SSL-сертификат — это электронный файл, подтверждающий, что сайт принадлежит конкретному владельцу и действительно существует. Он необходим для установки надежного соединения между сайтом и браузером, чтобы передача данных происходила в зашифрованном виде и была защищена от подмены.
Сейчас активно используется TLS — более современный протокол шифрования, пришедший на смену устаревшему SSL. Однако термин «SSL-сертификат» остался в обиходе как привычное обозначение, поэтому чаще применяют его.
Сертификат содержит доменное имя, срок действия, наименование удостоверяющего центра (CA) и открытый ключ. Эти данные используются на этапе установки безопасного подключения, но не участвуют напрямую в шифровании трафика.
Если сайт не использует SSL-сертификат, браузер отмечает соединение как небезопасное.
Сертификаты бывают с разным уровнем проверки. DV подтверждает только владение доменом. OV дополнительно удостоверяет компанию. EV требует расширенной верификации юридических данных и подходит для сервисов, работающих с платежами.
Существуют разные форматы защиты: для одного домена, поддоменов (Wildcard), нескольких сайтов одновременно (SAN).
Бесплатные сертификаты доступны большинству сайтов, выпускаются автоматически и обновляются каждые 90 дней.
Платные решения от коммерческих центров позволяют выбрать тип проверки, расширить покрытие и получить техническую поддержку. Обычно срок их действия — до года.
Самоподписанные сертификаты подходят для внутренних нужд, но не применяются на публичных сайтах: браузеры не признают их надежными и выводят предупреждение.
Что такое SSL-сертификат и зачем он нужен
SSL-сертификат — это цифровой документ, который подтверждает подлинность сайта и позволяет браузеру установить с ним защищенное соединение. Благодаря ему данные между пользователем и сайтом передаются в зашифрованном виде, что защищает от перехвата, подмены и слежки.
Сертификат содержит информацию о владельце домена, срок его действия, имя центра сертификации (CA), а также открытый ключ, необходимый для шифрования. При открытии сайта браузер проверяет этот документ: если он выдан доверенным центром и не просрочен, соединение считается безопасным.
Без SSL-сертификата сайт не может работать по HTTPS.
Браузер пометит его как небезопасный.
Пользователь рискует, вводя данные — например, логин или номер карты.
Поисковые системы могут понизить такой сайт в выдаче.
Сертификат сам по себе не шифрует данные. Он участвует в установке шифрованного канала связи и подтверждает, что соединение установлено с тем, с кем нужно, а не с кибермошенником, который пытается перехватить трафик.
Как работают SSL-сертификаты
Для установления защищенного соединения современные сайты применяют протокол TLS (Transport Layer Security). Именно он обеспечивает шифрование данных при передаче между сервером и браузером. Хотя на практике до сих пор используется выражение «SSL-сертификат», сам SSL устарел. Сейчас он не используется.
Когда пользователь открывает сайт с HTTPS, начинается процедура согласования параметров соединения — этот процесс называется TLS-handshake. В ходе него браузер и сервер обмениваются служебными данными, устанавливают параметры шифрования и проверяют подлинность друг друга. Цель — обеспечить безопасную передачу информации.
Примерно это происходит так.
1. Браузер инициирует подключение и отправляет запрос на получение сертификата.
2. Сервер отвечает, передавая свой сертификат с указанием доменного имени, данных владельца и подписью удостоверяющего центра.
3. Браузер проверяет, действителен ли сертификат: не истек ли его срок, соответствует ли он запрошенному адресу и подписан ли он доверенным центром.
4. Если все корректно, браузер и сервер согласуют ключ шифрования, который будет использоваться для обмена данными.
5. Далее начинается основная работа сайта. Взаимодействие проходит по зашифрованному каналу.
Виды SSL-сертификатов
Все SSL-сертификаты обеспечивают защищенную передачу данных, но различаются по двум основным параметрам: глубине проверки информации о владельце и способу охвата доменов.
| Тип сертификата | Что проверяется / защищается | Применение |
| DV (Domain Validation) | Только владение доменом. Без проверки компании | Блоги, лендинги, тестовые проекты |
| OV (Organization Validation) | Домен + юридическая информация о компании (название, адрес, регистрация) | Корпоративные сайты, малый бизнес |
| EV (Extended Validation) | Полная проверка компании, ее права на домен и контактных данных | Банки, госуслуги, платежные платформы |
| Single-domain | Один домен (example.com, опционально www.example.com) | Любой сайт с одним адресом |
| Wildcard | Основной домен + все поддомены одного уровня (*.example.com) | Сайты с поддоменами: shop., blog., mail. |
| Multi-domain (SAN) | Несколько разных доменов одновременно (example.com, site.org, и т. д.) | Универсальные решения, обменники, SaaS |
Как получить SSL-сертификат
Есть два основных варианта: бесплатный сертификат от Let’s Encrypt и покупка у коммерческого центра сертификации (CA).
Бесплатный сертификат
Для большинства сайтов подойдет Let’s Encrypt — некоммерческий центр сертификации, поддерживаемый Mozilla, Google и другими. Бесплатный сертификат поддерживается большинством хостингов, обеспечивает полноценное шифрование. Его легко получить и продлить.
Вот как это работает.
1. На стороне сервера генерируется запрос на сертификат.
2. Через ACME-протокол происходит подтверждение домена.
3. Сертификат устанавливается автоматически.
4. Срок действия — 90 дней, но продление настраивается в фоновом режиме.
На хостинге все еще проще: достаточно активировать специальную галочку в панели управления. Beget, Timeweb, REG.RU и другие популярные сервисы выдают Let’s Encrypt автоматически.
Платный сертификат от CA
Если требуется сертификат с проверкой организации (OV/EV), или нужна защита поддоменов и нескольких сайтов, придется купить сертификат у коммерческого удостоверяющего центра.
Порядок действий следующий.
1. Генерация CSR — на сервере или в панели управления.
2. Выбор типа сертификата — DV, OV, EV; Single, Wildcard, Multi.
3. Оплата и отправка заявки.
4. Подтверждение. Для DV достаточно подтвердить владение доменом, для OV/EV требуется предоставить документы компании.
5. Установка сертификата. Вручную (через nginx, Apache, IIS) или через панель хостинга.
После выпуска сертификат можно скачать в виде .crt или .pem и установить на сервер, указав путь в конфигурации веб-сервера.
Вопросы и ответы
Собрали в разделе ответы на популярные вопросы о SSL-сертификатах.
Как узнать, есть ли у сайта SSL-сертификат?
Можно определить это по значку замка в адресной строке браузера и префиксу https:// в адресе. При наличии сертификата браузер устанавливает защищенное соединение и не выводит предупреждений. Для полной информации достаточно открыть свойства подключения в браузере или воспользоваться специализированными онлайн-сервисами, например, SSL Labs или Why No Padlock.
Что такое самоподписанный сертификат?
Это сертификат, который подписал сам владелец сайта. Центр сертификации к этому документу не имеет никакого отношения. Он не подтверждается сторонними доверенными источниками. Если попытаться открыть сайт, в браузере появится предупреждение. Самоподписанный сертификат — то же самое, что паспорт, выданный самому себе: выглядеть может красиво, но смысла не имеет.
Что будет, если сертификат сервера украдут?
Его можно отозвать через специальный механизм — CRL или OCSP. При подключении браузер проверит статус сертификата и заблокирует соединение, если он признан недействительным.
