В России создают альтернативу иностранным сертификатам подписи кода - «Новости»

Как сообщает РБК, крупные российские компании тестируют инфраструктуру, которая позволит подписывать отечественный софт без сертификатов западных удостоверяющих центров. Это решение призвано помочь сохранить доверие к ПО, если иностранные провайдеры начнут массово отзывать ранее выданные сертификаты.

По информации издания, проект разрабатывает рабочая группа «Единое пространство доверия», созданная на базе Национального технологического центра цифровой криптографии при участии ФСБ, Минцифры и ФСТЭК. В рабочую группу входят «РусБИТех-Астра», «Сбертех», «Базальт СПО», «Открытая мобильная платформа», «КриптоПро», «ИнфоТеКС», «Лаборатория Касперского» и другие компании.

Центральным элементом новой системы должен стать Отраслевой технологический удостоверяющий центр (ОТУЦ), который будет выдавать российским разработчикам сертификаты для подписи кода. По словам гендиректора «КриптоПро» Станислава Смышляева, центр уже работает в тестовом режиме.

Сообщается, что с ноября 2025 года сертификаты ОТУЦ тестировали «КриптоПро», «ИнфоТеКС», «Код безопасности», «Лаборатория Касперского», «Сбертех», а также разработчики Astra Linux, «Альт», РЕД ОС, ROSA и «Аврора». Участники получили сертификаты, подписали ими свои продукты и обменялись софтом для взаимной проверки.

Также параллельно собственные сертификаты подписи кода разрабатывает Национальный удостоверяющий центр Минцифры. Ведомство тестирует подпись на базе ГОСТ в российских Linux-системах и сообщает об успешном встраивании ГОСТ-подписи установочных файлов в Android.

Один из собеседников РБК сообщил, что работу над российской альтернативой ускорил июньский отзыв SSL/TLS-сертификатов GlobalSign у российских организаций. Причиной стали новые требования международного консорциума CA/Browser Forum, который определяет правила выпуска и отзыва сертификатов безопасности. Согласно обновленным регламентам, для удостоверяющих центров стала обязательной проверка клиентов по санкционным спискам США и ЕС.

Ситуацию с сертификатами подписи кода осложняет то, что Sectigo и DigiCert прекратили выдавать и продлевать такие сертификаты российским компаниям еще в 2022 году. В 2023 году собственный удостоверяющий центр Apple также отозвал сертификаты у ряда подсанкционных организаций.

Опрошенные изданием эксперты отмечают, что главная проблема заключается в том, что разработчики российских ОС могут добавить сертификаты ОТУЦ в доверенные по умолчанию, но ждать аналогичного шага от Microsoft или Apple не приходится. Поэтому для Windows, macOS и iOS придется создавать дополнительные механизмы проверки. В Windows и Android пользователи смогут добавить сертификат вручную, а на платформах Apple установка подписанного неизвестным способом приложения потребует режима разработчика.

При этом по данным Statcounter, по состоянию на май 2026 года Windows занимала 83,2% российского рынка десктопов, а macOS — 7,4%. На отечественные Linux-дистрибутивы приходилось около 3%.

Эксперты предупреждают, что массовый отзыв иностранных сертификатов может остановить распространение новых версий софта и патчей, а также закрыть российским разработчикам доступ к официальным магазинам приложений. Отказ от проверки подписи, в свою очередь, упростит проведение фишинговых атак, распространение поддельных установщиков и малвари.