Почему свой удостоверяющий центр должен быть незаметным

Почему свой удостоверяющий центр должен быть незаметным

Иван Проскуряков
Автор статьи

Иван Проскуряков

ИнфраструктураРазработка

Надо было давно делать свой нормальный удостоверяющий центр. Не как героический проект на десятилетия, а как обычную инфраструктурную задачу: корень доверия, выпуск TLS-сертификатов, понятная автоматизация, аудит, поддержка браузеров и операционных систем.

Технически это давно решаемо. Законодательную часть тоже можно было не тянуть до момента, когда все опять начинают бегать с инструкциями и объяснять людям, куда нажимать.

Но главная проблема даже не в том, что поздно. Главная проблема в том, что пользователю вообще предлагают что-то вручную устанавливать.

Если это нужно объяснять маме, инфраструктура не готова

Я могу поставить сертификат Минцифры. Я могу разобраться, где скачать профиль, что подтвердить, какой браузер поддерживает российские сертификаты и почему один сайт открывается, а другой ругается.

Но потом попробуйте объяснить это обычному человеку. Не системному администратору. Не разработчику. Не человеку, который живет в терминале. Моей маме, например.

Если для доступа к обычному сайту нужно читать инструкцию на пять страниц, проблема не у пользователя. Пользователь не обязан понимать PKI, корневые сертификаты, доверенные хранилища, цепочки сертификации и политику браузеров.

Хорошая инфраструктура незаметна. Открыл сайт — он работает. Сертификат валиден. Браузер не пугает красной страницей. Никто не просит скачать что-то из отдельного раздела Госуслуг и вручную добавить доверие на каждом устройстве.

Как это должно работать

Если государству нужен свой PKI, окей. Но нормальный путь такой:

  • удостоверяющий центр проходит требования root-программ браузеров и операционных систем;
  • корневые сертификаты попадают в доверенные хранилища через обычные обновления;
  • владельцы сайтов получают сертификаты через стандартный ACME-процесс;
  • пользователь не делает вообще ничего.

У браузеров и ОС для этого есть формальные программы доверия: Mozilla Root Store Policy, Apple Root Certificate Program, Microsoft Trusted Root Program, Chrome Root Program.

Это не кнопка «добавьте нас, мы хорошие». Там требования, аудит, инциденты, прозрачность, ограничения и ответственность. Так и должно быть. Корневой сертификат — это не обои на рабочий стол. Если ему доверяет система, он может подтверждать подлинность огромного количества сайтов.

Что есть у обычных сайтов сейчас

Если говорить про публичные бесплатные удостоверяющие центры, которым доверяют современные браузеры, для обычного сайта список рабочих вариантов не бесконечный.

Let’s Encrypt — де-факто стандарт. Бесплатно, автоматизировано, ACME, сертификаты на 90 дней. Для большинства сайтов это первый нормальный выбор.

ZeroSSL — тоже бесплатные 90-дневные DV-сертификаты, ACME и веб-интерфейс. Удобно как запасной вариант или когда хочется не завязываться только на Let’s Encrypt.

Google Trust Services — публичная CA от Google с ACME, но с External Account Binding. Это уже не «вставил любой ACME URL и поехали», зато как резервный вариант выглядит серьезно.

SSL.com — бесплатные 90-дневные DV-сертификаты. Не мой первый выбор для маленького VPS, но как существующий публичный вариант его надо учитывать.

Actalis — итальянский УЦ, который предлагает бесплатные DV-сертификаты через ACME. Менее массовый, чем Let’s Encrypt, но уже не экзотика из подвала.

Buypass Go SSL раньше был хорошей альтернативой, но в 2025 году Buypass объявил, что прекращает выдачу TLS/SSL-сертификатов. С 15 октября 2025 года они больше не предлагают TLS/SSL-сертификаты. Это как раз хороший пример, почему инфраструктуру нельзя строить на одном внешнем поставщике без плана Б.

Что часто путают с удостоверяющим центром

Есть сервисы, которые выглядят как «бесплатный сертификат», но решают другую задачу.

Cloudflare Universal SSL работает, когда домен подключен к Cloudflare и запись проксируется. Для внешней стороны Cloudflare сам выпустит и обновит сертификат. Но это не способ получить отдельный публичный сертификат для любого своего сервера.

Cloudflare Origin CA — еще уже: такие сертификаты нужны для связи между Cloudflare и origin-сервером. Документация прямо предупреждает, что если отключить проксирование, обычные посетители могут увидеть ошибку недоверенного сертификата.

AWS Certificate Manager тоже часто записывают в «бесплатные сертификаты». Но бесплатная модель по умолчанию относится к сертификатам, которые используются с интегрированными AWS-сервисами. С 2025 года у ACM появились exportable public certificates, которые можно использовать вне интегрированных сервисов, но это уже отдельная модель и не прямой аналог бесплатного ACME-сервера для любого VPS.

Поэтому для владельца обычного сайта самая практичная база все еще выглядит так: Let’s Encrypt основным, один-два резервных ACME-поставщика, нормальный мониторинг продления и понятный план, что делать при сбое.

Где здесь место российскому УЦ

Если российский удостоверяющий центр хочет быть нормальной частью интернета, он должен выглядеть для владельца сайта примерно так:


acme.example-ca.ru

И дальше обычная настройка в Caddy, Certbot, acme.sh или другом клиенте. Подтвердил домен, получил сертификат, поставил автообновление, пошел работать.

Для пользователя при этом не должно быть отдельной реальности. Никаких «скачайте корневой сертификат», «поставьте профиль», «откройте именно этот браузер», «если не работает, очистите кэш и попробуйте еще раз».

Пользователь не обязан быть участником инфраструктурного эксперимента. Он пришел оплатить счет, прочитать документ, открыть личный кабинет, отправить форму. Его задача — пользоваться сервисом. Задача инфраструктуры — не мешать.

Что я бы считал нормальным решением

Минимальный набор для вменяемого государственного PKI:

  • публичная документация для администраторов, а не инструкции для страдающих пользователей;
  • поддержка ACME для DV-сертификатов;
  • понятный процесс для OV-сертификатов, если они нужны государственным и крупным организациям;
  • прозрачная история инцидентов и отзывов сертификатов;
  • совместимость с международными root-программами или хотя бы честный план, как туда попасть;
  • нормальный мониторинг, статус-страница и предсказуемые сроки;
  • отсутствие ручной установки сертификатов у конечных пользователей как основной сценарий.

Да, это скучно. Но инфраструктура и должна быть скучной. Самый хороший удостоверяющий центр — тот, про который обычный человек никогда не узнает.

Вывод

Свой удостоверяющий центр нужен не для того, чтобы люди вручную добавляли доверие на телефоне. Он нужен для того, чтобы сайты продолжали работать нормально, предсказуемо и независимо от одного внешнего поставщика.

Если российский PKI хочет быть реальной инфраструктурой, он должен встроиться в привычный путь: доверенные хранилища, обновления браузеров и ОС, ACME, автоматическое продление, понятная ответственность.

Все остальное — это не суверенная инфраструктура, а инструкция на пять страниц. А инструкция на пять страниц для открытия сайта — это уже диагноз.

Похожие статьи

Вам будет интересно

Акт приёмки сайта: что проверить перед финальной оплатой
КонтрольРазработка

Акт приёмки сайта: что проверить перед финальной оплатой

28.06.2026

Аудит старого сайта за 90 минут: маршрут без лишних отчётов
АудитМаркетинг

Аудит старого сайта за 90 минут: маршрут без лишних отчётов

28.06.2026

Блог для бизнеса: 12 типов статей, которые не стыдно публиковать
КонтентSEO

Блог для бизнеса: 12 типов статей, которые не стыдно публиковать

28.06.2026