Руководство для тех, кто столкнулся с проблемами HTTPS не из-за ошибок в настройке, а по причине санкционных ограничений, особенностей доменной зоны и скрытых условий в договоре.

Проблемы с TLS-сертификатами часто кажутся незначительными, пока всё работает. Но когда браузер внезапно выдаёт предупреждение, системы мониторинга сигнализируют о неполадках, а пользователи массово обращаются в поддержку, администратор осознаёт, насколько тесно связаны домен, юридическое лицо, страна регистрации, способ оплаты и корневой центр сертификации. Технический механизм, который должен быть простым, оброс санкциями, экспортными ограничениями, политикой браузеров и договорами с мелким шрифтом.
Если Let’s Encrypt, DigiCert или другой удостоверяющий центр отказал в выдаче или продлении сертификата, причина может быть не только в настройках сервера. Существует два типа отказов. Технический: ошибки в проверке домена, некорректные CAA-записи, проблемы с DNS. Юридический: санкции, ограничения доменной зоны, данные организации, совпадение с запрещёнными лицами. Для пользователя результат одинаков — HTTPS не работает. Но для бизнеса разница огромна: техническую проблему можно решить за час, а санкционный отказ иногда невозможно обойти легально.
Причины блокировки или отказа в продлении сертификата
TLS-сертификат подтверждает право владения доменом и обеспечивает шифрование соединения между сайтом и пользователем. Публичный сертификат должен быть связан с корневым сертификатом, который распознают браузеры и ОС. Пока цепочка доверия цела, HTTPS работает корректно. Если цепочка нарушена, браузер показывает предупреждение, мобильные приложения теряют соединение, а корпоративные клиенты начинают искать причины в провайдере, прокси, антивирусе или даже карме.

Технический отказ чаще связан с ошибками при проверке права на домен: DNS-запись не обновлена, веб-сервер не отвечает, IPv6 направляет на другой сервер, CDN маскирует ответ, а CAA разрешает сертификаты только от одного центра. Такие проблемы решаются быстро. Юридический отказ означает, что центр не может обслуживать конкретное юридическое лицо, доменную зону, страну или организацию. Исправить это добавлением TXT-записи невозможно.
Эра «поставил и забыл» уходит: новые требования CA/Browser Forum
Многие годы администраторы обновляли сертификаты раз в год и вспоминали о них только после уведомлений от систем мониторинга. Такой подход уходит в прошлое. CA/Browser Forum принял документ SC-081v3, который поэтапно сокращает срок действия публичных TLS-сертификатов: до 200 дней с марта 2026 года, до 100 дней с марта 2027 и до 47 дней с марта 2029. Одновременно сокращаются сроки повторного использования данных проверки: для данных организации в OV/EV-сертификатах — до 398 дней с 2026 года, для проверки домена и IP — ещё меньше. В первую очередь это затронет крупные компании, использующие сертификаты с проверкой организации.
Вывод очевиден: ручное продление превращается из рутины в серьёзный риск. При сроке действия в 47 дней сертификат нужно обновлять каждые полтора месяца, примерно восемь раз в год для каждого домена. Без автоматизации это гарантированные проблемы.
Реальные изменения в политике Let’s Encrypt в 2026 году
Let’s Encrypt остаётся удобным решением для большинства сайтов: бесплатно, автоматически через ACME, без общения с менеджером. В 2026 году вокруг этого центра возникло много шума, но важно не поддаваться на упрощённые трактовки вроде «Let’s Encrypt закрыл доступ для России».
Что произошло на самом деле: 4 июня 2026 года вышла версия 1.7 соглашения. В раздел 3.1 добавили санкционные гарантии: подписчик подтверждает, что не находится под санкциями США, не является запрещённым лицом и не действует от его имени. ISRG оставляет за собой право отказать по любой законной причине. Это подтверждают независимые аналитики.
Отдельно о санкциях: здесь важно не преувеличивать. США разделяют ограничения на комплексные (как для Кубы, Ирана, КНДР) и адресные или секторные. Россия подпадает под частичные меры, а не полное эмбарго. Поэтому риск отказа для российского сайта зависит не от доменной зоны, а от статуса владельца, юрлица, связей с санкционными списками. Для частных проектов и компаний вне списков Let’s Encrypt обычно работает даже с .ru. Для госструктур, банков и организаций из санкционных списков риск отказа значительно выше.
GlobalSign, DigiCert и Sectigo: кто действительно ограничивает зоны
Здесь важно разделять центры. GlobalSign не запрещает зону .ru, но проводит санкционный контроль. Это японская компания, связанные подразделения которой находятся в Великобритании, Бельгии, США и других странах. Компания заявляет о соблюдении санкций, но явного запрета на .ru нет. На практике российское юрлицо может не пройти проверку, но это не массовый запрет зоны.
DigiCert чётко формулирует ограничения: приостановка выпуска и продления сертификатов для доменов .ru, .рф, .su и других, связанных с Россией и Беларусью, а также организаций с адресом в этих странах.
Sectigo прямо указывает Россию в списке стран, для которых не выпускает сертификаты из-за ограничений США. Подробный перечень зон .ru, .su, .рф, .by удобнее смотреть в сводных таблицах или у партнёров.
Можно ли просто выбрать другой доверенный центр?
Самый частый вопрос, основанный на заблуждении. Доверенных центров десятки, но большинство зарегистрировано в США, ЕС, Великобритании, Канаде, Норвегии, Швейцарии и Японии — там, где действуют санкции США и ЕС. Европейские центры работают в условиях санкций, поэтому возможны отказы после проверки клиента. Явный запрет на зону .ru нужно уточнять у конкретного центра.
Теоретически можно обратиться к китайским, индийским или турецким центрам, но это не идеальное решение: их корни могут не поддерживаться всеми браузерами, а у некоторых есть история нарушений. Переход на такие центры означает передачу контроля над доверием структуре с другой юрисдикцией.
Российские сертификаты Минцифры и частные PKI
Для российских организаций основной локальный вариант — TLS-сертификаты Национального удостоверяющего центра Минцифры. Но важно понимать разницу: «сертификат выпущен» не означает, что ему доверяет весь интернет.
Сертификаты НУЦ работают там, где предустановлен их корень: в российских браузерах, корпоративных сетях, устройствах с ручной установкой. Но основные браузеры и ОС по умолчанию не признают этот корень. Попытки включить его в хранилища Chrome, Mozilla, Apple и Microsoft не увенчались успехом из-за требований к прозрачности и аудиту.
Для внутренних сервисов с российской аудиторией сертификаты НУЦ могут быть рабочим решением. Для международных сервисов и мобильных приложений браузеры покажут предупреждение.
Частная PKI — это создание собственного удостоверяющего центра и распространение корневого сертификата на управляемые устройства. Полный контроль, независимость от публичных центров, любые доменные зоны. Но такой сертификат работает только в вашей инфраструктуре.
Сравнительная таблица: какие центры могут выпустить сертификат на .ru
Практический обзор рынка, разделённый на четыре группы. Для каждого центра указана ссылка на источник.
Удостоверяющие центры и доступность для российских доменов и юрлиц
Статус указан на середину 2026 года. ✓ нет запретаподтверждено по источникам либо публичного запрета нет. ! проверятьтребует ручной проверки, основание указано в строке. × запрет / ушёлявный запрет или уход с рынка. ■ контурпризнаётся только внутри управляемой среды.
| Удостоверяющий центр | Юрисдикция | Признание браузеров и ОС | Зона .ru | Российское юрлицо | Основание и примечание |
|---|---|---|---|---|---|
| Группа 1. Массовые глобальные УЦ | |||||
| Let’s Encrypt | США | Да, в корневых программах | ✓ нет запрета зоны | ! зависит от владельца | Бесплатно, ACME. В соглашении нет запрета зоны .ru; отказ возможен по санкционному статусу владельца и связанных лиц. |
| Google Trust Services | США | Да, в корневых программах | ! нет публичной политики | × через Google Cloud | Только через Google Cloud и Cloudflare, не розница. Новых клиентов Google Cloud из РФ не принимают. |
| DigiCert | США | Да, в корневых программах | × запрет | × запрет | Публичный запрет: .ru, .рф, .su, .ru.com, .ru.net и др., плюс юрлица с адресом в РФ или РБ. |
| Sectigo | США / Великобритания | Да, в корневых программах | × запрет | × запрет | Россия указана в списке restricted по экспортным ограничениям США. Через посредников отказ тоже. |
| GlobalSign | Япония (GMO) | Да, в корневых программах | ! нет публичного запрета зоны | ! может не пройти проверку | Санкционный контроль, а не запрет зоны. Связанные площадки находятся в Великобритании, Бельгии, США и других странах. |
| SSL.com | США | Да, в корневых программах | ! нет публичной политики | ! санкции США | Есть ACME. Публичного запрета зоны не подтверждено, решает проверка юрлица. |
| GoDaddy / Starfield | США | Да, в корневых программах | ! нет публичной политики | × ушёл с рынка РФ | Выпуск для российского юрлица крайне маловероятен. |
| Amazon Trust Services | США | Да, в корневых программах | ! только через AWS | × нет нового аккаунта AWS | С июня 2025 года ACM выдаёт экспортируемые сертификаты для использования вне AWS. Но новых аккаунтов из РФ нет с 2022 года. |
| Certainly (Fastly) | США | Да, в корневых программах | ! только через платформу | ! только через платформу | Сертификат живёт внутри CDN Fastly; самостоятельной розничной выдачи нет. |
| Группа 2. Европейские и региональные публично доверенные УЦ | |||||
| HARICA | Греция (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Бесплатно, ACME. Среда санкций ЕС: вероятен отказ по KYC, проверять у центра. |
| Certum | Польша (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Среда санкций ЕС. Текущую политику по РФ уточнять у центра. |
| D-Trust | Германия (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Государственная типография ФРГ. Среда санкций ЕС. |
| T-TeleSec | Германия (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | УЦ Deutsche Telekom. Среда санкций ЕС. |
| SwissSign | Швейцария | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента | Швейцария имплементирует санкции ЕС. Статус по РФ уточнять у центра. |
| Actalis | Италия (ЕС) | Да, в корневых программах | ! нет запрета зоны | ! проверка клиента ЕС | Среда санкций ЕС. |
| Certigna | |||||
Источник: http://www.securitylab.ru/analytics/573774.php
