Коротко — два важных момента перед выбором:
1) «Cloudflare» как сервис — это не только выдача сертификатов, это CDN/обратный прокси, защита от DDoS, публичный DNS и прочие «edge»‑функции. Если вам нужен именно аналог Cloudflare (прокси/CDN/защита) — смотрите российские CDN/облачные провайдеры.
2) «Центр сертификации (CA)» — это тот, кто выпускает SSL/TLS‑сертификаты. Для публичного сайта сертификат должен цепляться к корневому сертификату, присутствующему в браузерах/ОС. Большинство публично‑действующих сертификатов сейчас имеют срок действия не более 398 дней (ограничение CA/Browser Forum), поэтому «бессрочных» доверенных сертификатов для общедоступного сайта получить нельзя. Бессрочные/длинные сертификаты возможны только для внутреннего пользования с собственной инфраструктурой доверия (выдаёте и устанавливаете свой корневой сертификат на все клиенты).
Что реально можно сделать в России
1) Российские CDN / «аналог Cloudflare» (прокси, CDN, DDoS, SSL‑терминирование)
- Selectel — CDN, защита, управляемые сертификаты.
- Yandex.Cloud (Yandex CDN) — CDN и управление сертификатами для сервисов в облаке.
- VK Cloud / Mail.ru Cloud Solutions — облачные услуги, CDN/защита.
- Gcore (G‑Core Labs) — CDN, WAF, DDoS, TLS/SSL.
- CDNvideo — российский CDN/edge‑провайдер.
Эти провайдеры могут выступать в роли обратного прокси и ставить/обновлять SSL за вас; многие предлагают HTTP(S)‑сертификаты как часть услуги.
2) Где взять SSL‑сертификат в России
- Крупные российские регистраторы и хостеры продают/выпускают сертификаты: RU‑CENTER (nic.ru), REG.RU, TimeWeb, Beget и т.п. Они часто перепродают сертификаты международных CA или интегрируют автоматическое получение (Let's Encrypt) / управляемые сертификаты от партнёров.
- Удостоверяющие центры и провайдеры «электронной подписи» в РФ (для квалифицированных/ЭЦП) — у них тоже бывают TLS‑сертификаты для специфичных задач, но такие корневые центры не обязательно присутствуют в браузерных хранилищах доверия.
Как проверить и что учитывать
- Срок действия: для общедоступного сайта ограничение CA/Browser Forum → максимум ~398 дней. Никакой российский CA не сможет обойти это требование, если вы хотите, чтобы сертификат принимали современные браузеры.
- Доверие браузеров/ОС: убедитесь, что корневой сертификат CA включён в хранилища доверия (Mozilla, Microsoft, Apple, Google). Многие «российские» центры не присутствуют в этих списках — тогда посетители увидят предупреждение, если вы не установите корневой сертификат вручную.
- Аккредитация/регуляторы: официальный перечень удостоверяющих центров и аккредитованных организаций публикует Минцифры/соответствующие ведомства — можно свериться там, если нужна «официальная» российская CA. Поиск: «перечень удостоверяющих центров Минцифры РФ» (официальный сайт министерства).
Практичный совет (если цель — минимизировать международные риски, но сохранить удобство для посетителей)
- Лучший компромисс — выбрать крупного российского хостера/CDN (Selectel, Yandex.Cloud, Gcore, VK Cloud, RU‑CENTER и т.п.) и использовать их управляемые сертификаты. Они обычно используют корни, которые признаются в браузерах, и берут на себя автоматическое обновление. При этом провайдеры могут использовать глобальные CA, но управление остаётся в РФ.
- Если нужно полностью «внутреннее» решение (только для своих пользователей), можно запустить собственный CA и выдать долгоживущие сертификаты, но тогда на всех клиентах нужно установить ваш корневой сертификат.
Если хотите, могу:
- Проверить для конкретного провайдера/CA, включён ли его корневой сертификат в хранилища доверия (скажу, насколько приемлем он для публичного сайта).
- Посоветовать, как настроить автоматическое обновление сертификатов (Let’s Encrypt vs платные CA) и интеграцию с выбранным CDN/облаком.