Минцифры России заявило, что в случае отзыва международных сертификатов безопасности у российских сайтов владельцы смогут быстро оформить отечественные аналоги. Процедура доступна бесплатно через портал «Госуслуги». Добавить такой сертификат можно вручную в браузере у пользователя, через гибридные схемы доверия или двойные сертификаты, однако это позволит работать лишь точечно, исключая системное масштабирование на миллионы пользователей сети интернет.
Ведомство уточняет, что при утрате зарубежных сертификатов доступна выдача российских через Национальный удостоверяющий центр Минцифры. Заявку можно подать онлайн.
Речь идёт о TLS-сертификатах типов DV и OV, которые отвечают за защищённое соединение между сайтом и пользователем и обеспечивают шифрование передаваемых данных.
В министерстве пояснили, что выпуск таких сертификатов осуществляется на безвозмездной основе с применением криптографических алгоритмов RSA и ГОСТ.
Получить сертификат могут как физические и юридические лица, так и индивидуальные предприниматели. Для этого необходимо подать заявление через портал «Госуслуги».
Использование таких сертификатов на бытовом уровне практически не имеет смысла для веб-порталов, открываемых пользователями через привычные браузеры в общепринятых операционных системах. Коротко: проблема не в том, что сертификаты Минцифры «плохие», а в том, что браузеры им просто не доверяют по умолчанию. И это решающий момент.
1. Браузеры доверяют только своим «корневым центрам»
Chrome, Firefox, Safari, Edge работают по одной логике: в системе уже встроен список доверенных корневых удостоверяющих центров (Root CA).
Если сайт использует сертификат, подписанный таким центром — соединение считается безопасным.
Если центра нет в списке доверенных — браузер показывает ошибку, даже если технически шифрование есть.
2. Сертификаты Минцифры не входят в мировые trust store
Сертификаты, которые выпускает инфраструктура Минцифры РФ (через национальный удостоверяющий центр), не включены в:
- Mozilla Root Store (Firefox)
- Microsoft Trusted Root Program (Edge/Windows)
- Apple Root Program (Safari/macOS/iOS)
- Google Root Store (Chrome использует собственную политику доверия)
Причина не техническая, а организационно-политическая: эти системы доверия формируются независимо и проходят строгую международную процедуру аудита и сертификации.
3. Без доверенного корня цепочка HTTPS «ломается»
HTTPS работает как цепочка:
Сайт → сертификат → промежуточный CA → корневой CA → браузер доверяет
Если корневого CA нет в браузере, цепочка обрывается.
И тогда:
- соединение помечается как “Not secure”
- доступ может быть заблокирован полностью (особенно в корпоративных политиках и современных версиях браузеров)
- пользователь получает предупреждение о возможной атаке
4. Можно добавить вручную — но это не массовое решение
Технически сертификат можно установить вручную в доверенные на конкретном устройстве.
Но это:
- требует действий от пользователя или администратора
- не масштабируется на миллионы пользователей
- опасно (создаёт поверхность для MITM-атак при неправильной настройке)
Поэтому для публичного интернета это не работает как стандарт.
Сайты на сертификатах Минцифры могут работать внутри закрытых контуров (госсистемы, корпоративные сети, ведомственные сервисы), но в глобальном интернете браузеры их не будут считать безопасными, потому что:
- нет доверенного корневого центра в браузерах
- нет встроенной цепочки доверия
- нет глобальной сертификации уровня публичных CA
Подписывайтесь на наш 
