Обзор рынка российских центров сертификации — 2026. Чем заменить Microsoft CA?

До сих пор 85–90 % российских компаний, у которых есть инфраструктура открытых ключей (PKI), пользуются центром сертификации AD CS от Microsoft. А ведь это — не только удобство и безопасность, но и точка отказа для всей аутентификации по цифровым удостоверениям. Какие есть отечественные альтернативы?

Введение

Когда на российском рынке ИТ и ИБ началось экстренное импортозамещение, заказчики волей-неволей расставляли приоритеты. Одни продукты и решения заменялись в первую очередь, другие — позднее. Неудивительно, что некоторые сегменты отечественного рынка разрослись быстро и бурно, а в ряде других царило относительное затишье.

Мало кто, например, не слышал об истории с межсетевыми экранами нового поколения (Next-Generation Firewall, NGFW): до февраля 2022 года в сегменте было 5 российских вендоров, а к 2024 году количество желающих создать наш NGFW подскочило до 30–50, по разным оценкам. Теперь эта активность понемногу спадает.

После того как первоочередные потребности удалось удовлетворить, участники рынка начали вспоминать о других сегментах. В ряде таких подзабытых областей возникло оживление. Среди них — сектор корпоративных центров сертификации, где за прошлый год появилось сразу несколько новых разработок. Пора посмотреть на него более пристально.

Корпоративные центры сертификации: цифры и факты

Кратко о положении дел в сегменте:

Мировой рынок центров сертификации оценивается примерно в 200 миллионов долларов США, перспективы роста — примерно до 500 миллионов долларов к 2035 году.

• В глобальном масштабе лидирует Microsoft с корпоративным центром сертификации Active Directory Certificate Services (AD CS)
• Среди конкурентов — Sectigo, DigiCert, Amazon Web Services (AWS). AD CS настолько плотно встроен в российские инфраструктуры, что с 2022 года его доля практически не меняется
• В 2024 году она составляла 90 %. Сейчас, в мае 2026 года, — порядка 85 % (опрос в эфире AM Live)
• На май 2026 года в сегменте есть 4 ключевых российских игрока: "Аладдин Р.Д." (Aladdin Enterprise CA), "Аванпост" (Avanpost CA), "Клируэй Текнолоджис" (Clearway CA), SafeTech Lab (SafeTech CA)
• 3 из 4 отечественных центров сертификации зарегистрировались в реестре Минцифры в 2025–2026 годах

Рассмотрим предложения и рыночные позиции каждого из четырёх игроков более детально. Учтём также возможные альтернативы.

Aladdin Enterprise CA

С помощью корпоративного центра сертификации от "Аладдин Р.Д." можно построить безопасную корпоративную инфраструктуру открытых ключей, заменив Microsoft CA с соблюдением требований российских регуляторов. Решение обеспечивает сценарии бесшовной миграции, в том числе с учётом перехода на отечественные LDAP-каталоги. Aladdin Enterprise CA предназначен для управления большим количеством сертификатов различного назначения: для пользователей, устройств, компьютеров, сервисов и т. д.

Процесс выпуска и распространения сертификатов автоматизирован и контролируется ролевой моделью и набором полномочий, интегрированным со службой каталогов. Aladdin Enterprise CA совместим с такими службами каталогов, как РЕД АДМ, ALD Pro, «Альт Домен», Samba DC и FreeIPA. Интеграция со службой каталогов позволяет выпускать сертификаты, обеспечивать их автоматическую доставку, управлять полномочиями через группы безопасности. Что касается клиентских компонентов, то они могут быть развёрнуты на устройствах под управлением РЕД ОС, Astra Linux Special Edition, «Альт СП» и Windows. Имеется сертификат совместимости с отечественной системой управления базами данных (СУБД) Jatoba, а также с Platform V SberLinux OS Server.

Архитектура продукта предполагает развёртывание компонентов в зависимости от их критической значимости. Центр сертификации — самый важный компонент, который рекомендуется скрыть даже от обычных пользователей предприятия.

Центр регистрации производит учёт заявок и автоматизирует процесс выпуска сертификатов, должен находиться внутри периметра и быть доступным для пользователей и устройств предприятия. Центр валидации можно вывести в DMZ для обеспечения проверки сертификатов по принципу «свой / чужой». Решение в целом обеспечивает высокий уровень безопасности: есть защита от внутреннего нарушителя, автоматический контроль целостности, механизмы отслеживания безопасной конфигурации продукта, защита каналов подключения.

От принципа "сначала построить, потом защитить" к Secure by Design

Вместе с тем, как отметил на пресс-конференции 9 июня Сергей Груздев, инфраструктура PKI, доступ к управлению которой находится у Microsoft, оказалась уязвимой для внешнего воздействия. Не случайно технология PKI считается стратегической, и её экспорт находится под строгими ограничениями, которые в ряде случаев даже жёстче, чем ограничения для ядерных технологий. Системы управления PKI с открытым кодом практически отсутствуют.

Злоумышленники также активно используют перехват управления контроллером домена для атак на компании. Именно таким образом была похищена информация о ряде военных разработок в 2017 году. В России одним из самых резонансных эпизодов стала атака на «Аэрофлот» в июле 2025 года. В ходе неё, по заявлениям злоумышленников, была похищена информация из 122 систем, а также уничтожены данные на 7000 серверах.

Особенности продукта:

• Кому подходит: компаниям и организациям, для которых важно соответствие регуляторным требованиям
• Сильная сторона: сертифицирован ФСТЭК России по 4-му уровню доверия (сертификат №4835 от 23.09.2024)
• Что надо учитывать: для некоторых функций нужны средство криптографической защиты информации (СКЗИ) «КриптоПро CSP» и программно-аппаратный криптографический модуль (ПАКМ) «КриптоПро HSM», которые требуется приобретать отдельно
• Ключевой сценарий использования: построение доверенной ИТ-инфраструктуры на базе PKI
• Последние новости (на момент обзора): в августе 2025 года вышла новая версия Aladdin Enterprise CA с поддержкой ECDSA и ГОСТ

Aladdin Enterprise CA внесён в реестр отечественного программного обеспечения (записи № 14433 от 08.08.2022 и № 25921 от 28.12.2024).

Полный текст обзора читать в Anti-Malware