Что такое SSL-сертификат и для чего он нужен

05 июля 2025

Лев Белоусов

Специалист по информационной безопасности

Если вы когда-нибудь обращали внимание на значок замка в адресной строке, то уже знаете, как выглядит символ, подтверждающий наличие SSL-сертификата. Но что означает эта аббревиатура, что такое сертификат безопасности для сайта на самом деле, и всегда ли «замок» гарантирует безопасность? Давайте разбираться.

Что такое SSL-сертификат (SSL Certificate)?

Защита конфиденциальной информации в интернете — это задача, которую необходимо решать комплексно. Поэтому решений, связанных с безопасностью данных, достаточно много. SSL-сертификаты — одно из них.

Аббревиатура SSL скрывает словосочетание secure sockets layer, в переводе с английского «защищённый сокетный слой». Этот «слой» гарантирует, что вы находитесь на подлинном сайте, а все ваши данные к серверу передаются с помощью безопасного соединения.

Номера банковских карт, имена, паспортные данные — одноразовые ключи, которыми обмениваются сайт и сервер при наличии SSL-сертификата, обеспечивают защиту любой информации от перехвата.

Протокол SSL — на самом деле уже не SSL

Аббревиатура появилась около 25 лет назад, с тех пор успели получить распространения несколько версий сертификатов — но у каждого из них были свои уязвимые места как у метода криптошифрования. В результате сейчас используются уже не они, а обновленная версия, которая называется иначе — Transport Layer Security, или TLS. Но сочетание SSL оказалось настолько привычным, что осталось в ходу даже после появления замены.

Как действуют SSL-сертификаты

Пользователю обычно не нужно знать, как всё устроено. Но для того, чтобы разобраться, что такое SSL-сертификат для сайта и зачем он нужен, давайте рассмотрим процесс его работы более подробно.

Шаг 1. Браузер / сервер отправляет запрос на подключение к веб-сайту или серверу, у которого есть SSL-защита.

Шаг 2. Веб-сайт или сервер возвращает ему в ответ копию своего SSL-сертификата.

Шаг 3. Если сертификат достоверный, браузер информирует об этом сервер, и процесс установки соединения продолжается.

Шаг 4. С сервера возвращается подтверждение с цифровой подписью.

Шаг 5. В строке с адресом сайта появляется сочетание букв HTTPS (в начале адреса) и символ замка — с этого момент все данные, которые вы передаете между браузером и сервером, зашифрованы.

Кажется, что процесс очень долгий, но на самом деле обмен сертификатами происходит меньше, чем за секунду.

Если вы видите в строке с адресом аббревиатуру HTTPS и символ замка, вы не только можете быть почти на 100% спокойны за сохранность данных — вы можете получить полную информацию о нем, если вам это нужно. Просто нажмите на замок — и в раскрывшемся окне вы увидите данные о доменном имени, организации, центре сертификации, связанных поддоменах и сроке действия сертификата. Таким образом, взаимодействие с сайтами, у которых есть действительный SSL-сертификат, получается максимально прозрачным.

А о том, почему мы используем формулировку «почти на 100%», а не просто «на 100%», мы обязательно поговорим дальше.

Зачем нужен SSL-сертификат

SSL-сертификат помогает защитить те данные, которыми вы не хотели бы делиться со всеми подряд:

имя пользователя и пароли, необходимые для входа на сайты и в приложения;
информацию о банковских счетах и историю операций по карте;
имена, адреса, даты рождения, номера телефонов и другую личную информацию;
юридические документы и переписки с работодателями;
информацию о состоянии здоровья, медицинские документы и врачебные заключения.

SSL-сертификаты подтверждают право собственности на сайт, снижают риск создания поддельной версии страницы, зараженной эксплойтами или другими вредоносными программами, и позволяют обеспечить доверие со стороны пользователей. Именно поэтому их наличие так важно для бизнеса, и вы в 99% случаев увидите действующий SSL-сертификат, зайдя на сайт серьезной компании.

Мы немного разобрались с тем, как работают SSL-сертификаты с точки зрения пользователя сайтов. Теперь давайте поговорим о них в контексте владения сайтом и желания обеспечить безопасность пользователей.

Типы SSL-сертификатов

Все SSL-сертификаты можно разделить на две большие группы.

Первая — самоподписанные сертификаты, которые любой пользователь может подписать на сервере компании. Уровень доверия к таким сертификатам небольшой, так как безопасность они обеспечивают лишь номинально.

Вторая — сертификаты, полученные и подписанные в удостоверяющих центрах. Оснований для того, чтобы доверять их подлинности, намного больше. Они также включают в себя несколько типов SSL-шифрования — различных по уровню защиты и возможностям.

Сертификаты с расширенной проверкой (EV SSL)

Самые серьезные и надежные — для того, чтобы получить такой сертификат, компании нужно пройти серьезную проверку, этот вариант точно нецелесообразно использовать небольшим бизнесам или тем компаниям, которые не собирают большие объемы данных.

Сертификаты, подтверждающие организацию (OV SSL)

Они шифруют данные и могут сообщить информацию о компании — такие сертификаты часто используют юрлица.

Сертификаты, подтверждающие домен (DV SSL)

Эти базовые сертификаты умеют шифровать данные, но ничего не знают о компании — они значительно дешевле других, подходят более широкому кругу компаний.

Также существуют Wildcard-сертификаты, которые объединяют домены с поддоменами, а также мультидоменные сертификаты MDC и UCC — они позволяют защищать сразу несколько доменных имен, упрощая жизнь владельцам сайтов.

Какой SSL-сертификат мне подойдет

Многое зависит от того, какие данные вы собираете.

Так, в личных блогах редко собираются какие-то данные в принципе, поэтому можно обойтись бесплатными сертификатами.

В интернет-магазине люди уже указывают домашние адреса и вводят платежные данные, поэтому лучше выбирать сертификат EV. Либо OV — если заказов не так много, а сэкономить хочется.

На новостном портале можно обойтись сертификатом DV, если посетители просто читают новости, либо OV — если у них есть свои аккаунты для публикации комментариев.

Как и где получить SSL-сертификат

Первый вариант — обратиться в один из крупных центров сертификации: DigiCert, Symantec, GlobalSign. Они выдают платные сертификаты, при этом в последние годы в некоторых случаях возникают проблемы с оплатой SSL для российского сайта.

Можно попробовать обойтись бесплатным сертификатом — их получают через сервисы Cloudflare или Let’s Encrypt. Правда, первый не будет иметь печати доверия, а у второго иногда возникают сложности с поддержкой в некоторых браузерах.

Еще один способ получения сертификата SSL сейчас — через сайт reg.ru, где нужно просто подать заявку.

После приобретения SSL-сертификата алгоритм для владельца сайта не сложный:

сгенерируйте и передайте поставщику CSR — запрос на сертификат, который будет связан с вашим закрытым ключом;
подтвердите то, что у вас есть права на домен, где размещен ваш сайт;
получите и установите ваш SSL-сертификат.

После этого ваш сайт будет защищен шифрованием, а посетители будут видеть в адресной строке браузера замок — и понимать, что их данные передаются безопасно.

Что происходит, когда срок действия SSL-сертификата заканчивается?

SSL-сертификаты не действуют вечно. Это обусловлено соображениями безопасности — новая информация в интернете появляется каждый день, и крайне важно периодически перепроверять ее на актуальность.

SSL-сертификат не может действовать дольше, чем 27 месяцев — то есть двух лет и еще трех месяцев, необходимых для продления срока действия предыдущего сертификата.

Для того, чтобы не подвергать опасности данные пользователей, необходимо своевременно обновлять SSL-защиту сайта.

Всегда ли «замок» означает безопасность?

К сожалению, нет.

Во-первых, злоумышленники прекрасно понимают, как работает сертификат SSL, могут получить его и поставить на свой поддельный сайт. А значит, ввести в заблуждение как минимум те категории пользователей, которые увидят значок замка, успокоятся и не станут «копать» глубже.

Во-вторых, существуют самоподписанные и недоверенные SSL-сертификаты, которые обеспечивают недостаточную степень защиты — а значит, потенциально дают злоумышленникам возможность перехватывать данные, устанавливать удаленный доступ к пк и использовать любые другие инструменты для того, чтобы добраться до вашей конфиденциальной информации.

Даже защищенный с помощью сертификата сайт может быть уязвим для киберугроз, поэтому важно использовать другие факторы защиты.

Как обеспечить безопасность в онлайне

Всегда проверяйте правильность написания домена сайта, на котором находитесь — достаточно одной неверной буквы, чтобы оказаться на виду у злоумышленников. Чтобы не было сомнений, можно вводить адрес сайта вручную — так вы точно будете знать, что попали на нужную страницу.
Никогда не доверяйте сайту никакую конфиденциальную информацию, пока не удостоверились в его подлинности.
Всегда обращайте внимание на свои ощущения от сайта: если вас что-то насторожило, лучше уйти и не регистрироваться, чем потенциально подвергнуть свои данные опасности.
Используйте качественные антивирусные продукты и другие решения для безопасности — такие, как itHelper для ПК.

Другие публикации

Все публикации

07 июля 2025

Почему Android быстро разряжается и что делать

Узнайте причины быстрого разряда смартфонов и планшетов Android, а также проверенные советы по увеличению автономной работы и защите устройства от вредоносных программ

04 июля 2025

Как почистить кэш и куки в браузере на ПК

Вы делитесь своими данными, даже когда не делаете этого намеренно. За их хранение отвечают файлы кэша и куки — и их важно время от времени очищать. В статье разбираем, как очистить кэш браузера на ПК, и для чего это нужно, помимо защиты конфиденциальной информации.

30 июня 2025

Как защитить данные при использовании публичных Wi-Fi сетей

Как обезопасить свои данные в публичных Wi-Fi сетях: практичные советы, антивирусы и защита от взлома, а также многое другое

Все публикации