Российские ИТ-компании вместе с государственными регуляторами разрабатывают отечественную систему сертификации программного обеспечения на случай отзыва зарубежных сертификатов. По данным РБК, в пилотном режиме уже работает Отраслевой технологический удостоверяющий центр, который должен выдавать разработчикам сертификаты подписи кода.
Тема стала особенно актуальной после июня 2026 года, когда часть российских сайтов уже столкнулась с отзывом иностранных SSL-сертификатов. Для разработчиков ПО риск еще серьезнее: если сертификат подписи кода отозван, операционная система может заблокировать запуск программы или показать пользователю предупреждение о небезопасном издателе.
Что именно создают
Речь идет о системе, которая позволит российским разработчикам получать отечественные сертификаты подписи программного кода. Такая подпись подтверждает, что программу выпустил конкретный вендор и что ее код не был изменен после выпуска.
В рабочую группу, по информации РБК, входят «РусБИТех-Астра», «Сбертех», «Базальт СПО», «Открытая мобильная платформа», «КриптоПро», «ИнфоТекс», «Лаборатория Касперского» и другие участники рынка. Проект ведется совместно с ФСБ, Минцифры и ФСТЭК.
Что уже протестировали
По словам гендиректора «КриптоПро» Станислава Смышляева, пилотный режим работает с ноября 2025 года. За это время сертификаты получили и протестировали их в обмене и взаимной проверке «КриптоПро», «ИнфоТекс», «Код безопасности», «Лаборатория Касперского», «Сбертех», а также разработчики Astra Linux, «Альт», «РэдОС», Rosa и «Аврора».
Это означает, что рынок уже проверяет не только сам выпуск сертификатов, но и практический сценарий: подписать программу, передать ее партнерам и подтвердить подлинность на другой стороне.
Почему вопрос стал критичным
Крупные зарубежные провайдеры сертификатов подписи кода — Sectigo, DigiCert и GlobalSign — прекратили работать с российскими компаниями еще в 2022 году: перестали выдавать новые сертификаты и продлевать действующие. В 2023 году Apple также отзывала сертификаты у части подсанкционных компаний.
Дополнительным сигналом стал июнь 2026 года, когда некоторые российские сайты столкнулись с принудительным отзывом иностранных SSL-сертификатов. Причиной стало изменение требований к проверке организаций со стороны CA/Browser Forum, которое объяснили соблюдением международных санкций.
Для бизнеса это не абстрактная инфраструктурная проблема. Если зарубежный сертификат подписи кода отзывают, могут возникнуть сбои с установкой, запуском и обновлением программ. А отказ от подписи кода вообще повышает риск фишинга и распространения вредоносного ПО под видом легитимных приложений.
Главное ограничение: доверие со стороны Windows и macOS
Ключевая сложность в том, что в Windows и macOS нет российских корневых сертификатов, которым эти операционные системы доверяют по умолчанию. Эксперты отмечают, что Microsoft и Apple вряд ли будут добавлять такие корни доверия, поэтому для российского ПО придется искать отдельные механизмы подтверждения надежности.
Именно поэтому запуск отечественной системы сам по себе не решает вопрос полностью для всех платформ. Для Linux-дистрибутивов и контролируемых корпоративных сред задача выглядит проще, а вот для массового ПО под Windows и macOS проблема доверия останется одной из главных.
Что говорит государство
В Минцифры заявляют, что техническая возможность выпуска отечественных сертификатов уже есть. Кроме того, одобренный Советом Федерации законопроект по борьбе с кибермошенничеством предусматривает право Национального удостоверяющего центра Минцифры выпускать сертификаты подписи кода.
Фактически государство готовит правовую и техническую базу, чтобы снизить зависимость российских разработчиков от иностранных удостоверяющих центров.
Что это значит для digital-рынка и владельцев сайтов
Новость важна не только для разработчиков операционных систем и корпоративного ПО. Для владельцев бизнеса, агентств и специалистов по интернет-маркетингу это еще один сигнал, что зависимость от зарубежной инфраструктуры остается риском — от SSL-сертификатов сайта до подписанных десктопных приложений, браузерных расширений, мобильных сборок и внутренних корпоративных программ.
Если у компании есть собственные приложения, десктопные клиенты, плагины, кассовое ПО, CRM-модули или программы для партнеров, стоит заранее проверить, какими сертификатами они подписаны, когда истекает срок их действия и что произойдет при отзыве. Для SEO- и PPC-специалистов это тоже практический вопрос: проблемы с сертификатами сайта или приложений могут влиять на доступность страниц, доверие пользователей, установку софта и конверсию.
Для работы в России вывод двойной. С одной стороны, бизнесу нужно следить за устойчивостью инфраструктуры и не полагаться только на зарубежные сертификаты. С другой — в проектах, ориентированных и на Яндекс, и на Google, важно заранее продумать резервные сценарии для доменов, приложений, аналитических скриптов и обновлений ПО, чтобы технические ограничения не ударили по трафику и продажам.
На практике это событие означает одно: российским компаниям стоит уже сейчас проводить аудит сертификатов и цепочек доверия в своих цифровых продуктах, особенно если от них зависят продажи, реклама, SEO-трафик и клиентский доступ к сервисам.
Проверьте, какие сертификаты используются у сайта, приложений, расширений и десктопного ПО компании: кто издатель, когда истекает срок, есть ли риск отзыва и предусмотрен ли сценарий замены без остановки обновлений.
Если бизнес распространяет собственное ПО или внутренние корпоративные сборки, зафиксируйте зависимость от зарубежных удостоверяющих центров и подготовьте резервный план: альтернативную подпись, отдельный канал доставки обновлений и инструкции для пользователей.
Для маркетинговых и SEO-команд важно добавить сертификаты в технический аудит проекта: проблемы с HTTPS, предупреждения браузера или блокировка загрузок напрямую бьют по индексации, доверию к бренду и конверсии.
Частые вопросы
Это касается только разработчиков ПО или обычных сайтов тоже?
Напрямую новость касается подписи программного кода, но для сайтов риск тоже актуален: в июне 2026 года часть российских ресурсов уже столкнулась с отзывом иностранных SSL-сертификатов.
Решит ли российская система проблему для Windows и macOS?
Не полностью. Главная сложность в том, что эти операционные системы по умолчанию не доверяют российским корневым сертификатам, поэтому потребуются дополнительные механизмы доверия.
Что делать бизнесу, если есть собственное приложение или программа для клиентов?
Нужно заранее проверить, каким сертификатом подписан продукт, когда он истекает и как будет организована замена или обновление, если иностранный сертификат отзовут.