GlobalSign начал процедуру принудительного отзыва ранее выпущенных SSL-сертификатов у российских компаний. Это может привести к предупреждениям в браузерах о небезопасном соединении и кратковременной недоступности сайтов, пока владельцы не перевыпустят сертификаты.

О начале отзыва сообщил РБК со ссылкой на письмо главы российского юрлица компании партнёрам и источники на рынке хостинга. Причина — новые требования международного консорциума CA/Browser Forum: проверка организаций по санкционным спискам стала обязательной для центров сертификации.

Что произошло

SSL/TLS-сертификат подтверждает подлинность сайта и шифрует передачу данных между пользователем и сервером. Для посетителя его наличие обычно видно по значку замка в браузере. Если сертификат отозван, браузер может показать предупреждение о риске или вовсе заблокировать доступ к сайту.

Согласно данным РБК, после вступления новых правил в силу GlobalSign провёл аудит своего портфеля и начал принудительный отзыв части сертификатов у клиентов из России. В Минцифры заявили, что в худшем случае сайты и онлайн-сервисы могут быть недоступны непродолжительное время, пока владельцы получают новые сертификаты.

Насколько это масштабно

Минцифры, ссылаясь на открытые источники, оценивает долю GlobalSign в рунете менее чем в 5%. Но участники рынка говорят, что в коммерческом сегменте западных сертификатов зависимость от этого центра была значительно выше: по оценке Astra Cloud, около 90%.

Это означает, что массового отключения всего рунета не будет, но для отдельных компаний риск вполне прикладной — особенно если сертификаты GlobalSign использовались на основном сайте, в личном кабинете, на платёжных страницах, API, корпоративной почте или поддоменах сервисов.

Что важно для бизнеса и маркетинга

Проблема с сертификатом — это не только вопрос безопасности, но и прямой удар по трафику и конверсии. Если браузер показывает предупреждение о небезопасном соединении, часть пользователей просто не зайдёт на сайт. Для интернет-магазинов и сервисов это означает потери заявок, оплат и обращений.

Для SEO последствия тоже ощутимы. Если сайт временно недоступен или отдаёт ошибки из-за проблем с HTTPS, это может повлиять на обход страниц роботами Google и Яндекса. При длительных сбоях возможны просадки по индексации, ухудшение поведенческих сигналов и падение эффективности рекламного трафика, который ведёт на проблемные страницы.

Что делать владельцам сайтов в России

Российским юрлицам доступны отечественные TLS-сертификаты, которые можно получить бесплатно через Госуслуги, напомнили в Минцифры. После волны отзывов иностранных сертификатов в 2022 году этот механизм уже стал базовой альтернативой для части рынка.

При этом важно учитывать практическую сторону: нужно не просто выпустить новый сертификат, а заранее проверить, где именно используется текущий. У многих компаний сертификаты стоят не только на основном домене, но и на CDN, поддоменах, внутренних сервисах, почтовых шлюзах, CRM-интеграциях и внешних лендингах.

Что стоит проверить в первую очередь

  • какой центр сертификации выпустил сертификат для основного домена и поддоменов;
  • срок действия сертификатов и наличие уведомлений об отзыве;
  • используется ли GlobalSign в почтовых, API и платёжных сервисах;
  • настроено ли автоматическое продление и кто отвечает за перевыпуск;
  • нет ли жёсткой привязки к иностранному удостоверяющему центру у подрядчиков или хостинг-провайдера.

Как это связано с Google и Яндексом

Для специалистов, работающих одновременно с Google и Яндексом, вывод простой: HTTPS остаётся обязательной базой для нормальной индексации, доверия пользователей и стабильной работы рекламы. Если сертификат отозван, проблемы будут одинаково заметны и в Google Chrome, и в Яндекс Браузере, а значит — затронут и органический, и платный трафик.

Отдельно стоит учитывать июньское обновление условий Let's Encrypt. Компания добавила в соглашение запрет на выдачу сертификатов резидентам стран под полномасштабными санкциями США, но затем уточнила, что для России сертификаты останутся доступны, кроме российского правительства. Это снижает риск немедленного дефицита бесплатных сертификатов, но показывает общий тренд: зависимость от зарубежной инфраструктуры остаётся уязвимостью.

Что это значит на практике

Отзыв сертификатов GlobalSign — это сигнал для бизнеса, SEO- и PPC-специалистов срочно проверить всю HTTPS-инфраструктуру сайта и сервисов. Чем раньше компания подготовит альтернативный сертификат и план перевыпуска, тем меньше риск потерять трафик, заявки и позиции в Google и Яндексе из-за технического сбоя.

Совет эксперта Analito

Проверьте цепочку сертификатов для основного домена, поддоменов, API, почты и платёжных страниц: кто выпустил сертификат, когда он истекает и нет ли признаков отзыва. Если используется GlobalSign, подготовьте альтернативный сертификат и окно для быстрого перевыпуска без простоя.

Добавьте технический мониторинг HTTPS: проверку валидности сертификата, срока действия, ошибок TLS и доступности сайта из браузера. Это поможет поймать проблему до того, как её увидят пользователи, рекламные системы и поисковые роботы.

Если сайт зависит от подрядчика, хостинга или CDN, запросите у них письменное подтверждение, какой удостоверяющий центр используется и как будет организована замена. Для проектов с SEO- и рекламным трафиком заранее проверьте, чтобы после перевыпуска не сломались редиректы, каноникал, robots.txt и счётчики Яндекс Метрики.

Частые вопросы

Как понять, что сайт использует сертификат GlobalSign?

Это можно проверить в браузере по данным сертификата или через SSL-проверку у хостинга и в внешних сервисах анализа сертификатов. Если сайт обслуживает подрядчик, лучше сразу запросить у него список всех используемых сертификатов.

Повлияет ли отзыв сертификата на позиции сайта в поиске?

Если проблема краткосрочная, эффект может быть ограниченным. Но при длительной недоступности или ошибках HTTPS возможны проблемы с обходом страниц роботами Google и Яндекса, а также потери трафика и конверсии.

Можно ли просто перейти на бесплатный сертификат и не потерять трафик?

Да, если перевыпуск сделан корректно и без простоя. Важно заранее проверить совместимость, автоматическое продление и то, что после замены не возникнут ошибки на поддоменах, в API и на страницах оплаты.