Российские разработчики готовят собственную систему подписи программ на случай блокировки западных сертификатов

В России формируется собственная инфраструктура для цифровой подписи программного кода, которая позволит разработчикам обходиться без западных удостоверяющих центров. Поводом стала июньская ситуация 2026 года с японским GlobalSign, отозвавшим сертификаты у ряда отечественных сайтов. Рабочая группа «Единое пространство доверия» при Национальном технологическом центре цифровой криптографии готовит запуск Отраслевого технологического удостоверяющего центра, который возьмёт на себя выдачу сертификатов подписи кода.

Сертификат подписи — это та самая цифровая печать, которой производитель помечает свой софт. Операционная система при запуске приложения смотрит на эту печать и решает, доверять программе или нет. Если печать сорвана или поставлена не тем, кем заявлено, Windows или macOS поднимет тревогу и заблокирует запуск либо покажет жёлтый щит с предупреждением о ненадёжном издателе. Для обычного пользователя процесс невидимый, для разработчика — критически значимый.

До недавнего времени российские компании спокойно покупали такие сертификаты у американских и европейских вендоров. Sectigo и DigiCert ушли с рынка ещё в 2022 году, перестав выдавать новые сертификаты и продлевать действующие. GlobalSign летом 2026 года добавил неопределённости — пока речь шла о сертификатах сайтов, но участники рынка быстро сообразили, что подпись кода уязвима по той же логике.

В рабочую группу вошли компании, формирующие основу отечественной ИТ-экосистемы:

• «РусБИТех-Астра», «Базальт СПО», «Открытая мобильная платформа»;
• «Сбертех», «Лаборатория Касперского», «КриптоПро», «ИнфоТеКС»;
• разработчики ОС Astra Linux, «Альт», РЕД ОС, ROSA, «Аврора»;
• «Код безопасности» и ряд других игроков рынка СЗИ.

Проект курируют ФСБ, Минцифры и ФСТЭК. По сути выстраивается параллельная вертикаль доверия, замкнутая внутри страны и не зависящая от решений зарубежных регуляторов.

Стоит обратить внимание, что новый центр уже работает в тестовом режиме — об этом сообщил генеральный директор «КриптоПро» Станислав Смышляев, входящий в состав группы.

С ноября 2025 года участники гоняли всю цепочку взаимодействия в реальных условиях. Сертификаты получили «КриптоПро», «ИнфоТеКС», «Код безопасности», «Лаборатория Касперского», «Сбертех» и команды пяти отечественных операционных систем. Компании подписывали свои продукты, затем перекрёстно проверяли подпись друг у друга — рабочая модель доверия должна выдерживать не только выдачу сертификата, но и валидацию по всей экосистеме.

Если зарубежные центры пойдут на массовый отзыв подписей у российских разработчиков, варианты у компаний остаются скудные:

• отказаться от подписи кода вообще, потеряв возможность подтверждать подлинность софта;
• искать сертификаты у менее известных иностранных вендоров, повторяя ту же зависимость;
• мигрировать на отечественный удостоверяющий центр;
• держать параллельно две подписи, пока заказчики не перейдут на проверку через российский корень доверия.

Первый путь открывает дорогу подделкам — без подписи злоумышленник без труда соберёт фейковую сборку популярного приложения и распространит её через сторонние сайты. Второй путь лишь оттягивает проблему.

Контекст усиливается структурой рынка. По данным Statcounter, в мае 2026 года Windows удерживала 83,2% настольных машин в России, macOS — 7,4%, отечественные Linux-дистрибутивы — около 3%. Директор по консалтингу и аналитике «Квадрант Технологий» Пётр Городецкий приводит цифры по корпоративному сектору — около 80% российских организаций по итогам 2025 года держали Windows на рабочих местах сотрудников, у 70% компаний эта же ОС стояла на серверах. Иностранные платформы продолжают доминировать в инфраструктуре, и подпись кода для них критична.

Интересно, что отечественный удостоверяющий центр постепенно перестаёт быть чисто технологической историей и превращается в элемент цифрового суверенитета — без своей подписи отрасль остаётся уязвимой к решениям, принимаемым за её пределами.

Задача для разработчиков сместилась. Раньше она сводилась к выпуску качественного продукта. Теперь к этому добавляется необходимость держать собственный контур доверия — от криптографии до процедур проверки. Технологический удостоверяющий центр становится одним из узлов, на которых будет держаться рабочая способность софта запускаться у миллионов пользователей.

Какие шаги предстоит пройти проекту перед полноценным выходом из тестового режима:

• расширение списка участников за пределы первого пула компаний;
• встраивание корневого сертификата в отечественные ОС и согласование с зарубежными платформами;
• отработка процедур отзыва и перевыпуска подписей;
• формирование регламентов взаимной проверки и аудита;
• подключение разработчиков второго эшелона — небольших вендоров и команд open-source.

Ранее сообщалось, что исследование BI.ZONE PAM выявило низкую распространённость сертификатной аутентификации для привилегированных учётных записей в корпоративном секторе. По данным аналитиков, 73% критически важных аккаунтов по-прежнему защищены обычными паролями, тогда как сертификаты с криптографической защитой используются лишь для 27% таких учётных записей. Эксперты отмечали, что несмотря на развитие подхода zero trust, пароль остаётся основным механизмом аутентификации, хотя он подвержен подбору, фишинговым атакам и последствиям утечек данных. Дополнительную угрозу создаёт практика повторного использования одних и тех же паролей в разных системах, что может открыть злоумышленникам доступ сразу к нескольким корпоративным ресурсам после компрометации одного сервиса.

Эксперты редакции CISOCLUB заявили, что инициатива «Единое пространство доверия» давно назрела и её запуск в тестовом режиме — закономерный шаг. Зависимость от зарубежной криптографической инфраструктуры в условиях текущих ограничений выглядит технологическим долгом, который рано или поздно пришлось бы возвращать. Тестовые прогоны с участием крупнейших разработчиков СЗИ и операционных систем показывают, что технически система работоспособна.

Главный вызов теперь — массовое внедрение и доверие со стороны корпоративных заказчиков, которым предстоит привыкнуть к новому корню сертификации. Редакция полагает, что успех проекта будет определяться скоростью интеграции отечественного корня доверия в популярные платформы и готовностью самих разработчиков переключиться на новую модель.