GlobalSign revoga certificados EV de empresas russas sob sanções da UE

A revogação dos certificados EV pela GlobalSign não é uma mudança técnica, mas um ato de aplicação política da cadeia de confiança digital. Certificados EV exigem verificação presencial ou documental robusta da identidade jurídica, o que os torna o padrão mais alto de validação TLS para empresas. Ao revogá-los, a GlobalSign não apenas retira criptografia válida: retira a capacidade dessas empresas de provar, em tempo real, que são quem dizem ser para navegadores como Chrome, Edge e Firefox. Isso as coloca em um limbo operacional crítico, sites ficam com erros de segurança graves (como NET::ERR_CERT_REVOKED), APIs param de funcionar, integrações bancárias falham. E não há workaround técnico: não basta migrar para DV ou OV. O problema é a exclusão do ecossistema de confiança ocidental.

O CA/Browser Forum nunca teve poder regulatório, mas sua influência é absoluta: sem seguir suas regras, um certificado não é aceito por nenhum navegador mainstream. A exigência de checagem obrigatória contra listas de sanções (parágrafos 3.2.2.12.2 e 4.1.1.1 desde 2024) virou alavanca operacional, e agora, em 2026, está sendo executada com rigor inédito. Isso expõe uma fissura estrutural: a infraestrutura de confiança global foi projetada para combater fraudes, não para servir como braço executivo de políticas externas.

Em abril de 2026, a UE já havia proibido serviços de criptoativos russos e stablecoins ligadas ao rublo no 20º pacote de sanções. Agora, em junho de 2026, a execução se desloca para a camada de identidade digital: não só bloquear transações, mas invalidar a própria prova de existência jurídica online. A diferença não está na regra, ela existe desde 2024, mas na aplicação. Antes, a verificação contra listas era teórica e esporádica. Hoje, é automatizada, faseada e vinculada a horários exatos (04:10 MSK, 13/06). É a primeira vez que uma autoridade certificadora europeia revoga EVs em escala, com cronograma público e justificativa explícita em carta aos parceiros.

Empresas brasileiras que usam provedores de hospedagem ou CDNs com infraestrutura russa, mesmo indiretamente, podem sofrer impacto cascata: se um serviço terceirizado depende de um domínio russo sancionado com certificado EV revogado, chamadas API entre sistemas podem falhar com erro de handshake TLS. Além disso, essa ação acelera a fragmentação da internet: a Rússia já opera sua AC nacional desde 2022, mas até hoje só é reconhecida por navegadores locais. O risco não é só geopolítico, é técnico. Cada nova revogação em massa pressiona navegadores a decidirem se mantêm uma única raiz de confiança global ou aceitam múltiplas autoridades soberanas, com padrões distintos de emissão e revogação.