Крупные российские разработчики создают Отраслевой технологический удостоверяющий центр для выпуска отечественных сертификатов подписи программного кода на случай массового отзыва западных сертификатов. Рабочая группа «Единое пространство доверия» действует на базе Национального технологического центра цифровой криптографии во взаимодействии с ФСБ, Минцифры и ФСТЭК.
Что разрабатывают
Новая система должна заменить сертификаты подписи кода, которые российские компании традиционно получали у западных удостоверяющих центров. По данным источников, ОТУЦ уже работает в тестовом режиме, а его работу проверяют крупнейшие российские разработчики программного обеспечения. На сегодняшний день известно следующее:
- в рабочую группу входят «РусБИТех-Астра» из ГК «Астра», «Сбертех», «Базальт СПО», «Открытая мобильная платформа», «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и другие участники рынка;
- с ноября 2025 года систему протестировали «КриптоПро», «ИнфоТеКС», «Код безопасности», «Лаборатория Касперского», «Сбертех» и разработчики Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора»;
- участники получили сертификаты в ОТУЦ, подписали программные продукты и обменялись ими для взаимной проверки.
Справка! Цифровая подпись программного кода подтверждает, что программа выпущена конкретным разработчиком и ее код не был изменен, например злоумышленниками.
Почему вопрос ускорился
Поводом стал отзыв сертификатов безопасности у российских сайтов. 13 июня в 2:10 по британскому летнему времени (4:10 мск) японская GlobalSign начала принудительно отзывать ранее выпущенные SSL-сертификаты у компаний из России. По данным участников рынка, под угрозой могли оказаться 15–20 тыс. доменов второго уровня, а с учетом поддоменов – сотни тысяч или миллионы сертификатов.
Пока GlobalSign отзывает SSL-сертификаты для сайтов, участники рынка опасаются, что аналогичные меры могут распространиться и на сертификаты подписи программного кода. Дополнительные опасения вызывает то, что Sectigo и DigiCert еще в 2022 году прекратили выдавать новые сертификаты подписи кода российским компаниям. По мнению участников рынка, следующим шагом может стать массовый отзыв уже выданных сертификатов со стороны GlobalSign, DigiCert и Sectigo.
Какие риски для разработчиков
Отзыв сертификата подписи кода может привести к следующим последствиям:
- операционная система может блокировать запуск программы или предупреждать пользователя о небезопасном издателе;
- пользователи теряют возможность убедиться в подлинности программы;
- возрастает риск подмены кода и распространения вредоносного ПО;
- могут возникнуть проблемы с выпуском обновлений безопасности и новых функций;
- публикация новых версий приложений в официальных магазинах, включая App Store, может стать невозможной;
- тестирование программ на реальных устройствах также может осложниться.
Важно! Для бизнеса риск заключается не только в блокировке запуска программ, но и в разрыве цепочки обновлений: пользователи могут перестать получать исправления уязвимостей вовремя.
Проблема «корней доверия»
Ключевая техническая сложность – отсутствие российских «корней доверия» в зарубежных операционных системах. По словам гендиректора «КриптоПро» Станислава Смышляева, российские разработчики операционных систем могут добавить такие сертификаты, однако Microsoft и Apple вряд ли сделают это на системном уровне.
| Платформа | Ситуация с доверием к сертификатам |
|---|---|
| Российские ОС на Linux | Поддержка российских корней доверия может быть реализована разработчиками отечественных операционных систем. |
| Windows и Android | Пользователь может самостоятельно добавить отечественный сертификат в число доверенных. |
| iOS и macOS | Установка приложения с неизвестным системе сертификатом возможна через режим разработчика, с предупреждением при установке. |
Позиция Минцифры
Минцифры сообщило, что техническая возможность выпуска отечественных сертификатов подписи кода есть. 13 июня Совфед одобрил второй пакет мер по борьбе с кибермошенничеством, который наделяет Национальный удостоверяющий центр Минцифры статусом госинформсистемы и расширяет типы выпускаемых сертификатов.
По данным министерства, НУЦ сможет выдавать в том числе сертификаты подписи программного кода. Одновременно проходит тестирование сертификатов подписи кода на российском криптографическом стандарте ГОСТ в отечественных десктопных ОС семейства Linux. Также сообщается, что технологию уже удалось протестировать для подписания приложений Android без изменения существующей экосистемы.
Масштаб зависимости от иностранных ОС
По данным Statcounter, к маю 2026 года Windows занимала 83,2% рынка настольных компьютеров, macOS – 7,4%, а российские ОС на базе Linux, включая Astra Linux, ALT Linux и РЕД ОС, – около 3%.
По оценке директора по консалтингу и аналитике «Квадрант Технологий» Петра Городецкого, по итогам 2025 года Windows использовали 80% российских компаний на десктопах, а у 70% компаний Windows применялась как серверная ОС. Доля Windows в денежном выражении в 2025 году составила около 20%.
Что говорят участники рынка
В ГК «Астра» подтвердили, что отзыв западных сертификатов может создать проблему запуска российского софта в Windows и других иностранных ОС. При этом для подписи программ компания использует отечественные сертификаты «КриптоПро».
В «Базальт СПО» заявили, что не пользуются зарубежными сертификатами, поэтому для отечественных операционных систем последствий от их отзыва не ожидают. Инициатива национального сертификационного центра предполагает использование отечественной криптографии и цепочки доверия от центра сертификации к разработчикам.
