SSL/TLS-сертификат (Secure Sockets Layer / Transport Layer Security) — цифровой сертификат, подтверждающий право сервера использовать конкретное доменное имя и содержащий публичный ключ для установки зашифрованного HTTPS-соединения. Современные браузеры помечают HTTP-сайты как «небезопасные» и блокируют смешанный контент без сертификата.
Как работает
Клиент инициирует TLS Handshake: браузер отправляет Client Hello со списком поддерживаемых шифров и версий TLS. Сервер отвечает Server Hello, отдаёт свой сертификат. Браузер проверяет цепочку доверия: сертификат подписан доверенным CA из хранилища ОС или браузера. Проверяется срок действия, имя домена, статус отзыва (OCSP или CRL). При успехе стороны вырабатывают сессионный симметричный ключ по алгоритму Диффи-Хеллмана, и дальнейшая передача данных шифруется AES.
Современные сертификаты используют RSA-2048/4096 или ECDSA P-256 для асимметричного ключа. Текущий стандарт — TLS 1.3 (RFC 8446, 2018), TLS 1.2 поддерживается для совместимости. SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 признаны устаревшими и небезопасными.
История
SSL 1.0 разработан Netscape в 1994 году, но никогда не публиковался из-за критических уязвимостей. SSL 2.0 вышел в 1995 году, SSL 3.0 — в 1996-м. IETF стандартизировала TLS 1.0 в 1999 году (RFC 2246), TLS 1.2 в 2008 году (RFC 5246), TLS 1.3 в 2018 году (RFC 8446). Let's Encrypt открылся для публики в 2016 году, сделав бесплатные DV-сертификаты стандартом.
Виды сертификатов по уровню проверки
| Тип | Проверка | Срок выдачи | Зелёная строка |
|---|---|---|---|
| DV (Domain Validation) | Только домен | Минуты | Нет |
| OV (Organization Validation) | Домен + организация | 1–3 дня | Нет |
| EV (Extended Validation) | Расширенная проверка юрлица | 3–14 дней | Ранее да |
| Wildcard DV | Домен + все поддомены | Минуты–часы | Нет |
Связь с хостингом
Большинство хостинг-провайдеров выпускают DV-сертификаты Let's Encrypt автоматически при создании домена. На VPS сертификаты устанавливаются через Certbot или acme.sh. Wildcard-сертификаты покрывают все поддомены одного уровня одним файлом. При использовании CDN сертификат устанавливается на edge-узлы CDN, а не на оригинальный сервер.
Виды SSL-сертификатов
DV (Domain Validated) — проверка владения доменом через DNS или HTTP. Выдаётся за минуты автоматически. OV (Organization Validated) — проверка организации, 1–3 дня. EV (Extended Validation) — расширенная проверка компании, 1–5 рабочих дней. Для платёжных систем — OV или EV.
TLS-рукопожатие
ClientHello (браузер) → ServerHello + сертификат → проверка сертификата → обмен ключами (ECDHE) → симметричное шифрование данных. TLS 1.3 (RFC 8446, 2018) сокращает рукопожатие до 1 RTT (вместо 2 в TLS 1.2). Поддержка TLS 1.0/1.1 отозвана Chrome и Firefox с 2020 года.
Wildcard и Multi-domain сертификаты
Wildcard (*.domain.ru) покрывает все поддомены одного уровня. SAN/Multi-domain — несколько разных доменов в одном сертификате. Let's Encrypt выдаёт бесплатно DV и Wildcard (через DNS-01 challenge), срок 90 дней с автопродлением через Certbot.