Российские IT-гиганты работают над созданием замены западным сертификатам для подписи ПО

Предпосылки: от угрозы к действию

Толчком к ускорению разработки послужил инцидент, произошедший в июне 2026 года. Японский удостоверяющий центр GlobalSign, следуя обновленным требованиям международного консорциума CA/Browser Forum, начал массовый принудительный отзыв SSL/TLS-сертификатов у российских сайтов, попавших под санкционные списки США и ЕС. Под угрозой блокировки или отображения предупреждений о небезопасном соединении в зарубежных браузерах оказались от 15 до 20 тысяч доменов.

Этот прецедент наглядно продемонстрировал уязвимость российской цифровой инфраструктуры перед решениями иностранных компаний. Участники рынка обоснованно опасаются, что следующим шагом может стать отзыв сертификатов подписи программного кода, что создаст прямую угрозу работоспособности и безопасности отечественных программных продуктов. Подобные точечные случаи уже фиксировались ранее, в частности, со стороны Apple в 2023 году.

Ход работ и ключевые игроки

Для выработки системного решения была сформирована рабочая группа «Единое пространство доверия», действующая на базе Национального технологического центра цифровой криптографии. В её состав вошли ведущие российские компании-разработчики: «РусБИТех-Астра» (ГК «Астра»), «Сбертех» (дочерняя структура Сбера), «Базальт СПО», «Открытая мобильная платформа» (входит в «Ростелеком»), «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и другие.

Итогом их работы станет Отраслевой технологический удостоверяющий центр (ОТУЦ), призванный заменить ушедшие западные сервисы. Как заявил генеральный директор «КриптоПро» Станислав Смышляев, один из руководителей группы, ОТУЦ уже функционирует в тестовом режиме с ноября 2025 года. Крупные игроки, включая разработчиков ОС Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора», а также производителей ПО, успешно протестировали полный цикл: получение сертификата, подпись своих продуктов и их взаимную проверку.

Техническая суть проблемы

Цифровая подпись кода — это электронная метка, подтверждающая подлинность программы и неизменность её кода с момента выпуска. Отзыв сертификата, которым заверена эта подпись, означает, что операционная система (Windows, macOS, iOS) перестанет доверять программе. Это может привести к полной блокировке запуска или, в лучшем случае, к отображению предупреждения о небезопасном издателе.

В случае такого сценария у разработчика остается неудовлетворительный выбор: либо полностью убрать подпись, сделав свой софт уязвимым для вредоносных модификаций, либо искать альтернативные сертификаты у небольших иностранных компаний, не соблюдающих санкции.

Последствия и реакция

Эксперты предупреждают, что массовый отзыв сертификатов подписи кода может привести к «остановке конвейера поставки» софта пользователям, лишив их новых функций и, что критически важно, обновлений безопасности. Особенно уязвимыми окажутся компании, чьи продукты работают в среде Windows, которая, по данным аналитиков, до сих пор используется более чем в 80% российских организаций.

В Минцифры России подтвердили наличие технической возможности выпуска отечественных сертификатов. Ведомство сообщило, что Национальный удостоверяющий центр (НУЦ) получил соответствующие полномочия. Также успешно пилотируется использование сертификатов на основе российского криптографического стандарта ГОСТ в ОС Linux и даже Android.

Разработка ОТУЦ знаменует собой создание критически важного элемента цифровой инфраструктуры страны — собственной системы доверия для программного обеспечения. По аналогии с созданием национальной платежной системы, этот проект призван обеспечить устойчивость российского софта к внешним ограничениям, гарантируя его безопасность и работоспособность вне зависимости от решений зарубежных компаний. Переход на отечественные сертификаты — стратегический шаг для укрепления технологического суверенитета России в условиях усиливающегося санкционного давления.