SSL/TLS защищает соединение и обеспечивает HTTPS с шифрованием данных. В статье вы узнаете, зачем нужен сертификат и как повысить доверие пользователей.

Что такое SSL‑сертификат?

SSL‑сертификат — цифровой документ, подтверждающий сайт и обеспечивающий шифрование. В нём указаны CN, SAN, срок действия, издатель (CA), публичный и приватный ключи и цифровая подпись. Цепочка сертификатов ведёт к корневому сертификату.

  • CN
  • SAN
  • Срок действия
  • Издатель (CA)
  • Публичный ключ
  • Приватный ключ
  • Цифровая подпись

Как работают SSL/TLS (пошагово)

TLS handshake — короткая последовательность для установки защищённого канала. Клиент отправляет ClientHello, сервер отвечает ServerHello и посылает сертификат. Происходит проверка цепочки и цифровой подписи CA, обмен ключами, генерация сеансового ключа и включение шифрования.

Зачем нужен SSL‑сертификат

SSL обеспечивает шифрование трафика и подтверждает подлинность сайта, защищая целостность данных. Это повышает доверие пользователей и снижает вероятность браузерных предупреждений. Без сертификата растёт риск фишинга, перехвата данных и падение в SEO.

Типы SSL‑сертификатов (DV / OV / EV / Wildcard / Multi‑domain / UCC)

DV — проверка домена; OV — проверка организации; EV — расширенная проверка и повышенное доверие. Wildcard покрывает поддомены, Multi‑domain / UCC используют SAN для мультидоменных конфигураций.

ТипЦельВремяПроверкаИспользование
DVШифрованиеминутыдоменблоги, тест
OVДоверие1–3 дняорганизациябизнес‑сайты
EVМакс. довериенесколько днейрасширенная проверкабанки, e‑commerce
WildcardПоддоменыкак DV/OVдомен*.example.ru
Multi‑domain/UCCМультидоменкак DV/OVSANнесколько доменов

Как получить и установить SSL‑сертификат (пошагово)

Краткий алгоритм: подготовка (проверка WHOIS и контактных данных), генерация CSR, выбор метода валидации (DNS‑валидация / email‑валидация / file‑based validation), отправка в CA, получение и установка на серверы (Nginx, Apache, IIS). Упоминание автоматизации через Let’s Encrypt и ACME.

  1. Проверка WHOIS и контактов
  2. Генерация CSR (локально)
  3. Выбор и прохождение валидации (DNS/email/file)
  4. Получение сертификата от CA
  5. Установка на Nginx/Apache/IIS
  6. Проверка цепочки и перезагрузка

Примеры команд и конфигураций

# OpenSSL: генерация ключа и CSR
openssl genrsa -out example.key 2048
openssl req -new -key example.key -out example.csr -subj "/CN=example.com"

# Nginx (фрагмент)
server {
  listen 443 ssl;
  server_name example.com;
  ssl_certificate /etc/ssl/certs/example.crt;
  ssl_certificate_key /etc/ssl/private/example.key;
}

# Apache (фрагмент)

  ServerName example.com
  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/example.crt
  SSLCertificateKeyFile /etc/ssl/private/example.key

Можно ли использовать сертификат на нескольких серверах и мультихостинг

Поддерживается использование на нескольких серверах: экспорт приватного ключа в PKCS#12 (.p12) позволяет переносить сертификат между хостами. Для мультидоменов применяйте SAN/UCC. В кластере — центральное хранение ключей и единое управление сертификатами.

Сроки действия, продление и что происходит при истечении

Типичный срок действия сертификатов — от 90 дней (Let’s Encrypt) до 2–3 года. Для продления настраивают уведомления и автоматизацию; при истечении появляются браузерные ошибки, возможен отзыв через CRL/OCSP.

Как проверить, установлен ли SSL и корректна ли установка

Краткий чек‑лист для быстрой проверки установки сертификата и работоспособности HTTPS.

  1. Визуально: адрес https и значок замок в строке браузера.
  2. Открыть детали и проверить издателя — проверить сертификат.
  3. Тест онлайн через SSL Labs (оценка и замечания).
  4. Проверка цепочки: промежуточные и корневые сертификаты.
  5. Команда для просмотра: openssl x509 -in cert.pem -text -noout.
  6. Тест на mixed content и финальная проверка установки всех ресурсов.

Как обеспечить безопасность онлайн‑сеанса

Включите HSTS, ставьте флаги cookies (Secure, HttpOnly), исключите mixed content и внедрите CSP. Регулярно обновляйте промежуточные сертификаты, подключите мониторинг SSL и размещайте политику конфиденциальности и значки доверия.

Примеры и кодовые блоки

Короткие примеры OpenSSL, просмотр (openssl x509), минимальные фрагменты для nginx/apache и проверка TLS в Python (ssl.create_default_context).

# OpenSSL: генерация ключа и CSR
openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out csr.pem -subj "/CN=example.com"

# Просмотр сертификата
openssl x509 -in cert.pem -text -noout

# Nginx (фрагмент)
server {
  listen 443 ssl;
  server_name example.com;
  ssl_certificate /etc/ssl/certs/cert.pem;
  ssl_certificate_key /etc/ssl/private/key.pem;
}

# Apache (фрагмент)

  ServerName example.com
  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/cert.pem
  SSLCertificateKeyFile /etc/ssl/private/key.pem


# Python: простая проверка TLS
import ssl, socket
ctx = ssl.create_default_context()
with ctx.wrap_socket(socket.socket(), server_hostname='example.com') as s:
    s.connect(('example.com', 443))
    print(s.version())

Частые ошибки и их исправление

  • Пропущенные промежуточные сертификаты — проверьте цепочку через SSL Labs или openssl.
  • Expired — проверьте срок действия сертификата.
  • Mixed content — найдите и замените ресурсы по http.
  • Неверный server_name — проверьте виртуальные хосты и конфигурацию сервера.
  • Несоответствие ключа (modulus) — сравните modulus ключа и сертификата с помощью openssl.

FAQ — вопросы и ответы

Можно ли получить сертификат бесплатно?Да — бесплатные решения (Let’s Encrypt) доступны, но имеют срок 90 дней и требуют автообновления.Что выбрать для интернет‑магазина?OV или EV: OV для бизнеса, EV для максимального доверия при платежах.Зачем нужен EV?EV даёт повышенное доверие пользователей и видимую проверку издателя.Как проверить издателя сертификата?Откройте детали сертификата в браузере и посмотрите поле Issuer/Издатель.Как происходит продление?Запросите продление у CA или настройте автоматизацию (ACME) для авто‑продления.Как настроить на WordPress?Установите сертификат на хостинг/сервер, включите HTTPS и при необходимости используйте плагин для редиректов и mixed content.

Рекомендуемые продукты

Для быстрого старта — Let’s Encrypt (бесплатно); для бизнеса — DigiCert и Sectigo. Вы можете купить сертификат или взять пробную версию.

Рекомендуемые решения

Бесплатный вариант: Let’s Encrypt. Платные решения: DigiCert, Sectigo — для бизнеса и e‑commerce.