и доступность для российских доменов и юрлиц
Статус указан на середину 2026 года. ✓ нет запрета подтверждено по источникам либо публичного запрета нет. ! проверять требует ручной проверки, основание указано в строке. × запрет / ушёл явный запрет или уход с рынка. ■ контур признаётся только внутри управляемой среды.
| Удостоверяющий центр | Юрисдикция | Признание браузеров и ОС | Зона .ru | Российское юрлицо | Основание и примечание |
|---|---|---|---|---|---|
| Группа 1. Массовые глобальные УЦ | |||||
| Let’s Encrypt | США | Да, в корневых программах | ✓ нет запрета зоны | ! зависит от владельца | Бесплатно, ACME. В соглашении нет запрета зоны .ru; отказ возможен по санкционному статусу владельца и связанных лиц. |
| Google Trust Services | США | Да, в корневых программах | ! нет публичной политики | × через Google Cloud | Только через Google Cloud и Cloudflare, не розница. Новых клиентов Google Cloud из РФ не принимают. |
| DigiCert | США | Да, в корневых программах | × запрет | × запрет | Публичный запрет: .ru, .рф, .su, .ru.com, .ru.net и др., плюс юрлица с адресом в РФ или РБ. |
| Sectigo | США / Великобритания | Да, в корневых программах | × запрет | × запрет | Россия указана в списке restricted по экспортным ограничениям США. Через посредников отказ тоже. |
| GlobalSign | Япония (GMO) | Да, в корневых программах | ! нет публичного запрета зоны | ! может не пройти проверку | Санкционный контроль, а не запрет зоны. Связанные площадки находятся в Великобритании, Бельгии, США и других странах. |
| SSL.com | США | Да, в корневых программах | ! нет публичной политики | ! санкции США | Есть ACME. Публичного запрета зоны не подтверждено, решает проверка юрлица. |
| GoDaddy / Starfield | США | Да, в корневых программах | ! нет публичной политики | × ушёл с рынка РФ | Выпуск для российского юрлица крайне маловероятен. |
| Amazon Trust Services | США | Да, в корневых программах | ! только через AWS | × нет нового аккаунта AWS | С июня 2025 года ACM выдаёт экспортируемые сертификаты для использования вне AWS. Но новых аккаунтов из РФ нет с 2022 года. |
| Certainly (Fastly) | США | Да, в корневых программах | ! только через платформу | ! только через платформу | Сертификат живёт внутри CDN Fastly; самостоятельной розничной выдачи нет. |
| Группа 2. Европейские и региональные публично доверенные УЦ | |||||
| HARICA | Греция (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Бесплатно, ACME. Среда санкций ЕС: вероятен отказ по KYC, проверять у центра. |
| Certum | Польша (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Среда санкций ЕС. Текущую политику по РФ уточнять у центра. |
| D-Trust | Германия (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Государственная типография ФРГ. Среда санкций ЕС. |
| T-TeleSec | Германия (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | УЦ Deutsche Telekom. Среда санкций ЕС. |
| SwissSign | Швейцария | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента | Швейцария имплементирует санкции ЕС. Статус по РФ уточнять у центра. |
| Actalis | Италия (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Среда санкций ЕС. |
| Certigna | Франция (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Среда санкций ЕС. |
| certSIGN | Румыния (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Среда санкций ЕС. |
| Izenpe | Испания (ЕС) | Да, с ограничениями по части корней | ! нет запрета зоны | ! маловероятно | Региональный государственный УЦ; для внешних РФ-клиентов нереалистичен. |
| Microsec / e-Szignó | Венгрия (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Среда санкций ЕС. |
| NetLock | Венгрия (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Среда санкций ЕС. |
| Firmaprofesional | Испания (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Среда санкций ЕС. |
| MULTICERT | Португалия (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Среда санкций ЕС. |
| Группа 3. Китай и Азия | |||||
| CFCA | Китай | Зависит от корня и цепочки | ! нет розницы для .ru | ! внутренний рынок КНР | Под западные санкции не подпадает, но розничного канала для иностранных доменов нет. |
| TrustAsia | Китай | Зависит от корня, часть продуктов на DigiCert | ! зависит от корня | ! зависит от корня | Часть продуктов на корнях DigiCert, тогда наследует ограничения DigiCert. |
| SHECA / UniTrust | Китай | Зависит от корня и цепочки | ! нет розницы для .ru | ! внутренний рынок КНР | Признание сверять в CCADB; обслуживание РФ не налажено. |
| BJCA | Китай | Зависит от корня и цепочки | ! нет розницы для .ru | ! внутренний рынок КНР | То же. |
| GDCA | Китай | Зависит от корня, была история инцидентов | ! нет розницы для .ru | ! внутренний рынок КНР | Признание сверять в Chrome Root Store. |
| iTrusChina / vTrus | Китай | Зависит от корня и цепочки | ! нет розницы для .ru | ! внутренний рынок КНР | То же. |
| Chunghwa Telecom | Тайвань | Да, в корневых программах | ! нет розницы для .ru | ! внутренний рынок | Внешних РФ-клиентов не обслуживает. |
| TWCA | Тайвань | Да, в корневых программах | ! нет розницы для .ru | ! внутренний рынок | То же. |
| Cybertrust Japan | Япония | Да, в корневых программах | ! нет розницы для .ru | ! санкционный контроль | Япония входит в число союзников США, действует контроль по санкционным спискам. |
| SECOM | Япония | Да, в корневых программах | ! нет розницы для .ru | ! санкционный контроль | То же. |
| NAVER Cloud Trust Services | Южная Корея | Новый, сверять в CCADB | ! нет розницы для .ru | ! внутренний рынок | Молодой центр; политику и признание уточнять. |
| Kamu SM | Турция | Да, с ограничениями по части корней | ! нет розницы для .ru | ! госсектор Турции | Государственный УЦ Турции; внешних РФ-клиентов не обслуживает. |
| Группа 4. Российский контур | |||||
| НУЦ Минцифры | Россия | × нет по умолчанию Признаётся только там, где корень предустановлен: Яндекс.Браузер либо добавлен вручную. | ✓ да | ✓ да | Бесплатно для российских юрлиц через Госуслуги. Это доверие внутри РФ, а не глобальное доверие интернета. |
| Частная PKI | Ваш корень | ■ только ваши устройства | ✓ любая зона | ✓ да | Вы сами УЦ. Признают только устройства, куда вы раздали корень. Подходит для внутренних систем и закрытых контуров. |
Как проверить свой домен за 15 минут
Если сертификат горит прямо сейчас, рынок подождёт — сначала диагностика. Короткий чек, который проходится быстрее, чем читается этот раздел.
- Посмотрите эмитента текущего сертификата (issuer) — кто его выпустил и до какой даты он валиден.
- Проверьте CAA-записи домена: разрешён ли там нужный центр или прописан только старый.
- Загляните в журналы Certificate Transparency по своему домену — что и кем выпускалось.
- Запустите тестовый выпуск (test issuance) на резервном центре, который не запрещает вашу зону.
- Проверьте санкционный статус юрлица, владельцев и платёжной цепочки — это не задача DevOps, но без неё дальше гадание.
- Откройте сайт в нескольких браузерах и из разных стран: цепочка, которая валидна у вас, может рваться у клиента.
Что выбрать: коротко по сценариям
Обычная компания без санкционных рисков
Рынок широкий. Для обычного сайта первый выбор — Let’s Encrypt: бесплатно, ACME, ложится на Nginx, Apache, Kubernetes и панели хостинга. Если сайт за Cloudflare — управляемые сертификаты Cloudflare, который управляет выпуском и продлением через партнёрские центры (Let’s Encrypt, Google Trust Services, SSL.com, Sectigo; состав зависит от продукта и настроек). Для облаков — встроенные менеджеры: AWS Certificate Manager (с июня 2025 умеет экспортируемые сертификаты для нагрузок вне AWS), Google Cloud Certificate Manager. Не таскайте закрытый ключ по серверам руками, как будто 2007 год так и не закончился.
Российская компания без прямых санкций
Сначала отделите домен от юрлица и аудиторию от инфраструктуры. Домен в нейтральной зоне (.com) плюс зарубежное юрлицо без санкционных признаков — шансы на выпуск выше. Домен .ru/.рф плюс российская регистрация — DigiCert и Sectigo отпадают сразу по зоне. Разумно держать два сценария: основной публично признанный сертификат плюс резервный сертификат Минцифры на случай отказа в продлении. Резерв не заменит признание браузерами, но спасёт доступность для части пользователей внутри страны. Обход через подставные компании и номинальных владельцев обычно создаёт больше проблем, чем решает: центры отслеживают shell-компании, странные платежи, несоответствие IP заявленной локации и личные почты вместо корпоративных.
Санкционная организация
Западный рынок публично признанных сертификатов может быть закрыт целиком или частично, и «купить у другого продавца» обычно заканчивается тем же отказом, только позже и дороже. Реалистичный путь: российские сертификаты для национального контура, частная PKI для внутренних систем и юридически чистая архитектура для зарубежных сервисов, если зарубежный контур вообще законен и нужен. Для критичного сайта нужен юридический разбор санкционного статуса организации, владельцев, домена и платёжной цепочки, а не только DevOps-героизм.
Как снизить риск отказа и простоя
Инвентаризация. Найдите все публичные сертификаты, включая забытые админки, старые поддомены, API, почтовые шлюзы, VPN-порталы, балансировщики, входы Kubernetes и тестовые стенды. В компаниях часто падает не главный сайт, а «маленький сервис для партнёров», через который проходит половина денег. Забытая система мстит тише, но больнее.
Автоматизация. ACME везде, где можно: Certbot или acme.sh для серверов, cert-manager для Kubernetes, менеджеры жизненного цикла для корпоративной среды. Автоматизация должна не просто получать файл, а ставить сертификат, перезагружать сервис, проверять цепочку и уведомлять команду при сбое.
Резервный центр. Для критичных доменов нельзя держать единственный путь выпуска. Проверьте, выдаст ли второй центр сертификат для того же домена, не мешают ли CAA, проходит ли проверка через DNS-01, есть ли доступ к DNS у дежурной смены. Для России отдельно прогоните сценарий с сертификатом Минцифры и честно оцените долю аудитории, которая откроет сайт без ручной установки корня.
Ошибки, которые ломают HTTPS даже без санкций
CAA на один центр. Запись ограничивает список центров, которым разрешён выпуск для домена. Полезно, но если прописан только старый поставщик, новый получит отказ. При аварийной миграции на поиск проблемы уходят часы, хотя причина в одной строке DNS.
Ручной Wildcard без DNS-доступа. Wildcard почти всегда требует проверку DNS-01, то есть команда должна уметь быстро добавлять TXT-записи. Если DNS ведёт подрядчик, владелец домена в отпуске, а доступы лежат в личной почте уволившегося сотрудника — сертификат не продлится. Технологии XXI века снова проигрывают табличке с паролями у человека, которого давно нет в компании.
Путаница CDN и origin. Пользователь видит сертификат Cloudflare, но Cloudflare ходит к вашему серверу по другому соединению. Если на исходном сервере просроченный, самоподписанный или слабый сертификат, в строгом режиме соединение упадёт. Проверять нужно всю цепочку: браузер — CDN — балансировщик — приложение.
Практический план на случай блокировки
Когда сертификат уже не выпускается, не меняйте всё подряд. Сначала прочитайте точную ошибку ACME-клиента или кабинета. Ошибка проверки домена, ошибка CAA, запрет политики и санкционный отказ ведут к разным решениям. Лечить санкционный отказ TXT-записью бессмысленно, примерно как спорить с банкоматом о международном праве.
- Проверьте срок действия текущего сертификата, цепочку, OCSP/CRL и предупреждения браузеров через SSL Labs или аналог.
- Посмотрите CAA-записи и добавьте разрешение для нового центра, если меняете поставщика.
- Попробуйте второй публично признанный центр, который не запрещает вашу зону и юрлицо.
- Если домен российский — заранее проверьте выпуск сертификата Минцифры через Госуслуги.
- Если сервис закрытый — рассмотрите частную PKI и установку корпоративного корня на управляемые устройства.
- Зафиксируйте отказ: текст ошибки, дату, домен, юрлицо. Пригодится юристам, поддержке и при выборе резервного центра.
После восстановления доступа задачу не закрывайте. Добавьте мониторинг за 30, 14, 7 и 3 дня до истечения, проверьте автопродление на тестовом домене, заведите резервный ACME-профиль, ограничьте доступ к закрытым ключам и опишите процедуру смены центра. С 47-дневными сертификатами ручное управление почти гарантированно станет генератором аварий.
Короткий вывод
Публично признанных центров десятки, но для конкретного российского домена выбор определяет не их число, а юрисдикция и санкции. Для неподсанкционной компании на нейтральном домене рынок широкий. Для .ru среди массовых автоматизированных вариантов чаще всего остаётся Let’s Encrypt — если владелец не подпадает под санкционные ограничения; коммерческие и платформенные центры нужно проверять отдельно. Для подсанкционного юрлица западный рынок закрыт целиком или частично, и остаётся российский контур плюс частная PKI. Главное — не ждать ночи перед истечением. TLS давно перестал быть «поставил и забыл»: теперь сертификат — такой же живой элемент инфраструктуры, как DNS, почта и платежи, только падает он обычно в самый мерзкий момент.
Частые вопросы
Let’s Encrypt заблокировал российские домены?
Зона .ru сама по себе в соглашении как запрещённая не названа. Версия 1.7 от 4 июня 2026 года добавила санкционную гарантию подписчика, но это юридическое обязательство, а не автоматическая техническая блокировка зоны. Отказ возможен из-за санкционного статуса владельца, связанной организации, государственного участия, экспортных ограничений или внутренней политики ISRG, который вправе отказать по законной причине.
Если доверенных центров десятки, почему нельзя взять любой другой?
Ограничитель — юрисдикция, а не количество центров. Большинство публично признанных УЦ работает в США, ЕС, Великобритании, Канаде, Норвегии, Швейцарии и Японии и действует в санкционной среде. Прямого запрета по .ru у многих нет, но российское юрлицо может не пройти проверку клиента. Неевропейские центры формально свободнее, но признание их корней зависит от конкретной цепочки, а обслуживание РФ-клиентов у них не налажено.
Можно ли заменить DigiCert или Sectigo на другой коммерческий центр для .ru?
Для обычной зарубежной компании — да, при корректной проверке домена и CAA. Для российского юрлица или домена .ru/.рф — чаще нет: DigiCert и Sectigo прямо указывают ограничения по России и Беларуси, а европейские центры действуют в санкционной среде ЕС. Статус нужно проверять у конкретного поставщика.
Сертификат Минцифры заменяет международный TLS-сертификат?
Только частично. Он работает там, где установлен и принят корень НУЦ Минцифры: российские браузеры с предустановленным корнем, корпоративная среда, устройства с добавленным вручную корнем. По умолчанию ни Chrome, ни Safari, ни Firefox, ни Edge корню НУЦ не доверяют, поэтому зарубежные браузеры и мобильные устройства покажут предупреждение.
Что важнее всего сделать до сокращения срока сертификатов?
Составить список всех сертификатов, включить автоматическое продление, проверить CAA-записи, настроить мониторинг срока и подготовить резервный центр. После перехода к 100 и 47 дням ручное продление станет слишком рискованным. Частная PKI под правила CA/Browser Forum не подпадает — там сокращение срока не действует.
Чем опасна установка государственного корневого сертификата?