惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
SegmentFault 最新的问题
The Last Watchdog
The Last Watchdog
C
Cisco Blogs
L
LINUX DO - 热门话题
T
Tenable Blog
D
Darknet – Hacking Tools, Hacker News & Cyber Security
Cyberwarzone
Cyberwarzone
O
OpenAI News
The Hacker News
The Hacker News
V
Vulnerabilities – Threatpost
A
Arctic Wolf
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Vercel News
Vercel News
量子位
V2EX - 技术
V2EX - 技术
GbyAI
GbyAI
W
WeLiveSecurity
Recorded Future
Recorded Future
P
Proofpoint News Feed
Project Zero
Project Zero
P
Palo Alto Networks Blog
Microsoft Security Blog
Microsoft Security Blog
S
Security Affairs
Stack Overflow Blog
Stack Overflow Blog
B
Blog
Y
Y Combinator Blog
月光博客
月光博客
K
Kaspersky official blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Latest news
Latest news
Forbes - Security
Forbes - Security
T
Troy Hunt's Blog
T
The Blog of Author Tim Ferriss
C
Check Point Blog
D
DataBreaches.Net
MyScale Blog
MyScale Blog
博客园 - 三生石上(FineUI控件)
博客园 - 聂微东
D
Docker
P
Privacy International News Feed
C
Cybersecurity and Infrastructure Security Agency CISA
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
C
Cyber Attacks, Cyber Crime and Cyber Security
S
Securelist
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
雷峰网
雷峰网
SecWiki News
SecWiki News
腾讯CDC
博客园 - Franky

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
GlobalSign отозвал 20 000 сертификатов. Прошёл свои десять сайтов и записал, где будет больно
Шубин Данила · 2026-06-19 · via Все публикации подряд на Хабре

Средний

9 мин

2

В российском вебе за неделю сломались две вещи. 13 июня GlobalSign — один из крупнейших удостоверяющих центров — начал массовый отзыв сертификатов у российских компаний; по оценкам участников рынка, это касается до 20 000 доменов второго уровня. Параллельно Госдума приняла закон, запрещающий российским сайтам авторизацию через иностранные сервисы, и 14 июня Авито уже отключило вход через Google.

В этой статье разбираю первое — TLS. По OAuth будет отдельный материал.

Кто я в этой истории. В Synapsea держим свои сайты и сопровождаем клиентские проекты — всего около десятка живых доменов, все на Let’s Encrypt. До 13 июня я о выпускающем сертификаты центре не задумывался: сертификат продлевался автоматически, и это было настолько фоном, что в инфраструктурной документации он даже не фигурировал. Сейчас сел и прохожу свои сайты по списку — какой issuer, какой риск, что менять и в каком порядке. Делюсь, что получилось.

Что случилось технически

Хронология такая.

4 мая. CA/Browser Forum обновил требования к удостоверяющим центрам. По сообщениям СМИ, с этой даты проверка подписантов сертификатов по санкционным спискам стала обязательной. Здесь сразу оговорка: в открытом перечне голосований консорциума такой нормы пока не нашёл — на этот факт отдельно обратило внимание издание «Теплица социальных технологий». Так что с формулировкой «новые правила CA/B Forum» в новостях стоит обращаться осторожно, в первоисточнике это не подтверждено.

4 июня. Let’s Encrypt опубликовал новую редакцию пользовательского соглашения — LE-SA v1.7. В ней формализовали санкционные ограничения: сертификаты не будут выдаваться резидентам стран под полномасштабными санкциями США и компаниям из списков OFAC. Сам Let’s Encrypt в комментариях на Hacker News и Минцифры подчёркивает, что для большинства российских пользователей ничего не меняется — это закрепление давно действующей практики. То есть обычные коммерческие и личные сайты продолжат продлеваться, как обычно.

6 июня. Первый громкий прецедент. У мессенджера MAX отозвали сертификат. Let’s Encrypt выдал замену в тот же день, но сразу предупредил, что после 4 сентября продлевать не будет.

13 июня. GlobalSign — крупнейший коммерческий удостоверяющий центр на российском рынке — начал принудительный отзыв сертификатов у российских компаний. По оценкам участников рынка хостинга и информационной безопасности, это затронет до 20 000 доменов второго уровня; с учётом поддоменов счёт идёт на сотни тысяч сертификатов. На российском коммерческом рынке у GlobalSign было около 90% доли.

Параллельно. ZeroSSL — второй после Let’s Encrypt популярный ACME-провайдер бесплатных сертификатов — по сообщениям участников рынка, тоже формализовал санкционные ограничения. То есть «убежать с Let’s Encrypt на ZeroSSL» — рабочая стратегия не для всех.

По данным W3Techs на июнь 2026, расклад на рынке такой: 68,2% сайтов подписано Let’s Encrypt, 20,4% — GlobalSign. Остальные 11% — все прочие удостоверяющие центры вместе. То есть отзыв у GlobalSign — это не «один из CA закрыл услугу», это удар по пятой части глобального рынка сертификатов.

Кому реально грозит, и в каком порядке

Это самый важный раздел. Перевести с одного CA на другой можно за полчаса, но прежде чем переключать, надо понять, у кого пожар, а у кого — пока разговоры.

Острый риск. Подсанкционные юрлица — российские структуры из списков OFAC, госорганы, организации, формально подпадающие под полные санкции США. Для них новая редакция LE-SA — не формальность, а блокировка. Сертификаты продлевать не будут. Сюда же — все, у кого сейчас стоит сертификат GlobalSign, независимо от размера и юрисдикции; они в первой волне принудительного отзыва. Срок — сейчас.

Высокий риск, окно — недели и месяцы. Сайты, для которых клиент-провайдер по DV-проверке может выглядеть как подсанкционный. Не всегда очевидно — формально по доменному имени это бывает не определить. Прецедент MAX показал, что Let’s Encrypt может выдать замену, но с явным предупреждением о сроке. То есть «нам только что выдали сертификат» не значит «нас не отключат после 4 сентября».

Средний риск. Обычные коммерческие сайты на Let’s Encrypt — никакая часть текста соглашения формально на них не указывает. Но: если в США будут расширять санкционные списки, и под них попадёт хостинг-провайдер, домен-регистратор или конечный пользователь услуги, любой компонент цепочки может стать триггером. Срок неопределённый — следить за новостями и держать резервный план.

Низкий риск, но мониторить. Личные и pet-проекты на Let’s Encrypt — практически ничего не должно поменяться. По заявлениям Let’s Encrypt, обычным частным пользователям ограничения не угрожают. Логика тут — «не паниковать, но и не игнорировать», то есть подготовить, но не делать.

Свой список из десяти сайтов я разложил по этим четырём категориям. Получилось: ноль в острой зоне (под санкциями не работаем), ноль на GlobalSign (везде Let’s Encrypt), четыре в среднем риске (коммерческие сайты клиентов, которые гипотетически могут попасть под расширение санкций), шесть в низком. Это меняет приоритет: не «срочно переключаемся», а «готовим параллельный issuer и сценарий миграции».

Альтернативы Let’s Encrypt в июне 2026

Важная вводная. С этими провайдерами лично пока не работал — все наши сертификаты на Let’s Encrypt. Раздел построен как технический обзор того, что есть на рынке, и какая совместимость с типовым ACME-стеком. Без претензии на свой опыт. Когда дойду до миграции и перепроверю каждого на боевых сайтах — напишу отдельно.

Что выбыло, хотя многие гайды ещё на это указывают

Buypass Go SSL. В прошлом — стандартная альтернатива Let’s Encrypt: норвежский удостоверяющий центр, бесплатный ACME, до 20 сертификатов на регистрируемый домен в неделю. В августе 2025 Buypass объявил о прекращении выпуска TLS-сертификатов. С 15 октября 2025 новые сертификаты не выдаются, регистрация новых ACME-аккаунтов остановлена с 15 сентября 2025. К 15 апреля 2026 все ранее выданные истекли, и ACME-сервис закрыт. На замену анонсирована Buypass GoTLS — частично бесплатная с жёсткими лимитами, основной режим — платный. На середину июня 2026 эта услуга ещё в стадии запуска. Так что популярный совет «уйди с Let’s Encrypt на Buypass» в 2026 году не работает — Buypass Go в текущем виде не существует.

ZeroSSL. До недавнего — второй по популярности бесплатный ACME-провайдер. По сообщениям участников рынка, формализовал санкционные ограничения параллельно с Let’s Encrypt. То есть для подсанкционных структур не выход, а для всех остальных риск тот же.

Что реально доступно

Google Trust Services Public CA. Бесплатный публичный удостоверяющий центр Google. Выдаёт DV-сертификаты по ACME, поддерживает wildcard, срок 90 дней. Работает не через анонимный аккаунт, а через привязку к Google Cloud-проекту: нужно создать проект, включить Public Certificate Authority API, сгенерировать ключевую пару EAB (External Account Binding) и зарегистрировать ACME-аккаунт с этим EAB. Для acme.sh и Certbot — стандартная процедура с дополнительными параметрами --eab-kid и --eab-hmac-key. Для Caddy — указание ACME-сервера https://dv.acme-v02.api.pki.goog/directory плюс EAB в блоке tls. Браузерное доверие — полное, ничего ставить не надо. Геополитический риск: компания американская, и если санкции дойдут до Google Cloud — повторится та же история, что с Let’s Encrypt. Но на сегодня — рабочая опция.

SSL.com. Коммерческий американский удостоверяющий центр с поддержкой ACME для платных тарифов. Подходит как резервный issuer, но не бесплатный. Тарифы стартуют от нескольких десятков долларов в год за домен.

Cloudflare Universal SSL. Отдельный сценарий: бесплатные сертификаты, выдаваемые Cloudflare на edge-узлах, если сайт уже проксируется через Cloudflare. Это не ACME-провайдер в прямом смысле — сертификат стоит на конечной точке Cloudflare, а с сервером Cloudflare общается по своему протоколу (Origin Certificate или Authenticated Origin Pulls). Подход требует пересборки трафика через CDN — не всегда вариант, особенно если у клиента WebSocket-нагрузка или жёсткие требования к географии маршрутизации.

Российские удостоверяющие центры

НУЦ Минцифры. Национальный удостоверяющий центр на базе НИИ «Восход». Выпускает бесплатные DV- и OV-сертификаты через портал Госуслуг. Принципиальное ограничение — браузерное доверие. Сертификаты НУЦ встроены в Яндекс Браузер и Atom. В Chrome, Firefox, Safari, Edge — не встроены; пользователь должен вручную установить корневой сертификат НУЦ в системное хранилище или в хранилище браузера. Для коммерческого сайта с массовой аудиторией это пока не работает в одиночку — у части пользователей будет открываться с предупреждением «небезопасное соединение». Имеет смысл как параллельный issuer с инструкцией для пользователей, но не как замена основному западному CA.

Платные российские центры через реселлеров. Услуги, привязанные к российским удостоверяющим центрам через коммерческие реселлеры — выдают сертификаты с глобальным доверием через партнёрские соглашения с зарубежными CA. На фоне массового отзыва GlobalSign их способность выпускать остаётся под вопросом. Ставки сейчас — от 8 000 до 30 000 рублей в год за домен, в зависимости от типа.

План инвентаризации, который я применяю на десяти сайтах

Это та часть, которую я реально делаю в эти дни. Шаги простые, но требуют дисциплины — без таблицы быстро теряешь, что у тебя где.

Шаг 1. Полный список

Открываю обычную таблицу. В первой колонке — домен. Во второй — кто хостит. В третьей — кем выпущен текущий сертификат. В четвёртой — дата истечения. В пятой — категория риска по карте из третьего раздела.

Для каждого домена дёргаю сертификат через openssl и смотрю поле Issuer:

echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null \
  | openssl x509 -noout -issuer -dates

Получаю что-то вроде:

issuer=C = US, O = Let's Encrypt, CN = R10
notBefore=Apr 10 12:14:32 2026 GMT
notAfter=Jul  9 12:14:31 2026 GMT

Записываю в таблицу. По десяти сайтам это занимает минут пятнадцать.

Шаг 2. Кросс-проверка через CT-логи

Не доверяю одной строчке openssl. Сертификат может быть свежим, а параллельно может существовать ещё один, выданный кем-то, кого я не вспомнил — например, при разовом эксперименте с CDN или альтернативным панелью управления хостингом. Для этого — Certificate Transparency: каждый публичный сертификат публикуется в открытых лог-серверах.

Открываю crt.sh и проверяю каждый домен:

https://crt.sh/?q=example.com

Смотрю, какие issuer-ы выпускали сертификаты исторически. Если в списке только Let’s Encrypt — норма. Если виден GlobalSign, Sectigo, DigiCert — флаг, выясняю, кто и зачем заказывал, есть ли активный, не превратится ли он в проблему через месяц.

Шаг 3. Группировка и приоритеты

После шагов 1 и 2 у меня заполненная таблица. По моим десяти получилось так:

  • Четыре коммерческих сайта клиентов в среднем риске — для них имеет смысл подготовить резервный issuer (Google Trust Services как параллельный), но пока не переключать.

  • Шесть сайтов в низком риске — ставлю только мониторинг.

То есть из десяти сайтов прямо сегодня менять ничего не надо. Нужно подготовить инфраструктуру, чтобы переключение заняло минуты, а не часы, если завтра прилетит.

Шаг 4. Резервный issuer на критичных

Caddy позволяет указать несколько ACME-провайдеров в порядке fallback. Минимальный блок в Caddyfile:

example.com {
    tls {
        issuer acme {
            dir https://acme-v02.api.letsencrypt.org/directory
        }
        issuer acme {
            dir https://dv.acme-v02.api.pki.goog/directory
            eab {
                key_id YOUR_EAB_KID
                mac_key YOUR_EAB_HMAC_KEY
            }
        }
    }
    reverse_proxy upstream:3000
}

Caddy сначала идёт к первому issuer, и если получить сертификат не удаётся — переходит ко второму. Полезно как страховка: если Let’s Encrypt перестанет отвечать конкретному домену, Caddy сам переключится на Google.

Для сайтов клиентов, где Caddy не стоит и используется связка nginx + certbot, эквивалент собирается двумя отдельными сертификатами от двух CA, которые лежат рядом в /etc/letsencrypt/live/, и тонким скриптом-обвязкой над certbot, который при провале продления у одного CA пробует второй и подменяет симлинк в конфиге nginx. На бумаге несложно, в проде надо тестировать.

Шаг 5. Мониторинг через CT-логи

Самое полезное — следить за новыми сертификатами, которые выпускаются на твои домены. Если кто-то выпустит сертификат на твой домен без твоего ведома, или CA выпустит замену, о которой ты не знаешь, CT-логи это покажут.

Бесплатные инструменты:

  • crt.sh — поиск по домену, можно настроить RSS-фид новых сертификатов.

  • certstream.calidog.io — поток в реальном времени всех сертификатов, попадающих в CT-логи. Под него легко написать фильтр на свои домены — питоновский скрипт на десять строк, который шлёт уведомление в Telegram при появлении сертификата для перечисленных доменов.

  • Facebook CT Monitoring — почтовые уведомления через API.

Ставлю на каждый домен RSS-фид с crt.sh — десять штук в RSS-ридере, проверяю раз в неделю.

Что планирую дальше

К концу лета 2026 ожидаю две вещи. Первая — расширение списка CA, которые формализуют санкционные ограничения; к Let’s Encrypt и ZeroSSL могут присоединиться остальные глобальные удостоверяющие центры, для них это вопрос юридического выживания. Вторая — внутреннее давление со стороны государства на переход коммерческих сайтов на сертификаты НУЦ. Минцифры и крупнейшие банки уже агитируют пользователей ставить корневой сертификат НУЦ в систему; следующий шаг — рекомендации (или требования) к владельцам сайтов выпускать параллельные сертификаты НУЦ.

К концу августа сделаю следующий шаг: на двух тестовых доменах из своего списка разверну параллельные сертификаты через Google Trust Services и НУЦ. После этого напишу отдельный материал с реальной практикой — что сработало, какие подводные были, как браузеры ведут себя с двумя сертификатами одновременно и что именно показывают разным пользователям.

И отдельная история — закон, запрещающий российским сайтам авторизацию через иностранные сервисы. У нас на агентских сайтах вход через Google стоял на нескольких клиентских проектах, и теперь это переделывать. Это вторая ветка инфраструктурных изменений, которые накатываются на российский веб в июне 2026 — про неё будет следующая статья.


Если у вас сейчас сертификат GlobalSign — это первая волна, действовать надо в ближайшие дни. Если на Let’s Encrypt и вы не подсанкционная структура — времени достаточно, но инвентаризацию имеет смысл сделать сейчас, пока CT-логи можно прочитать спокойно, а не в режиме срочного гашения пожара.