В России разрабатывают собственную инфраструктуру доверия для программного обеспечения, которая позволит отечественным разработчикам продолжать выпускать и обновлять продукты даже в случае массового отзыва иностранных сертификатов подписи кода. Инициатива стала особенно актуальной на фоне санкционных ограничений и недавних случаев аннулирования сертификатов российским организациям со стороны зарубежных центров сертификации.

Новая система должна снизить зависимость от иностранных удостоверяющих центров и обеспечить работоспособность российских программ в случае дальнейшего ужесточения ограничений. Для этого уже создан отраслевой центр выдачи сертификатов, который проходит тестирование совместно с крупнейшими российскими разработчиками операционных систем и средств информационной безопасности.

Зачем нужны сертификаты подписи кода

Цифровая подпись программного кода используется для подтверждения подлинности приложения и защиты его от подмены. Когда пользователь запускает программу, операционная система проверяет сертификат издателя и убеждается, что файл действительно выпущен заявленным разработчиком и не был изменён после публикации.

Если сертификат отзывается удостоверяющим центром, операционная система может:

• полностью заблокировать запуск программы;
• выводить предупреждения о недоверенном издателе;
• ограничивать установку или обновление приложения.

Поэтому потеря сертификатов представляет серьёзную проблему как для разработчиков, так и для пользователей программного обеспечения.

Кто участвует в проекте

Работа ведётся в рамках группы «Единое пространство доверия», созданной на базе Национальный технологический центр цифровой криптографии при взаимодействии с Минцифры России, ФСБ России и ФСТЭК России.

В проекте участвуют ведущие российские разработчики программного обеспечения и средств защиты информации:

• ГК Астра
• СберТех
• Базальт СПО
• Открытая мобильная платформа
• КриптоПро
• ИнфоТеКС
• Лаборатория Касперского

Что такое ОТУЦ

Ключевым элементом новой системы станет Отраслевой технологический удостоверяющий центр (ОТУЦ).

Его задача — выдавать российским разработчикам сертификаты подписи программного кода, которые смогут использоваться вместо сертификатов иностранных удостоверяющих центров.

По данным участников проекта, ОТУЦ уже функционирует в тестовом режиме. С конца 2025 года ряд компаний получил тестовые сертификаты, подписал свои программные продукты и провёл взаимную проверку их корректности.

В испытаниях приняли участие:

• КриптоПро
• ИнфоТеКС
• Код Безопасности
• Лаборатория Касперского
• СберТех

Также тестирование прошли разработчики операционных систем:

• Astra Linux
• Альт
• РЕД ОС
• ROSA
• Аврора

Почему вопрос стал особенно актуальным

Интерес к созданию собственной инфраструктуры усилился после действий зарубежных удостоверяющих центров.

В июне японская компания GlobalSign начала отзыв сертификатов безопасности у части российских ресурсов, находящихся под санкциями.

Ранее ограничения в отношении российских организаций ввели и другие крупные поставщики сертификатов подписи кода:

• Sectigo
• DigiCert
• GlobalSign

После 2022 года многие из них прекратили выдачу новых сертификатов российским компаниям и продление уже существующих.

Что происходит после отзыва сертификата

По словам специалистов отрасли, разработчики в подобных ситуациях фактически оказываются перед сложным выбором.

Первый вариант — отказаться от подписи программного кода вообще. Это позволяет сохранить работоспособность программы, но значительно снижает уровень безопасности, поскольку злоумышленники получают больше возможностей для внедрения вредоносных модификаций.

Второй вариант — искать альтернативных зарубежных поставщиков сертификатов, которые не присоединились к санкционным ограничениям. Однако такой подход не гарантирует долгосрочной стабильности и несёт дополнительные риски.

Что будет с Windows, Android и iPhone

В Минцифры России сообщили, что уже ведётся тестирование отечественных сертификатов подписи кода на базе российских криптографических алгоритмов ГОСТ.

Работы охватывают:

• российские Linux-системы;
• платформу Android;
• механизмы подписания установочных пакетов с использованием ГОСТ.

По данным ведомства, интеграция российских алгоритмов в Android уже показала положительные результаты и при этом не нарушает совместимость с существующей экосистемой.

Также в министерстве подчеркнули, что в настоящий момент нет информации о планах Microsoft по отзыву иностранных сертификатов подписи кода или запрету на добавление новых доверенных сертификатов в Windows.

Как пользователи смогут доверять новым сертификатам

Для Windows и Android предполагается достаточно простой сценарий. Пользователь сможет самостоятельно добавить российский удостоверяющий центр в список доверенных сертификатов операционной системы.

Сложнее ситуация выглядит в случае с экосистемой Apple. Для устройств на базе iOS и macOS использование приложений с неизвестными системе сертификатами возможно через специальные механизмы разработчика, однако такой путь менее удобен для массового распространения программ.

Что это значит для рынка

Создание собственного удостоверяющего центра фактически формирует независимую инфраструктуру доверия для российского программного обеспечения. Если зарубежные центры сертификации начнут массово отзывать сертификаты или полностью прекратят обслуживание российских компаний, отечественные разработчики смогут продолжить выпускать подписанное ПО через национальную систему.

Для пользователей это означает сохранение возможности устанавливать и обновлять программы с подтверждённым происхождением, а для разработчиков — снижение зависимости от решений иностранных поставщиков цифровых сертификатов.