📣Подборка самых важных новостей о сфере электронной подписи от нашего канала по итогам мая 2026 года

1⃣Разработан проект постановления Правительства, исключающий необходимость получения лицензии на установку СКЗИ для собственных нужд

2⃣Второй пакет Антифрода второе чтение ещё не прошёл, представлена информация о разработке третьего пакета мер

3⃣Опубликован стандарт ФСБ и Банка России о порядке оценки влияния приложений клиентов на работу СКЗИ

4⃣Сервис проверки Головного УЦ проверяет КЭП выписок из ЕГРЮЛ

5⃣Инцидент с кросс-сертификатами Let's Encrypt (1, 2, 3)

6⃣Microsoft подан иск на мошенников, выдававших сертификаты подписи кода (1, 2)

7⃣Внесены изменения в состав межведомственной рабочей группы по взаимному признанию ЭП-ЭЦП

8⃣Эксперимент по кадровому ЭДО продлен до 31.05.2027

9⃣Норма о возможности подписывать электронной подписью документы о прохождении инструктажа по технике безопасности исключена из законопроекта

🔟В Москве прошел форум Архивы 2026, в Нижнем Новгороде - ЦИПР

Ушел из жизни Матюхин В.Г. - человек, утвердивший 152-ФАПСИ, отец-основатель отечественной 🔐, вечная память.

✍️Об ЭП и УЦ

✍️Как в Казахстане вычисляют и штрафуют за передачу ключей ЭЦП

Прошло более года после введения в Казахстане ответственности за передачу ключей ЭЦП, за это время зарегистрировано 113 нарушений.

Подавляющее большинство (76 фактов) - добровольная передача своих ключей другим людям: бухгалтеру, коллеге, родственнику. Штрафы для физлиц - 10 МРП (6,5 тыс. руб.), должностных и малого бизнеса - 15 МРП, среднего бизнеса - 30 и 150 МРП для крупного.

28 фактов использования чужого ключа ЭЦП, штрафы до 200 МРП (130 тыс. руб.)

🕵️ 81 факт из 113 выявлен самими госорганами: через мониторинг систем и проверки. Ещё 23 - от правоохранителей, 9 - от граждан и СМИ.

⚠️ Уголовной статьи за передачу или использование чужого ключа ЭЦП нет, но если ключ использовался для кражи или подлога - дело переквалифицируют в мошенничество или несанкционированный доступ.

Всего в Казахстане 27,2 млн. сертификатов, из них 25,9 млн. физики, 1,3 млн. юрлица. В России такая статистика отсутствует, экспертная оценка говорит о 21-22 млн. действующих квалифицированных сертификатов, из них 3,2 млн. юрлица.

🤔Миллион бухгалтеров в нашей стране передают "привет" своим казахским коллегам и продолжают использовать чужие ключи электронной подписи.

✍️"Об ЭП и УЦ"

🤔Ничего необычного, просто Оферта об использовании ПЭП подписывается ПЭП

✍️Сказ о том, как Казахстан Правила подтверждения подлинности ЭЦП ДТС обсуждал

Решил как-то Казахстан в соответствии с пунктом 3 статьи 57 своего Цифрового кодекса утвердить Правила подтверждения подлинности электронной цифровой подписи доверенной третьей стороной и вспомнил про существование Портала, предназначенного для размещения проектов нормативных правовых актов для осуществления публичного обсуждения пользователями.

Только вместо самих правил разместил на Портале «Открытые НПА» Форму для размещения проекта НПА, чем вызвал в комментариях праведный гнев пользователей:

ЭТО ФИКЦИЯ, А НЕ ПУБЛИЧНОЕ ОБСУЖДЕНИЕ ПРОЕКТА!!!

А где сам проект НПА? Или обсуждается только его заголовок?

И отвечал на все возражения типовой отпиской:

Согласно последним техническим доработкам Портала, в целях оптимизации процесса публичного обсуждения проектов НПА изменен формат размещения подзаконных проектов НПА. В частности, для удобства населения на Портале будет размещаться основное содержание проекта НПА в доступной для ознакомления форме.

А можно было как наше Минцифры - проект разместить, но забыить его на этапе Подведения итогов публичного обсуждения.

P.S. У тебя есть ключ?
- Лучше! У меня есть рисунок ключа!

✍️"Об ЭП и УЦ"

📊 Топ-10 аккредитованных удостоверяющих центров: Госключ рвётся к лидерству

За 5 месяцев 2026 года выдано 8,18 млн. сертификатов - на 20% больше, чем год назад. Топ-10 АУЦ стабильно контролируют >91% всей выдачи сертификатов в стране (статистика за аналогичный период прошлого года по ссылке).

🚀 ИнфоТеКС ИТ взлетел со 886 тыс. до 1,83 млн. - рост квалифицированных сертификатов Госключа более чем вдвое. Отрыв от лидера топа - УЦ ФНС России сократился до 386 тыс.

🔹УЦ ФНС России с 2,22 млн. - стабильный лидер, показывающий плановые показатели для рынка ЮЛ/ИП.
🔹ИИТ - 1,83 млн., стремительно догоняет за счёт квалов для физлиц.
🔹УЦ ФК - 1,14 млн. и крепкая 3-я позиция.

📈 Если ИИТ сохранит темп, то в 2027 году произойдет смена лидера.

Ещё больше новостей о сфере электронной подписи - @ep_uc

✍️"Об ЭП и УЦ"

✍️Google против электронной подписи Роскомнадзора

Интересное судебное решение в прошлом году принял Таганский районный суд, которым оштрафовал Google LLC по ч. 2 ст. 13.41 КоАП РФ (неудаление запрещённой информации) (дело № 5-684/2025). Поводом стало неудаление в Google Play ссылок на способы обхода блокировок.

Ключевым эпизодом, на который делал ставку Google, стала проверка электронных подписей

Защита Google заявила, что уведомления Роскомнадзора подписаны с нарушением закона 63-ФЗ - электронные подписи не проходили проверку, представила скриншоты из программы "КриптоАРМ" и попросила назначить экспертизу с привлечением "КРИПТО-ПРО" и ФБУ Минюста.

Суд отказал в экспертизе, сославшись на то, что сам может проверить подписи. ДТС Судья для проверки использовал штатное криптографическое ПО "Карма" и установил: электронные подписи и сертификаты на момент подписания были действительны, выданы уполномоченному органу РКН. Суд также указал - документы после подписания не менялись, значит переподписывать их не требовалось.

Как суд парировал проверку "КриптоАРМ":

Из тех же документов, которые представил защитник, видно: дата выдачи сертификата, его срок действия и дата направления уведомления входят в период действия ЭП. Документы не менялись, поэтому они действительны.

Что ещё важно в постановлении:
- уведомления направлялись через личный кабинет на сайте РКН - это считается надлежащим уведомлением.
- Google ранее уже штрафовали за аналогичное нарушение, а это отягчающее обстоятельство.
- Удалить информацию нужно было в течение суток с момента направления уведомления, а не получения.

Какой практический вывод: если цель оспорить штраф, нужны процессуальные основания, а не на проверку электронной подписи уведомления от Роскомнадзора.

Отдельный вопрос по средству проверки, которое использовало судья - ПО "Карма", на рынке узкому кругу лиц известно лет 10, в реестре сертифицированных СКЗИ найти не удалось, откуда на рабочем месте судьи оно оказалось?

✍️"Об ЭП и УЦ"

🔥GlobalSign отозван TLS-сертификат сайта max.ru

Проверка через сервис SSL Server Test - сертификата сайта max.ru SSL Server Test: max.ru показывает рейтинг F, т.е. сайт нельзя считать безопасным.

🔴 Главная проблема - сертификат сайта, а он был выдан УЦ GlobalSign, отозван (Revocation status: Revoked INSECURE), проверка проведена через службу OCSP.  Удостоверяющий центр GlobalSign отозвал сертификат, который был выдан 12.01.2026 и действовал до 13.02.2027 (портал Госуслуг, например, тоже с сертификатом от GlobalSign, проверку проходит успешно).
🛑 Что это значит для пользователей: браузеры (Chrome, Firefox, Safari и др.) покажут ошибку и не пустят на сайт без явного подтверждения риска.

Нужно было получать сертификат от Национального удостоверяющего центра.

✍️"Об ЭП и УЦ"

УЦ Банка России для технологических сертификатов безопасности ключей TLS-соединений

Банком России сгенерирован новый корневой сертификат для выдачи TLS-сертификатов в рамках платформы цифрового рубля.

Если верить Требованиям операционно-технологического взаимодействия на платформе цифрового рубля - выпущенный корневым удостоверяющим центром участника платформы сертификат безопасности ГОСТ-TLS используется участником платформы для двухсторонней аутентификации и шифрования информации на уровне представления или ниже в соответствии с эталонной моделью взаимосвязи открытых систем (OSI).

Далее важная сноска - использование корневого сертификата Национального удостоверяющего центра необходимо после вступления в силу изменений в Федеральный закон "Об информационных технологий и о защите информации".

Авторам этого документа можно простить, что они не в курсе, что изменения по НУЦ вносятся в 63-ФЗ, а не в 149-ФЗ (как изначально планировалось), можно простить опечатку и указание старого ГОСТ 34.10-2001 в печатной форме, но незнание полного названия 149-ФЗ простить нельзя.

Сколько всего в нашем PKI корневых самоподписанных сертификатов?
🔹ГУЦ
🔹Неквал Госключа
🔹НУЦ RSA и ГОСТ
🔹Неквал НТЦ ЦК по отношению к ГИС ЕБС
🔹Цифровой рубль - неквал и TLS-ГОСТ

✍️"Об ЭП и УЦ"

✍️Госдума и антифрод

9 июня Госдума рассмотрит сразу во втором и третьем чтениях законопроект Антифрод 2.0.

Статья 6 законопроекта вносит изменения в 63-ФЗ в части создания Национального удостоверяющего центра, вступает в силу норма с 1 марта 2027 года. Пункт 5 части 2 статьи 14.1, касающейся сертификатов безопасности НУЦ, содержащих сведения об участниках электронного взаимодействия в корпоративной информационной системе и используемых для проведения их аутентификации и организации защищенного взаимодействия с ними, применяется с 1 января 2028 года.

✍️"Об ЭП и УЦ"

🆕Статистика по сертификатам безопасности за 5 месяцев 2026 года

Статистика по используемым TLS-сертификатам в доменной зоне .RU, которая нужна перед следующим постом.

Всего действующих сертификатов - 2 214 614, подавляющее большинство от Let's Encrypt - 92,16 %.

🔹Let's Encrypt R13 - 873 218 шт. (39,43 %)
🔹Let's Encrypt R12 - 871 723 шт. (39,36 %)
🔹Let's Encrypt E7 - 148 178 шт. (6,69 %)
🔹Let's Encrypt E8 - 147 884 шт. (6,68 %)
🔹WE1 Google Trust Services - 131 402 шт. (5,93 %)
🔹GlobalSign R3 - 28 983 шт. (1,31 %)
🔹Иные (в т.ч. НУЦ) - 13 226 шт. (0,60 %)

По сроку действия сертификатов:
🔹3 мес. - 2 173 973 шт.  (98,16 %)
🔹13 мес. - 28 984 шт. (1,31 %)
🔹6 мес. - 6 692 шт. (0,30 %)
🔹7 мес. - 3 471 шт. (0,16 %)
🔹12 мес. - 1 424 шт. (0,06 %)
🔹Иные - 66 шт. (0,01%)

Количество действующих TLS-сертификатов от национального УЦ ("отечественный RSA") за 5 месяцев увеличилось с 5276 до 6050 шт. и составляет 0,26%, ранее было снижение с 5410 шт. до 5276 шт.

Источники - Интернет-ресурс «Домены России», CTlog

⚡️Санкционные риски использования сертификатов Let's Encrypt

Международным удостоверяющим центром GlobalSign 5 июня в 23:37:02 (мск.) был отозван сертификат безопасности мессенджера Мах.

И это не случайность:
🔹4 июня мессенджер исчез из App Store (Apple сослалась на санкции).
🔹В апреле 2026 GlobalSign уже отзывал сертификат у клиента Telegram Telega.
🔹В конце апреля 2026 Cloudflare Radar присвоил домену Маха метку шпионского ПО (позже метка была снята).

6 июня в 10:27:45 (мск.) был создан новый сертификат безопасности, бесплатный от Let's Encrypt, на который и перевели домен. Новый сертификат действителен с 6 июня по 4 сентября 2026 года, всего 3 месяца.

Какие риски несёт использование сертификатов от Let's Encrypt, доля который в Рунете более 92%?

⚠️ Санкционные риски от Let's Encrypt

Переход на Let's Encrypt - временное решение, оно несет скрытые юридические риски. Представители мессенджера это понимают, поэтому получили 8 июня в 08:39:32 (мск.) ещё один сертификат от УЦ HARICA DV TLS RSA.

Согласно пункту 3.1 пользовательского соглашения Let's Encrypt (версия от 4 июня 2026), получатель сертификата гарантирует что:
🔴 не находится в стране, находящейся под санкциями США.
🔴 не можете находиться под контролем лиц из этих стран.
🔴 обязан немедленно запросить отзыв сертификата, если перестал соответствовать требованиям пользовательского соглашения.

Что это значит для всех российских сервисов, использующих сертификаты от
Let's Encrypt:
🔹Юридически - использование Let's Encrypt может считаться нарушением экспортного законодательства США.
🔹Технически - ISRG (оператор Let's Encrypt) может в любой момент отозвать сертификат без предупреждения (п. 4.2 соглашения).
🔹Ответственность - ISRG не несет НИКАКОЙ ответственности за убытки, а пользователь обязан возместить все убытки ISRG (п. 3.10).

Let's Encrypt - бесплатный сервис без гарантий и ответственности, сертификаты которого не могут использоваться в России. Более 92% доменной зоны .RU используют сертификаты от Let's Encrypt. Выводы делайте сами.

✍️"Об ЭП и УЦ"

✍️Первые в 2026-м году изменения 63-ФЗ приняты Госдумой

Изменения вносятся в рамках второго пакета Антифрод и направлены на нормативное регулирование создания Национального удостоверяющего центра.

Правительство вправе установить  случаи обязательного использования сертификатов безопасности, в финансовой сфере - по согласованию с Банком России.

Ближайшее заседание Совета Федерации состоится 17 июня 2026 года.

Второй законопроект, вносящий изменения в 63-ФЗ, был принят Госдумой в первом чтении 23 апреля, срок представления поправок до 01.05.2026, дата второго чтения неизвестна.

✍️"Об ЭП и УЦ"

✍️Как CRL Let's Encrypt "потеряли" отозванные сертификаты❌

3 июня 2026 года в 06:31 UTC внутренний мониторинг Let's Encrypt обнаружил проблему с несколькими списками отзыва сертификатов (CRL). Из‑за сбоя репликации базы данных новые записи об отозванных сертификатах временно отсутствовали в публикуемых CRL. Позже CRL были обновлены и содержали нужные серийные номера отозванных сертификатов.

Требования Baseline Requirements (секция 4.10.1) и собственный CP/CPS Let’s Encrypt (6.1, 4.10.1) запрещают удалять записи об отзыве до истечения срока действия сертификатов. В данном случае записи пропадали до окончания сертификатов, что является нарушением.

Кратковременное отсутствие записей в CRL означает, что в этот промежуток проверяющие стороны могли не зафиксировать отзыв некоторых сертификатов, что критично для систем, использующих CRL

Let’s Encrypt сами сообщили о проблеме и представили предварительный отчёт в баг-трекер Mozilla (баг #2044788, статус [ca-compliance] [crl-failure]).

Что-то в последнее время много новостей с Let's Encrypt - инцидент с кросс-сертификатами, санкционная политика, лидерство в Рунете, а ведь это американский удостоверяющий центр.

✍️"Об ЭП и УЦ"

Юрист рассказала РИА Новости, какие документы можно оформлять с электронной подписью

Электронная подпись позволяет оформить документы для получения ипотеки, направить заявление о государственном кадастровом учете или регистрации прав на недвижимость.

Для этого необходимо просто перенести электронную подпись в PDF-документ😳

Нужно законодательно запретить юристам рассказывать про электронную подпись🙈🙉🙊