Телеграм канал «Об ЭП и УЦ»

✍️Как CRL Let's Encrypt "потеряли" отозванные сертификаты❌

3 июня 2026 года в 06:31 UTC внутренний мониторинг Let's Encrypt обнаружил проблему с несколькими списками отзыва сертификатов (CRL). Из‑за сбоя репликации базы данных новые записи об отозванных сертификатах временно отсутствовали в публикуемых CRL. Позже CRL были обновлены и содержали нужные серийные номера отозванных сертификатов.

Требования Baseline Requirements (секция 4.10.1) и собственный CP/CPS Let’s Encrypt (6.1, 4.10.1) запрещают удалять записи об отзыве до истечения срока действия сертификатов. В данном случае записи пропадали до окончания сертификатов, что является нарушением.

Кратковременное отсутствие записей в CRL означает, что в этот промежуток проверяющие стороны могли не зафиксировать отзыв некоторых сертификатов, что критично для систем, использующих CRL

Let’s Encrypt сами сообщили о проблеме и представили предварительный отчёт в баг-трекер Mozilla (баг #2044788, статус [ca-compliance] [crl-failure]).

Что-то в последнее время много новостей с Let's Encrypt - инцидент с кросс-сертификатами, санкционная политика, лидерство в Рунете, а ведь это американский удостоверяющий центр.

✍️"Об ЭП и УЦ"

Не грузится? Понимаем.

Бесплатный мессенджер для вашей компании - Битрикс24.
Личные и групповые чаты, видеозвонки, каналы и нейросеть. Всё привычно и удобно.

Можно перенести рабочие чаты и файлы из Telegram в Битрикс24.

Начните работать на бесплатном тарифе уже сейчас.

Узнать больше

#реклама 16+
bitrix24.ru
О рекламодателе

✍️Первые в 2026-м году изменения 63-ФЗ приняты Госдумой

Изменения вносятся в рамках второго пакета Антифрод и направлены на нормативное регулирование создания Национального удостоверяющего центра.

Правительство вправе установить  случаи обязательного использования сертификатов безопасности, в финансовой сфере - по согласованию с Банком России.

Ближайшее заседание Совета Федерации состоится 17 июня 2026 года.

Второй законопроект, вносящий изменения в 63-ФЗ, был принят Госдумой в первом чтении 23 апреля, срок представления поправок до 01.05.2026, дата второго чтения неизвестна.

✍️"Об ЭП и УЦ"

⚡️Санкционные риски использования сертификатов Let's Encrypt

Международным удостоверяющим центром GlobalSign 5 июня в 23:37:02 (мск.) был отозван сертификат безопасности мессенджера Мах.

И это не случайность:
🔹4 июня мессенджер исчез из App Store (Apple сослалась на санкции).
🔹В апреле 2026 GlobalSign уже отзывал сертификат у клиента Telegram Telega.
🔹В конце апреля 2026 Cloudflare Radar присвоил домену Маха метку шпионского ПО (позже метка была снята).

6 июня в 10:27:45 (мск.) был создан новый сертификат безопасности, бесплатный от Let's Encrypt, на который и перевели домен. Новый сертификат действителен с 6 июня по 4 сентября 2026 года, всего 3 месяца.

Какие риски несёт использование сертификатов от Let's Encrypt, доля который в Рунете более 92%?

⚠️ Санкционные риски от Let's Encrypt

Переход на Let's Encrypt - временное решение, оно несет скрытые юридические риски. Представители мессенджера это понимают, поэтому получили 8 июня в 08:39:32 (мск.) ещё один сертификат от УЦ HARICA DV TLS RSA.

Согласно пункту 3.1 пользовательского соглашения Let's Encrypt (версия от 4 июня 2026), получатель сертификата гарантирует что:
🔴 не находится в стране, находящейся под санкциями США.
🔴 не можете находиться под контролем лиц из этих стран.
🔴 обязан немедленно запросить отзыв сертификата, если перестал соответствовать требованиям пользовательского соглашения.

Что это значит для всех российских сервисов, использующих сертификаты от
Let's Encrypt:
🔹Юридически - использование Let's Encrypt может считаться нарушением экспортного законодательства США.
🔹Технически - ISRG (оператор Let's Encrypt) может в любой момент отозвать сертификат без предупреждения (п. 4.2 соглашения).
🔹Ответственность - ISRG не несет НИКАКОЙ ответственности за убытки, а пользователь обязан возместить все убытки ISRG (п. 3.10).

Let's Encrypt - бесплатный сервис без гарантий и ответственности, сертификаты которого не могут использоваться в России. Более 92% доменной зоны .RU используют сертификаты от Let's Encrypt. Выводы делайте сами.

✍️"Об ЭП и УЦ"

🆕Статистика по сертификатам безопасности за 5 месяцев 2026 года

Статистика по используемым TLS-сертификатам в доменной зоне .RU, которая нужна перед следующим постом.

Всего действующих сертификатов - 2 214 614, подавляющее большинство от Let's Encrypt - 92,16 %.

🔹Let's Encrypt R13 - 873 218 шт. (39,43 %)
🔹Let's Encrypt R12 - 871 723 шт. (39,36 %)
🔹Let's Encrypt E7 - 148 178 шт. (6,69 %)
🔹Let's Encrypt E8 - 147 884 шт. (6,68 %)
🔹WE1 Google Trust Services - 131 402 шт. (5,93 %)
🔹GlobalSign R3 - 28 983 шт. (1,31 %)
🔹Иные (в т.ч. НУЦ) - 13 226 шт. (0,60 %)

По сроку действия сертификатов:
🔹3 мес. - 2 173 973 шт.  (98,16 %)
🔹13 мес. - 28 984 шт. (1,31 %)
🔹6 мес. - 6 692 шт. (0,30 %)
🔹7 мес. - 3 471 шт. (0,16 %)
🔹12 мес. - 1 424 шт. (0,06 %)
🔹Иные - 66 шт. (0,01%)

Количество действующих TLS-сертификатов от национального УЦ ("отечественный RSA") за 5 месяцев увеличилось с 5276 до 6050 шт. и составляет 0,26%, ранее было снижение с 5410 шт. до 5276 шт.

Источники - Интернет-ресурс «Домены России», CTlog

Обучение психологии. 70% практики с первого урока!

95% студентов начинают практику на 2 месяце. Диплом + поддержка наставника!

Записаться онлайн

#реклама 16+
institutpsy.ru
О рекламодателе

✍️Госдума и антифрод

9 июня Госдума рассмотрит сразу во втором и третьем чтениях законопроект Антифрод 2.0.

Статья 6 законопроекта вносит изменения в 63-ФЗ в части создания Национального удостоверяющего центра, вступает в силу норма с 1 марта 2027 года. Пункт 5 части 2 статьи 14.1, касающейся сертификатов безопасности НУЦ, содержащих сведения об участниках электронного взаимодействия в корпоративной информационной системе и используемых для проведения их аутентификации и организации защищенного взаимодействия с ними, применяется с 1 января 2028 года.

✍️"Об ЭП и УЦ"