По данным на 1 июля 2025 года, почти 60% сайтов в интернете работают с сертификатами Let's Encrypt. Их валидация зависит от OCSP, а OCSP — от Cloudflare, который в России работает нестабильно. Разбираемся, насколько серьезной может стать ситуация и что стоит сделать владельцам ресурсов уже сейчас.
Что такое Let's Encrypt
Let's Encrypt — это бесплатный, автоматизированный и открытый Центр сертификации (ЦС). Он занимается выдачей SSL/TLS-сертификатов для сайтов и обеспечивает безопасное соединение по HTTPS.
Проект некоммерческой организации Исследовательской группы безопасности Интернета (ISRG) работает с целью сделать шифрование доступным для всех владельцев сайтов, вне зависимости от бюджета или технической подготовки.
Let's Encrypt опирается на следующие принципы:
- Доступность: любой владелец домена может использовать Let's Encrypt для получения SSL/TLS-сертификатов без финансовых затрат.
- Автоматизация: программное обеспечение, работающее на веб-сервере, выпускает, обновляет и настраивает сертификаты без участия человека.
- Безопасность: Let's Encrypt выступает платформой для внедрения передовых технологий в сфере TLS, и на стороне ЦС, и помогая владельцам сайтов защищать их серверы.
- Прозрачность: все выданные и отозванные сертификаты публикуются в открытом реестре, а протоколы автоматического выпуска и продления оформлены как открытые стандарты и находятся в свободном доступе.
- Взаимодействие: Let's Encrypt — результат совместных усилий сообщества, а не проект одной компании.
Как связаны Let's Encrypt и OCSP
При посещении сайта браузер должен получить подтверждение действительности SSL-сертификата. Для этого используется технология OCSP (Online Certificate Status Protocol) — это онлайн-запрос к серверу центра сертификации, который проверяет, был ли сертификат отозван.
Let's Encrypt применяет OCSP-проверки по умолчанию. Это часть экосистемы безопасности TLS: она позволяет браузеру вовремя узнать о проблемах с сертификатом — например, если тот был скомпрометирован и отозван.
Чтобы эти проверки работали, браузер обращается к OCSP-серверу Let's Encrypt. Здесь не обойтись без Cloudflare.
Причем здесь Cloudflare
Для ускорения и масштабирования ответов на OCSP-запросы Let's Encrypt использует инфраструктуру Cloudflare, чтобы стабильно и быстро доставлять данные по всему миру, без нагрузки на основную инфраструктуру Центра сертификации.
В российском сегменте интернета такая схема вызывает проблемы. Cloudflare не имеет представительства в нашей стране, вопреки требованиям закона. Компания не хранит персональные данные на территории России, а Роскомнадзор призывает перейти на отечественную замену иностранной компании.
«Судя по информации в открытом доступе, Cloudflare в России целенаправленно замедляют, как это делали с Youtube. Каким образом — у нас такой информации нет. Предположительно блокировка происходит на оборудовании ТСПУ, независимо от операторов связи. В регионах могут одновременно применяться разные способы ограничения. Полную картину можно составить только на основе отзывов интернет-пользователей со всей страны».
Здесь и далее в тексте, приводим слова Дмитрия Никонова, руководителя направления защиты на уровне веб-приложения DDoS-Guard.
Проблемы с доступностью Cloudflare приводят к тому, что запросы к OCSP-серверам могут не доходить до адресата или делают это с задержкой. В результате браузеры не получают своевременного подтверждения валидности сертификата.
Как это повлияет на пользователей
Кажется, что проблемы с OCSP-запросами касаются только технической стороны, но фактически последствия затрагивают более половины всех пользователей интернета, даже тех, кто не интересуется ни сертификатами, ни шифрованием.
Как мы говорили, если браузер не может получить ответ от OCSP-сервера, он считает сертификат недействительным. В лучшем случае — пользователь увидит предупреждение о потенциальной угрозе безопасности, в худшем — сайт вообще не откроется.
Это критично для ресурсов с параметром OCSP Must-Staple — в этом случае браузер обязан получить подтверждение, иначе сайт заблокируется автоматически.
Проблемы для бизнеса
От возможных перебоев с OCSP пострадают в первую очередь сайты малого и среднего бизнеса. Уязвимы и проекты, которые полностью полагаются на бесплатные или базовые решения, не предусматривающие резервирования.
Если компании напрямую не используют Cloudflare, они все равно могут зависеть от работоспособности компании в России, поскольку Encrypt отдает OCSP-ответы через узлы Cloudflare. Это значит, что перебои в работе Cloudflare в нашей стране приведут к недоступности сайта для клиентов.
Крупным компаниям проще, поскольку у них есть ресурсы для реализации резервных решений.
«Предприниматели, которые пользовались базовым или бесплатным тарифом Cloudflare и испытывают технические сложности могут быстро переключиться на другие решения, в том числе отечественные. Российские компании зачастую идут к ним на встречу, ведут себя более контактно и действуют оперативно».
Проблемы с переходом на российские сертификаты
Let's Encrypt — не единственный Удостоверяющий центр (УЦ), который автоматически выдает бесплатные сертификаты TLS. Еще есть Buypass (BuyPass Go SSL с VPN) и ZeroSSL. С недавнего времени к ним присоединился SSL.com.
Альтернативой Let's Encrypt могут стать отечественные аналоги. Например, госуслуги предлагают бесплатно получить сертификаты OV (Organization Validated) или DV (Domain Validated). Однако их замена в браузерах или на устройствах — не самый простой процесс.
«Чтобы другие TLS-сертификаты заработали, на клиентских устройствах нужно провести ряд манипуляций, абсолютно непонятных обычному пользователю. И не везде это возможно: например, большой вопрос — можно ли такое сделать на умных телевизорах? Фактически "умная" часть устройства может превратиться в “кирпич”».
Возможности для мошенников
Техническая неразбериха — это шанс для злоумышленников. Пользователи, у которых «еще вчера все открывалось, а теперь нет», могут легко попасть на удочку тех, кто предлагает «установить нужный сертификат» или «настроить доступ», чтобы все снова работало. Под этим предлогом мошенники могут получить все, что им нужно: пароли, банковские данные, аккаунт Госуслуг и другую чувствительную информацию.
Что делать сейчас
Ситуация с Let's Encrypt — не повод для паники, но сигнал для подготовки. Даже если сейчас все работает, не стоит ждать, пока «все сломается». Как минимум, важно провести экспресс-аудит:
«Первое — разработать четкий план действий. Не 20-страничный документ с печатями, а прямой набор инструкций: зайти сюда, поменять это, проверить то, — вплоть до конкретных команд, которые надо ввести».
Если в вашей инфраструктуре используется Cloudflare — напрямую или косвенно, следует подумать о миграции на отечественные сервисы. Даже если вы не планируете переход прямо сейчас, будет полезно иметь готовый план действий.
«Если структура проекта сложная и требует индивидуальной проработки, лучше заняться этим заранее. Тогда в случае необходимости переход на отечественное решение пройдет спокойно и безболезненно».
Скидка 20% при миграции с Cloudflare
В DDoS-Guard действует скидка при переходе с Cloudflare 20% — самое время подготовиться к возможным рискам
