Зачем вам разбираться в SSL/TLS

SSL/TLS — это основа защищённого обмена данными между браузером клиента и вашим сервером. Для бизнеса это означает три вещи: шифрование (никто не подслушает), целостность (данные не изменят по дороге) и аутентификация (пользователь подключается именно к вам). Без этого платежи, личные кабинеты, заявки и даже авторизация превращаются в риск.

Кроме защиты, SSL/TLS влияет на доверие. Современные браузеры помечают небезопасные сайты и предупреждают пользователей. Это напрямую бьёт по конверсии и репутации. Многие сервисы и платёжные провайдеры работают только по HTTPS, а для ряда операций наличие сертификата — базовое требование.

SSL или TLS: почему в речи путают термины

Исторически SSL — предшественник TLS. Уязвимости старых версий привели к появлению TLS, который сегодня фактически и используется, хотя по привычке многие говорят «SSL-сертификат». Если в документации или на тарифе хостинга видите «SSL», почти всегда речь о TLS. Смысл для бизнеса тот же: защищённый канал и проверка подлинности сайта.

Что происходит «под капотом»: схема соединения

  1. Браузер стучится на сайт по HTTPS.
  2. Сервер отправляет сертификат с публичным ключом.
  3. Браузер проверяет подпись сертификата доверенным удостоверяющим центром (УЦ) из своего хранилища.
  4. Если всё ок, стороны обмениваются сессионным ключом и шифруют трафик симметричным алгоритмом до конца сессии. Так обеспечиваются шифрование, контроль целостности и уверенность в том, что вы говорите «с тем самым» сервером.

Ключи, подписи и «цепочка доверия»

Цифровой сертификат — это «паспорт» сайта: он связывает домен с публичным ключом и подписан УЦ. УЦ может иметь промежуточные центры — поэтому ваш сертификат обычно поставляется цепочкой (bundle), которую сервер отдаёт браузеру. Браузер проверяет подписи по цепочке до корневого сертификата из своего trusted store. Без корректной цепочки пользователи видят предупреждения.

Какие бывают сертификаты: уровни валидации и зона охвата

Ниже — краткое сравнение типов и задач. Для большинства коммерческих сайтов достаточно DV/OV; EV — про повышенное доверие и «бумажную» проверку компании. Для мультидоменов/поддоменов пригодятся SAN и Wildcard.

Таблица. Типы SSL/TLS-сертификатов и где какой уместен

Тип

Что проверяет УЦ

Где уместен

Плюсы

Ограничения/нюансы

DV (Domain Validation)

Контроль над доменом (email/DNS/HTTP-пруф)

Контент-проекты, лендинги, базовые формы

Быстро, дёшево/бесплатно, автоматизация

Не подтверждает юр.лицо; для критичных операций может быть недостаточно.

OV (Organization Validation)

Юр. существование и владение доменом

Коммерческие сайты, B2B-площадки

Выше доверие (проверена организация)

Оформление дольше и дороже DV.

EV (Extended Validation)

Расширенная проверка компании и прав

Банкинг, высокорисковые процессы

Максимальная формальная проверка

Самый длительный и дорогой процесс; визуально в браузерах отличается всё реже.

Wildcard

Подтверждение базового домена

Один домен + все его поддомены

Охватывает *.example.com сразу

Не покрывает другой TLD/корневой домен.

SAN / UCC

Список независимых доменов

Несколько сайтов/сервисов

Один сертификат на набор доменов

Поддомены указываются явно; при изменении списка — перевыпуск.

Самоподписанный

Не проверяется УЦ

Dev/стейдж, внутренние сети

Мгновенно, бесплатно

Браузер предупреждает пользователей; для внешних проектов неприемлемо.

Процесс выпуска: от заявки до замка в адресной строке

  • Генерация ключей: на сервере создаёте пару «закрытый/открытый». Закрытый храните безопасно, открытый попадёт в сертификат.
  • CSR: формируете запрос на сертификат с открытым ключом и данными домена/организации.
  • Проверка УЦ: для DV — автоматическая проверка домена; для OV/EV — документарная.
  • Выдача и установка: получаете сертификат и цепочку, устанавливаете на сервер, настраиваете протоколы/шифры, тестируете.
  • Эксплуатация: следите за сроком действия, продлеваете (для ряда DV — автоматически раз в ~90 дней), обновляете цепочку при изменениях у УЦ.

Почему одного «замочка» мало: границы возможностей

SSL/TLS не «чинит» уязвимости сайта и не исключает фишинг сам по себе — злоумышленники тоже могут получить DV для похожего домена. Пользовательская безопасность — это ещё и внимательность к доменному имени, политика конфиденциальности, прозрачные данные о владельце и здравый смысл при оплате.

Сертификаты и бизнес-риски: чем опасна просрочка

Сроки действия ограничены, а тенденция — на их сокращение. Просроченный сертификат превращает трафик в «стену предупреждений», рушит интеграции и наносит ущерб. Известны случаи, когда из-за экспайра отключались популярные онлайн-сервисы и даже мобильная связь у миллионов пользователей. Итог один: календарь продлений и автоматизация — не «хотелка», а обязательство.

Отзыв и проверка актуальности: CRL и OCSP

Если ключи украли или сертификат надо аннулировать, его отзывают. Браузеры могут проверять статус через списки отзыва (CRL) или онлайн-запросы (OCSP). Это помогает блокировать «скомпрометированные» сертификаты до даты истечения. В инфраструктуре с ограниченными устройствами применяют и отпечатки (fingerprint) для ручной верификации.

Форматы и файлы: .PEM, .DER, .CRT — что хранить и где

Сертификаты бывают в текстовом Base64 (.PEM) и бинарном (.DER) видах; расширения встречаются разные (.CRT, .CER, .CERT), и это не всегда связано с форматом. Цепочки часто собирают в bundle-файлы; в trusted store ОС/браузера предустановлены корневые УЦ. Для диагностики и конвертации используют openssl, а на серверах Linux корневые пакеты сертификатов размещаются в системных каталогах.

Бесплатные и платные сертификаты: когда что выбирать

DV-сертификаты можно получать автоматически и бесплатно (с регулярным продлением). Для сайтов, где важно формальное подтверждение юридического лица, берут OV/EV — они дороже и выпускаются дольше, но повышают уровень доверия. В больших инфраструктурах разумно комбинировать: «рядовые» домены — автоматизированный DV, публичные фронты и платёжные узлы — OV/EV.

Практические сценарии выбора (коротко)

  • Блог/контент-проект: автоматический DV, включить автопродление, мониторинг срока.
  • Интернет-магазин/личный кабинет: минимум OV; если комплаенс строгий — EV.
  • Один домен + десятки поддоменов: Wildcard.
  • Несколько независимых сайтов: SAN/UCC.
  • Dev/стейдж/интранет: самоподписанные или собственный УЦ — только для внутреннего пользования.

(Если сомневаетесь, начните с автоматизированного DV и параллельно оцените требования комплаенса — экспертное мнение.)

Чек-лист внедрения и эксплуатации

  1. Инвентаризация доменов/поддоменов, кто за что отвечает.
  2. Выбор типа сертификатов по задачам (DV/OV/EV, Wildcard/SAN).
  3. Настройка получения и автопродления (для DV — раз в ~90 дней автообновление).
  4. Установка и проверка цепочки на веб-серверах и балансировщиках.
  5. Мониторинг срока и статуса (истечения/отзыва), алерты.
  6. Регламенты инцидентов: что делать при компрометации ключа (перевыпуск, отзыв, ротация).
  7. Периодический аудит протоколов/шифров и обновление цепочек.

Частые ошибки и как их избежать

  • Самоподписанный сертификат в проде. Браузер отпугнёт пользователей. Решение: валидный сертификат от УЦ.
  • Неполная цепочка. Отдаёте только «лист», без промежуточных — получаете предупреждения. Решение: установить bundle.
  • Нет автопродления и мониторинга. Просрочка = отрезанный трафик. Решение: автоматизация + алерты.
  • Неверный охват. Нужны поддомены — а у вас обычный single-domain. Решение: Wildcard/SAN.
  • Завышенные ожидания. Сертификат ≠ защита от всех угроз. Решение: воспринимать SSL/TLS как базовый слой, а не панацею.

Мини-FAQ

DV, OV и EV шифруют по-разному?
Нет. Разница — в уровне проверки владельца и формальном доверии, а не в криптографии.

Wildcard и SAN — что выбрать?
Wildcard — один домен и все его поддомены. SAN — набор независимых доменов. Если у вас много разных проектов — SAN; если один домен с «россыпью» поддоменов — Wildcard.

Можно ли использовать самоподписанный сертификат?
Да, но только во внутренних сетях/тестах. Для публичного сайта это вызовет предупреждения.

Что делать, если сертификат украли?
Немедленно отозвать (CRL/OCSP), перевыпустить, заменить ключи и проверить журналы доступа.

Почему иногда браузер ругается на «несоответствие имени»?
Потому что домен в адресной строке не совпадает с именем в сертификате. Используйте корректный тип (SAN/Wildcard) и перечень доменов.

Глоссарий (сжато)

УЦ (CA) — удостоверяющий центр, который выдаёт и подписывает сертификаты.
CSR — запрос на выпуск сертификата с данными домена/организации и открытым ключом.
Bundle/цепочка — набор промежуточных и корневых сертификатов для проверки.
CRL/OCSP — механизмы проверки, не отозван ли сертификат.
Trusted store — хранилище доверенных корневых сертификатов в ОС/браузере.
PEM/DER/CRT — форматы/расширения файлов сертификатов.

Итог

SSL/TLS — это не «галочка» в чек-листе, а фундамент цифровой гигиены бизнеса. Он шифрует данные, подтверждает подлинность вашего сайта и снижает риски как для клиентов, так и для вас. Правильный выбор типа (DV/OV/EV, Wildcard/SAN), корректная установка цепочки и автоматизация продления закрывают 90% инцидентов, а регламент на случай компрометации — оставшиеся 10%. Сделайте этот слой надёжным — и всё остальное (конверсии, интеграции, платежи) будет работать предсказуемо.

Основание: определения, типология сертификатов, принципы работы TLS/SSL, процесс валидации, форматы и механизмы отзыва; практические рекомендации по выбору и эксплуатации — по материалам из источника.