Оглавление
У российских сайтов отзывают TLS-сертификаты — стоит ли устанавливать сертификат Минцифры?

В июне 2026 удостоверяющие центры Let's Encrypt и GlobalSign начали отзывать TLS-сертификаты у компаний, находящихся под международными санкциями. Так, часть пользователей столкнулась с предупреждением об угрозе безопасности при попытке открыть сервисы VK, например портал VK Play.

Вслед за VK и другие российские сайты могут перестать открываться в браузерах иностранной разработки, включая Google Chrome, Microsoft Edge, Mozilla Firefox, Safari и Opera.
В статье разбираем, что такое TLS-сертификат, почему без него не открываются сайты и стоит ли самостоятельно устанавливать сертификат российского удостоверяющего центра.
Дочитайте статью до конца, чтобы получить промокод на подключение к надежному и эффективному VPN.
Зачем нужны TLS-сертификаты
Современные сайты используют для работы протокол HTTPS, данные в котором передаются поверх криптографических протоколов TLS (раньше использовалась технология SSL). При установлении соединения сайт и браузер договариваются о способе шифрования и создают совместный одноразовый ключ шифрования.
Но браузер не доверяет серверу по умолчанию. Чтобы он начал доверять, сайт должен предоставить TLS-сертификат, выданный авторизованным удостоверяющим центром.
У каждого браузера есть список авторизованных центров, которым он доверяет. Среди крупнейших международных центров: американские DigiCert, Let’s Encrypt, Sectigo и европейский GlobalSign.
В июне 2026 удостоверяющий центр GlobalSign начал принудительный отзыв TLS-сертификатов у компаний, находящихся под санкциями Евросоюза, ссылаясь на требования нового регламента CA/Browser Forum. Это отраслевой консорциум, в который входят крупнейшие разработчики браузеров и удостоверяющие центры.
Некоммерческий удостоверяющий центр Let’s Encrypt также опубликовал обновленное пользовательское соглашение. В него добавлен пункт, запрещающий выдачу сертификатов лицам и организациям, подпадающим под санкции США. Sectigo и DigiCert не выдают сертификаты российским компаниям с 2022 года.
Если и другие международные центры перестанут выдавать сертификаты санкционным компаниям, это заденет множество российских ресурсов. Сайты, у которых будут отозваны международные TLS-сертификаты, перейдут на российский сертификат.
Российские TLS-сертификаты
В 2022 году Минцифры РФ совместно с НИИ "Восход" создали собственный Национальный удостоверяющий центр (Russian Trusted Root CA). Он выпускает TLS-сертификаты для российского бизнеса.
Russian Trusted Root CA не является общепринятым удостоверяющим центром. Его нет в списке доверенных у иностранных браузеров. При попытке открыть сайт с таким сертификатом в Chrome пользователь получит предупреждение, что соединение с этим сайтом небезопасно.
Чтобы браузеры открывали сайты с российским TLS-сертификатом, Минцифры предлагает вручную добавить его в доверенное системное хранилище. Это специальная база данных операционной системы или браузера, где хранятся корневые сертификаты. Все, что подписано таким сертификатом, система будет автоматически считать доверенным.
Мы не рекомендуем это делать, чтобы не создавать риски для безопасности. Для работы с сайтами с российскими TLS-сертификатами лучше использовать отдельный браузер, который им доверяет по умолчанию: "Яндекс Браузер" или "Атом".
Что будет, если установить российский TLS-сертификат
TLS-сертификаты помогают браузеру проверить подлинность сайта и установить зашифрованное соединение. Если перехватить такой трафик, сторонний наблюдатель обычно может определить, к какому сайту вы подключаетесь, но не может прочитать содержимое передаваемых данных.
Установка корневого сертификата Russian Trusted Root CA в доверенное хранилище наделяет этот центр абсолютным доверием на вашем устройстве. Это создает техническую возможность для атаки “Человек посередине” (Man-in-the-Middle, MitM): государство сможет инспектировать HTTPS-трафик практически любых сайтов с помощью TLS-прокси и других механизмов перехвата соединений.
Как работает атака “Человек посередине”
Предположим, вы читаете новости в интернете. Ваш провайдер знает, какие сайты вы открываете, но не видит, какие конкретно новости читаете, и какие комментарии оставляете.
Если в сети провайдера используется TLS-прокси, трафик может быть направлен через дополнительный сервер-посредник. На нем возможно подменять сертификаты любых сайтов, в том числе зарубежных, на российские сертификаты, которым браузер доверяет благодаря установленному Russian Trusted Root CA.
В таком случае посредник может расшифровывать и повторно шифровать HTTPS-трафик, получая доступ к содержимому веб-страниц, комментариям, поисковым запросам и другим передаваемым данным. Браузер вас об этом предупреждать не будет, потому что доверяет сертификату.
Ретроспективная слежка
Установка государственного сертификата кардинально меняет то, как работает российское законодательство о хранении данных — так называемый "пакет Яровой".
По закону провайдеры обязаны хранить копии трафика пользователей в течение 6 месяцев. Если вы пользуетесь интернетом без госсертификата, провайдер просто записывает зашифрованный поток данных. Спецслужбы имеют к нему доступ, но видят только метаданные.
Если госсертификат установлен в доверенное хранилище, трафик можно расшифровать. Провайдер вклинивается между вами и сайтом: он сам создает ключи шифрования для вашего браузера, поэтому копии этих ключей остаются у него.
В результате силовики могут ретроспективно анализировать трафик. Если человек становится подозреваемым, можно сделать запрос к провайдеру и прочитать всю его переписку за последние полгода.
Как обезопасить себя
Главное правило — не устанавливать сертификат от Минцифры в хранилище доверенных корневых сертификатов операционной системы.
Для доступа к сайтам, недоступным в привычных браузерах, можно использовать “Яндекс Браузер” или “Атом”. Это российские браузеры, в которые TLS-сертификат Russian Trusted Root CA уже встроен. Исходите из того, что ваша активность в них полностью прозрачна.
Для всех остальных ресурсов безопасней использовать Chrome, Edge, Firefox, Safari, Opera и другие браузеры.
Можно вручную проверять сертификат сайтов, на которых вы делитесь уязвимой информацией. Нажмите на иконку замочка в меню в адресной строке и посмотрите, кем выдан сертификат. Если это иностранный сайт, а сертификат выдан Национальным удостоверяющим центром — за вами следят.
Если вам все-таки нужно установить российский TLS-сертификат, используйте VPN. Он защитит от базового варианта атаки Man-in-the-Middle, так как весь трафик идет в зашифрованный туннель — в обход TLS-прокси. Провайдер не может вклиниться в соединение, чтобы подменить сертификат.
Однако VPN не дает полной гарантии. Существует более сложный вариант атаки через подмену DNS. Если вы используете DNS не от VPN-сервиса, провайдер может в DNS-ответе подменить IP-адрес сервера на адрес TLS-прокси. Тогда атака состоится.

FAQ
Как удалить сертификат, если он уже установлен в систему?
Процесс зависит от операционной системы:
Для Windows: нажмите Win + R, введите certmgr.msc, нажмите Enter. Откройте “Сертификаты”, выберите текущего пользователя → “Доверенные корневые центры сертификации” → “Сертификаты”. Найдите Russian Trusted Root CA и удалите.
Для macOS: откройте приложение “Связка ключей” → “Система” → “Сертификаты”. Найдите Russian Trusted Root CA и удалите.
BlancVPN — ваш ключ к любимым сервисам
Доступ к Instagram, Netflix, YouTube и другим платформам
Подключить BlancVPN