РБК: российские ИТ-компании разрабатывают отечественную систему сертификации ПО — на случай отзыва зарубежных сертификатов
В июне 2026 года с отзывом SSL-сертификатов уже столкнулись некоторые российские сайты.
Фото РБК
- Участники ИТ-рынка совместно с ФСБ, Минцифры и ФСТЭК работают над системой сертификации кода. Они разрабатывают Отраслевой технологический удостоверяющий центра (ОТУЦ), который должен выдавать российским разработчикам сертификаты подписи ПО, узнало РБК.
- В состав рабочей группы входят «РусБИТех-Астра» (часть ГК «Астра»), «Сбертех» («дочка» «Сбера»), «Базальт СПО», «Открытая мобильная платформа» («дочка» «Ростелекома»), «КриптоПро», «ИнфоТекс», «Лаборатория Касперского» и др.
- По словам одного из руководителей рабочей группы, гендиректора «КриптоПро» Станислава Смышляева, ОТУЦ уже работает в пилотном режиме. С ноября 2025 года систему протестировали «КриптоПро», «ИнфоТекс», «Код безопасности», «Лаборатория Касперского», «Сбертех», а также разработчики операционных систем Astra Linux, «Альт», «РэдОС» , Rosa и «Аврора». Они получили сертификаты, подписали свои программы и обменялись ими для взаимной проверки.
Цифровая подпись программного кода — это электронная метка подлинности, которая подтверждает, что программу выпустил конкретный разработчик, а её код не был изменен, например, хакерами. Сейчас российские компании в основном зависят от сертификатов западных удостоверяющих центров, отмечает РБК.
- При отзыве сертификата операционные системы перестают доверять подписи и либо полностью блокируют запуск программы, либо показывают предупреждение о небезопасном издателе.
- В июне 2026 года с принудительным отзывом иностранных SSL-сертификатов безопасности столкнулись некоторые российские сайты. Международный консорциум CA/Browser Forum, куда входят крупнейшие центры сертификации и разработчики, браузеров изменил требования к проверке организаций. Решение объяснили соблюдением международных санкций.
- Крупнейшие провайдеры сертификатов подписи кода — американские Sectigo и DigiCert, а также японская GlobalSign — прекратили работать с российскими компаниями ещё в 2022 году. Они перестали выдавать новые сертификаты и продлевать действующие. А в 2023 году удостоверяющий центр Apple отозвал сертификаты у некоторых подсанкционных компаний.
- При этом в Windows и macOS нет единых российских «корней доверия» — главных сертификатов, которым операционные системы доверяют по умолчанию, поясняют эксперты. Microsoft и Apple вряд ли будут добавлять их в свои ОС, поэтому для них нужно разработать «иные механизмы обеспечения доверия [российскому] ПО».
- В Минцифры говорят, что на случай отзыва иностранных сертификатов «есть техническая возможность выпуска отечественных». По словам представителя министерства, недавно одобренный Советом Федерации законопроект по борьбе с кибермошенничеством среди прочего наделяет Национальный удостоверяющий центр Минцифры правом выпускать сертификаты подписи кода.
- Однако участники ИТ-рынка предупреждают, что в случае отзыва иностранных сертификатов последствия для российских разработчиков «могут быть критическими». Например, возникнут проблемы с запуском и обновлениемроссийского ПО в Windows и других ОС. А полный отказ от подписи кода создаст «благоприятную среду» для распространения фишинговых и вредоносных программ.