✍️Динамика рынка аккредитованных УЦ: итоги 8 месяцев 2024 vs 2025

Пришло время подвести итоги и посмотреть, как изменился рынок удостоверяющих центров за год! 📊

Пять основных выводов:
1️⃣ Объем рынка снизился
В 2025 году выдано 11,6 млн сертификатов против 12,2 млн в 2024 (-4,9%). Причина - "волны перевыпуска" в 15 месяцев.

2️⃣ Рынок стал более концентрированным
Доля топ-10 выросла с 88% до 91,4%. Крупные игроки укрепляют позиции, а мелкие теряют долю.

3️⃣ ГосУЦ лидируют
ФНС и Казначейство вместе занимают 46% рынка. ФНС выдала 3,7 млн сертификатов (+5,7% к 2024).

4️⃣ Главный взлет года — ИИТ
Увеличил выдачу на 110% — с 854 тыс. до 1,79 млн сертификатов (КЭП Госключа). Теперь это уверенный №2 на рынке.

5⃣Топ-10 серьезно обновился
Вошли: АйТи Мониторинг, СКБ КОНТУР, Сертум-Про
Выбыли: ТБанк, ТАКСКОМ, МТС и не должен был быть.

🔹Государство продолжает играть ключевую роль в области ЭП.
🔹Коммерческие УЦ могут показать рост либо благодаря государству, либо заняв нишу другого УЦ
🔹Рынок становится более зрелым и консолидированным.

✍️Об ЭП и УЦ

Интересная история приключилась (те, кто едут на PKI Forum, могут не читать, – все равно там такие вещи затрагивать не будут). В мае 2025 года Fina RDC 2020 (подчиненный центр сертификации Fina Root CA) выдал три TLS-сертификата для IP-адреса 1.1.1.1, используемого DNS-сервисом Cloudflare и APNIC, и сделала она это без разрешения Cloudflare 😮 Сертификаты были обнаружены благодаря системе Certificate Transparency (CT); при этом Cloudflare признала, что их система мониторинга сертификатов дала сбой. При этом информация всплыла лишь через четыре месяца 😦 На момент публикации на Ars два из них были ещё действующими.

Fina CA пояснила, что сертификаты были выпущены “для внутренних тестов”, и это была ошибка при вводе IP-адресов 🧑‍💻 – однако никаких дополнительных подтверждений контроля над 1.1.1.1 они не имели. Cloudflare не нашла доказательств, что сертификаты использовались для MITM-атак или кражи трафика. Однако технически такая возможность существовала – сертификаты могли использоваться для расшифрования зашифрованных запросов через DNS over HTTPS (DoH) и DNS over TLS (DoT), подмены DNS-запросов, внедрения ложных адресов (при доверии Fina CA) 😠

Возможные последствия инцидента: ✍️
6️⃣ Компрометация доверия. Атака подчеркивает уязвимость всей модели PKI и ставит под удар доверие к Интернету в целом, где даже один неправильно действующий CA может нарушить безопасность коммуникаций.
2️⃣ Роль Certificate Transparency. Именно публичные CT-логи помогли обнаружить сертификаты. Но задержка в обнаружении в несколько месяцев указывает на слабости текущих механизмов мониторинга.
3️⃣ Действия Cloudflare. Все сертификаты отозваны, усилен мониторинг CT, обновлена triage-процедура на багбаунти, улучшен UI мониторинга в Cloudflare Radar 📡

Microsoft, которая доверяла Fina Root CA через свою систему Windows Root Store 📱, признала проблему и пообещала заблокировать эти сертификаты через список disallowed certificates. Chrome и Firefox никогда не доверяли Fina CA, Safari тоже – пользователи этих браузеров под угрозой не были. Это указывает на проблему централизованного контроля над списками доверенных CA. А к Microsoft остались вопросики – почему ее процессы не выявили поддельные сертификаты раньше, ведь CT-логи позволяют автоматизировать такие проверки ✍️

Что делать (в том же SOC, если он занимается мониторингом корпоративного PKI)? 🤔
6️⃣ Мониторинг CT
➡️ Настроить автоматическую проверку CT-логов для корпоративных доменов.
➡️ Включить уведомления о любых сертификатах, выданных на IP/домены организации.
2️⃣ Анализ доверия к CA
➡️ Проверить список доверенных корневых CA в используемых ОС/браузерах/средствах сетевой безопасности/сетевом оборудовании.
➡️ Исключить или ограничить малоизвестные CA, которые не признаны крупными вендорами.
3️⃣ Детекция MITM
➡️ Включить правила для обнаружения подмены TLS-сертификатов в прокси, IDS/IPS и EDR.
➡️ Отслеживать неожиданные цепочки доверия в сертификатах.
4️⃣ Аудит DoH/DoT
➡️ Контролировать и логировать все обращения к корпоративным DNS-серверам.
➡️ В случае корпоративного использования 1.1.1.1 – убедиться, что клиенты используют проверенные сертификаты.

Интересно, НУЦ отслеживает такие кейсы? 🤔

ЗЫ. Спасибо подписчику за присланную новость!

#pki #инцидент

Внесение изменений в форму МЧД. Попытка No 3

Минцифры России в третий раз опубликовало для общественного обсуждения проект приказа об изменении формы МЧД:
🔹паспортные данные в МЧД не являются обязательными
🔹срок действия доверенности обязательно должен быть указан в МЧД
🔹обеспечена возможность указания сведений о доверителе для филиалов, представительств и иных обособленных подразделений российского юридического лица
🔹указанию в МЧД подлежат идентификатор и наименование конкретного полномочия

Численность подгруппы участников правоотношений составляет 442591 шт. (данные основаны на сведениях, содержащихся в ФГИС «ЕСИА» и представленных ФНС России), из которых уникальных доверителей в 2023 году - 19927, в 2024 году 185527, в 2025 году – 237137.
Затраты субъектов регулирования на соблюдение обязательных требований за 6 лет с предполагаемой даты вступления в силу проекта акта составят от 300 млн до 3 млрд рублей

Ознакомиться с проектом документа и оставить свои предложения можно на портале regulation.gov.ru.

✍️Об ЭП и УЦ

✍️Скорректировано Положение о федеральном государственном контроле (надзоре) в сфере электронной подписи

Ключевая цель поправок — внедрение дистанционных форматов контроля с использованием видеосвязи и мобильного приложения «Инспектор», также уточнен порядок рассмотрения жалоб контролируемого лица.

✍️Об ЭП и УЦ

📣На Едином портале госуслуг обновлен сервис получения и отзыва TLS-сертификатов от Национального удостоверяющего центра (НУЦ)

🌐 Wildcard-сертификаты для OV-типа
Теперь можно получить один сертификат сразу для всех поддоменов. Доступно для RSA и ГОСТ-сертификатов с проверкой организации (OV).

🔠 Поддержка кириллицы (.рф) Получение сертификатов для доменов на русском языке, работает с кириллическими доменами в формате punycode.

📎 Упрощение подтверждения владения доменом
Загрузка необходимого количества документов, подтверждающих право владения доменом, независимо от числа SAN-имени в сертификате.

📝 Удобная работа с черновиками
Срок жизни черновика увеличен до 3 месяцев. Количество черновиков:
🔹Физлица и ИП – 1 черновик.
🔹Юрлица – до 10 черновиков.

✅ Гибкий способ подтверждения
Выбор подтверждения управления доменом: через добавление TXT-записи в DNS или через файл (кроме wildcard-сертификатов, там доступен только TXT).

📢 Отозвать TLS-сертификат НУЦ можно двумя способами:
🔹 Выдан ДО 13.07.2025? →Email: tls-rsa@digital.gov.ru →Подписать УКЭП →Срок: 2 дня
🔹 Выдан ПОСЛЕ 14.07.2025? →Через Госуслуги →Срок: 5 дней
❗️Отменить отзыв невозможно!

✍️Об ЭП и УЦ

Такое видео репостил запретограм, которое не соответствуют действительности❌

Минцифры летом сообщало:

В законе идёт речь только про подпись документов в «Госключе». Он не затрагивает другие сервисы для подписания документов электронной подписью.

Сам комментарий регулятора вызывает больше вопросов, чем ответов, например, такое:

В законе говорится об эксклюзивном бесшовном взаимодействии «Госключа» с национальным мессенджером, что позволит упростить направление и получение на подпись документов, например, договоров с операторами связи, просто направив их в чат. Для непосредственного подписания документов и далее будет применяться приложение «Госключ».

Я повторю вывод, сделанный в конце июня:

Если читать буквально, то всё подписание КЭП и НЭП Госключа со стороны физлиц, юрлиц и ИП должно мигрировать в мессенджер, кроме случаев подписания для реализации полномочий государственных органов, в том числе Москвы.

С приветственным словом на PKI-Форуме к участникам обратится целый глава ИТ-комитета Госдумы тов. Боярский С.М.
Сможет ли автор поправки о мессенджере прокомментировать данную норму, а главное захочет ли.