📍Продолжение темы про отзыв сертификатов GlobalSign
В профильных каналах разобрали механику: CA/Browser Forum — не «рука Госдепа», а отраслевой консорциум, где санкционные требования действуют только для УЦ с американской юрисдикцией. У Let's Encrypt есть оговорка про OFAC General License 25G - потенциальная защита для немассовых коммерческих организаций. Для технического специалиста это важный нюанс.
Перевод на язык решений: Иностранный УЦ может в любой момент перестать обслуживать ваш сертификат, влияние на изменения политики самого УЦ или его юрисдикции. Если в инфраструктуре есть certificate pinning, замена занимает не часы - нужен релиз приложения и его проверка в сторе.
🎯 Что стоит сделать прямо сейчас: 1. Провести инвентаризацию: на каких УЦ держатся критичные сертификаты, и есть ли среди них иностранные с американской/европейской юрисдикцией.
2. Там, где используется certificate pinning - оценить реальное время на экстренную замену, включая публикацию обновления.
3. Рассмотреть параллельный выпуск сертификата на отечественном УЦ (Минцифры) как fallback, даже если он сейчас не используется как основной.
4. Закрепить эту проверку как регулярный пункт, а не разовую реакцию на новость.
🔻Комментарий SLEM: нельзя предсказать, когда и кого отзовут следующим. Можно заранее убрать единую точку отказа из инфраструктуры доверия.
