SSL-сертификат

Это цифровой документ, который браузер принимает как доказательство подлинности домена и права сервера шифровать трафик. Другими словами, отвечая на вопрос «SSL – что это?» — можно сказать, что это «удостоверение личности» сайта плюс ключ к безопасному каналу связи.

Важно также понимать, какая информация содержится в сертификате безопасности сайта. В нём указаны:

• доменное имя или перечень доменов, для которых действителен сертификат;
• данные о владельце ресурса — компании, организации или физическом лице;
• срок действия (даты выдачи и окончания);
• публичный ключ, используемый для шифрования;
• цифровая подпись центра сертификации (CA), подтверждающая подлинность;
• идентификационные номера и алгоритмы шифрования.

Эти сведения позволяют браузеру проверить подлинность сайта, установить защищённое соединение и предупредить риск фальсификации.

При первом заходе на сайт браузер получает сертификат и проверяет: не истёк ли срок, совпадает ли доменное имя, действительно ли подпись CA и корректна ли цепочка до корневого доверенного центра. Если всё в порядке, стороны договариваются о наборах шифров и генерируют общий секрет. На старте используется асимметричная криптография (пара ключей: «приватный/публичный»), дальше – быстрое симметричное шифрование всего трафика. Если проверка не проходит, браузер показывает предупреждение.

По степени проверки различают три класса сертификатов SSL:

• DV (Domain Validation) – подтверждается лишь владение доменом (через DNS-запись, e-mail или HTTP-файл);
• OV (Organization Validation) – дополнительно верифицируется юридическое лицо;
• EV (Extended Validation) – углублённая проверка компании и её статуса.

По охвату доменных имён бывают: Single-domain (одно имя), Wildcard (*.example.com – все поддомены) и SAN/Multidomain (несколько имён в одном сертификате). Выбор зависит от архитектуры: монолит, множество субдоменов, мультибрендовая витрина.

1. Шифрование канала – защита паролей, платежей, персональных данных от перехвата и подмены.
2. Подтверждение подлинности домена – снижение риска фишинга и атак «человек посередине» (браузер сверяет домен в сертификате с запрошенным адресом и подписью доверенного центра; без приватного ключа злоумышленнику почти невозможно выдать поддельный сайт или незаметно перехватить трафик).
3. Устранение предупреждений в браузерах – рост доверия и конверсии.
4. Совместимость с современными веб-технологиями: HTTP/2 и HTTP/3, PWA-возможности, многие API и платёжные шлюзы работают только по HTTPS.
5. Соответствие требованиям партнёров и стандартов безопасности.

Без него данные передаются открытым текстом, их легко перехватить в публичных сетях, корпоративных прокси или на маршрутизаторах. Браузеры помечают такие ресурсы как «Небезопасные», что ухудшает позиции в выдаче, ломает интеграции и подрывает доверие клиентов. Для бизнеса это репутационные и финансовые риски: утечки, отмены платежей, штрафы партнёров.

Классический путь следующий:

1. Сгенерировать приватный ключ и CSR на сервере или в панели провайдера.
2. Выбрать тип и уровень проверки (DV/OV/EV) и формат (Single/Wildcard/SAN).
3. Подтвердить владение доменом – через DNS-запись, письмо или размещение файла.
4. Установить сертификат и цепочку на сервер/балансировщик/CDN, включить современные шифры, запретить устаревшие протоколы.
5. Настроить автопродление и мониторинг срока действия.

Распространены бесплатные варианты по протоколу ACME (удобно для DV и частых обновлений) и коммерческие – с расширенной проверкой и поддержкой. Обязательно включите редирект HTTP→HTTPS и обновите куки на флаг Secure.

Протокол SSL – это исторический предшественник, современная реализация – TLS 1.2/1.3, она безопаснее и быстрее. В обиходе название «SSL» сохранилось, поэтому говорят «SSL-сертификат», хотя фактически он используется в протоколе TLS. Главное – актуальные версии, корректные шифры и надёжная цепочка доверия.

Функция сертификата сводится к двум ключевым задачам: подтвердить, что сайт принадлежит именно заявленному домену, и включить защищённое шифрование всего трафика через TLS. Всё остальное – рост доверия пользователей, отсутствие блокирующих предупреждений в браузерах, корректная работа интеграций и платёжных систем – является следствием выполнения этих двух основных функций.