SSL сертификат: что это, зачем нужен и как выбрать

SSL сертификат: что это, зачем нужен и как выбрать

Владелец сайта обычно спрашивает одно: что такое ssl и почему без него браузер пишет, что страница небезопасная. Простое объяснение: ssl — это защита канала между сайтом и человеком. В вебе сейчас работает tls, но слово ssl осталось как привычное название. В документации вы встретите secure, sockets, layer, а иногда socket, securing, layers и secures — речь всё равно про защищённое соединение. 

Важно понимать границы. Эта технология делает шифрование и помогает проверить домен, но не чинит взломанную CMS, плагин или сервер. Если веб-ресурс уже заражён, SSL/TLS не лечит взломанный сайт. Здесь нужна обычная безопасность: обновления, права доступа, резервные копии и контроль. 

Зачем нужен SSL—сертификат

Когда на веб-странице есть Hyper Text Transfer Protocol Secure, браузер строит безопасный канал до сервера и не показывает предупреждение о риске. Это важно для форм, авторизации, оплаты, заявок и любой страницы, где идет передача данных. Без HTTPS пользователь видит проблему ещё до чтения контента и часто просто закрывает вкладку. 

Для бизнеса это уже базовый стандарт, HTTPS помогает защищать данные в пути, снижает недоверие к странице и делает работу веб-ресурса предсказуемой для клиента. И да, многие хостинги продают это как отдельную услугу ssl, хотя по сути вы покупаете выпуск, установку и поддержку. 

Как работают SSL—сертификаты

Схема простая. Браузер обращается к серверу, сервер отдает данные о выпуске, дальше идёт проверка: совпадает ли домен, не истёк ли срок, доверяет ли браузер центру сертификации. Потом стороны согласуют параметры и поднимают защищённое соединение. После этого начинается обычная передача страниц и форм, но уже в шифровании. 

Технически это работает через протокол TLS. Название SSL осталось в речи и в интерфейсах, поэтому спорить о словах не нужно. Важно другое: ssl закрывает канал, а не уязвимости кода. Если на сервере вредоносный скрипт, он всё равно может отдаваться по HTTPS. 

Типы SSL-сертификатов

Путаница обычно появляется из-за двух осей выбора. Первая ось — уровень проверки владельца. Вторая — охват доменов. Так проще разбирать типы ssl-сертификатов и не смешивать всё в одну кучу. Первый тип — проверка личности. Второй тип — покрытие имён: один домен, поддомены или несколько доменов. Такой вид классификации ssl самый удобный для выбора. 

Сертификаты с расширенной проверкой (EV SSL)

EV — самый строгий вариант по документам. Центр сертификации проверяет веб-адрес и компанию: статус, адрес, право запросить выпуск. Такой ssl подходит банкам, крупным интернет-магазинам, государственным порталам — там, где пользователь должен быть уверен на 100%, что перед ним настоящая организация.

EV не делает шифрование «сильнее», чем DV или OV. Он добавляет глубину проверки владельца. И ещё важный момент: зелёную строку из старых статей современные браузеры обычно уже не показывают. Поэтому EV выбирают не ради цвета, а ради подтверждения организации. 

Сертификаты, подтверждающие организацию (OV SSL)

OV — средний вариант. Центр сертификации подтверждает хост и организацию, но процесс обычно быстрее, чем EV. Такой вид ssl часто подходит корпоративным страницам, B2B-проектам и компаниям, которым нужно показать реальное юрлицо без долгой бюрократии. 

Если у вас заявки от партнёров, кабинет клиента или раздел с документами, OV SSL выглядит разумно. Для маленького промо-сайта он не обязателен, но для бренда с репутационными рисками — полезен. 

Сертификаты, подтверждающие домен (DV SSL)

DV — самый быстрый вариант. Проверяют только право управлять доменом: через DNS, файл, e-mail или похожий способ. Поэтому DV чаще всего ставят на лендинги, блоги и первые версии проектов. 

По шифрованию DV SSL не «слабее». Разница в том, что тут нет аудита компании. Если задача — быстро включить HTTPS и защитить передачу данных, DV подходит. Бесплатный ssl от Let’s Encrypt — типичный пример. Данный ssl подходит для блогов, лендингов, личных сайтов — везде, где не обрабатываются платежи и не хранятся чувствительные данные пользователей.

Wildcard-сертификаты

Wildcard нужен, когда у вас много поддоменов одного уровня: shop.site.ru, blog.site.ru, crm.site.ru. Вместо нескольких выпусков вы ставите один для *.site.ru. Это удобно, если поддомены часто добавляются и команда не хочет каждый раз создавать новый файл. 

Но Wildcard не закрывает все уровни сразу. Он работает для одного уровня поддоменов. Если структура сложная, нужно заранее подбирать формат, а не брать Wildcard «на всякий случай». 

Мультидоменные сертификаты (MDC)

Мультидоменный формат (SAN) нужен, когда надо закрыть несколько разных доменов одним выпуском: site.ru, site.com, brand.ru. Это удобно для компаний с разными зонами и региональными версиями. 

Плюс — один выпуск и одна точка контроля. Минус — при перевыпуске важно не забыть все адреса. Для команды, у которой несколько проектов, такой вариант проще, чем пачка отдельных решений. 

Сертификаты унифицированных коммуникаций (UCC)

UCC — это тот же мультидоменный SAN-подход, который часто используют в Microsoft-среде, например для Exchange. В каталогах UCC и SAN нередко идут как одно семейство. 

Если у вас обычный веб-ресурс, не цепляйтесь за название. Смотрите на задачу: один адрес, много поддоменов или несколько разных имён. Это и есть правильный выбор, а не «модный» формат. 

Какой SSL-сертификат мне подойдет

Ориентируйтесь на сценарий, а не на рекламу. Лендингу и блогу обычно хватает DV. Интернет-магазину не всегда нужено дорогое изготовление: сначала важны нормальная настройка HTTPS, защита CMS и стабильный сервер. Для корпоративного B2B-сайта чаще выбирают OV, потому что он подтверждает организацию. Если поддоменов много — смотрите Wildcard. Если адресов несколько — SAN/UCC. 

Если сомневаетесь, как выбирать ssl, начните с задач. Запишите, какая информация идет через веб-страницу, сколько доменов и кто отвечает за продление. Часто выгоднее брать ssl у хостинга, а не искать ssl отдельно. Но если нужен OV/EV, лучше выбирать CA и поддержку заранее: тогда ssl не потеряется в аккаунтах, и ssl не истечёт в выходные.

Отдельно оцените процесс поддержки. Кто будет продлевать, проверять, чинить ошибки браузера и mixed content? Если ответа нет, берите вариант с автообновлением. Это практичнее, чем покупать «красивый» ssl и потом забыть его продлить. 

Как получить SSL—сертификат

Алгоритм для владельца сайта

Порядок простой. Сначала выбираете провайдера: хостинг, CDN или CA. Потом подтверждаете адрес, а для OV/EV — ещё и компанию. Затем выпускаете файл, ставите его на сервер, включаете HTTPS, настраиваете редирект с HTTP на HTTPS и делаете финальную проверку. 

После установки обязательно пройдитесь вручную по веб-ресурсу. Стандартная ошибка: выпуск есть, но часть ресурсов грузится по http. Из-за этого браузер пишет mixed content, и защита страницы ломается частично. 

Мини-чек, как понять, что всё настроено правильно:

• веб-ресурс открывается по HTTPS без предупреждений;
• редирект с HTTP на HTTPS работает;
• браузер показывает значок защищённого соединения;
• на странице нет mixed content;
• срок и цепочка доверия отображаются корректно.

Проверка и выпуск сертификатов: подробнее о центрах сертификации

CA (центр сертификации) — это сторона, которой доверяет браузер. CA подписывает выпуск и помогает обеспечивать доверие браузера. Для него важна проверка адреса и ключа. Для владельца сайта важнее не громкое имя, а совместимость, поддержка, цена и удобное продление. 

Если нужен быстрый старт и минимум затрат, часто хватает бесплатного решения с автоматическим выпуском. Let’s Encrypt — это CA, который выдаёт только DV и делает ставку на ACME-автоматизацию. Если нужен OV/EV, SLA или единый кабинет для нескольких проектов, тогда смотрят платные варианты. Там же часто проще купить установку и помощь, если после запуска браузер ругается на ssl. 

Перед оплатой проверьте: кто реальный CA, есть ли автообновление, кто помогает с установкой, и как быстро отвечают. Это важнее, чем громкий баннер «скидка 70%». 

Срок действия SSL—сертификата

Сроки меняются, и это лучше учесть заранее. На 23 февраля 2026 года публичные TLS-выпуски ещё могут жить до 398 дней, но уже утверждён график сокращения сроков. Дальше ручное продление станет ещё менее удобным, а автоматизация — обязательной практикой. 

Для бесплатного DV от Let’s Encrypt стандартный срок — 90 дней. Это нормальная модель, и её смысл простой: короткий срок снижает риск при утечке ключа. Сам сервис советует продлевать автоматически. 

Типовые ошибки, из-за которых веб-ресурс внезапно теряет безопасный статус:

• истёк срок и никто не продлил выпуск;
• после установки не включили редирект на HTTPS;
• на странице остался mixed content;
• сервер отдает неполную цепочку доверия;
• домен в выпуске не совпадает с адресом сайта.

Заключение

Короткий чек выбора такой. Сначала определите задачу: один веб-ресурс, много поддоменов или несколько доменов. Потом решите, нужна ли только проверка DV или ещё аудит компании (OV/EV). После этого выбирайте провайдера с понятной поддержкой и автообновлением. Так вы не переплатите и не потеряете веб-сервис из-за просрочки.