SSL-сертификат 10 лет назад был необязательной роскошью, сегодня — обязательный минимум. Эта статья объясняет типы, выбор и практическое внедрение для владельца бизнеса.

Для более широкого контекста киберзащиты см. pillar Кибербезопасность корпоративных данных. Глоссарий: /ru/glossariy/ssl.

Что такое SSL/TLS

SSL (Secure Sockets Layer) — исходный протокол 1995 года для зашифрованных интернет-соединений. TLS (Transport Layer Security) — его современная версия (TLS 1.0 с 1999 года, сегодня в 2026 году минимум — TLS 1.3).

На практике термины SSL и TLS используются взаимозаменяемо — когда говорим о «SSL-сертификате», имеем в виду TLS-сертификат. «SSL» остался как маркетинговый термин.

Три функции

  1. Шифрование — коммуникация между браузером и сервером зашифрована. Злоумышленник посередине (например, в Wi-Fi кафе) не видит передаваемые данные — пароли, формы, cookies.
  2. Целостность — криптографический хэш гарантирует, что злоумышленник не может изменить содержимое при передаче (например, внедрить рекламу или вредоносное ПО в легитимный сайт).
  3. Аутентификация — сертификат подтверждает, что сервер действительно тот, за кого себя выдаёт. Без этого злоумышленник мог бы создать поддельный сайт и перенаправить туда посетителей.

HTTPS = HTTP + TLS

HTTPS (HTTP Secure) — протокол HTTP, работающий поверх TLS. В адресной строке браузера видите замок и https:// вместо http://.

В 2026 году каждый серьёзный сайт использует HTTPS. Сайты только с HTTP:

  • Браузеры показывают предупреждение «Not Secure»
  • Google штрафует в ранжировании
  • Некоторые API и интеграции не работают
  • Cookies нельзя установить как secure

Типы SSL-сертификатов

Три категории по уровню валидации:

Domain Validation (DV)

Простейший — Certificate Authority (CA) проверяет только то, что заявитель владеет доменом (через DNS-запись или файл на сервере). Идентичность компании не проверяется.

  • Цена: Бесплатно (Let’s Encrypt) или 5–30 EUR/год
  • Валидация: Автоматизированная, занимает минуты
  • Подходит для: Маркетинговых сайтов, блогов, информационных страниц

Organization Validation (OV)

CA проверяет также идентичность компании (регистрацию в торговом реестре, звонок, документы).

  • Цена: 50–200 EUR/год
  • Валидация: 1–3 дня
  • Подходит для: B2B сайтов, где клиент ценит верификацию компании

Extended Validation (EV)

Строжайшая валидация — CA проверяет компанию через тщательную проверку (юридические документы, подтверждение регистрации и т.д.).

  • Цена: 100–500 EUR/год
  • Валидация: 1–2 недели
  • Подходит для: Банков, финансовых учреждений, крупных интернет-магазинов

В 2026 году EV-сертификаты менее заметны — современные браузеры больше не показывают название компании в адресной строке (зелёная панель из прошлого). EV потерял большую часть UX-преимущества, остался только как юридический сигнал.

Специальные типы

Wildcard-сертификат

Покрывает все поддомены одного домена: *.modulario.com покрывает www.modulario.com, app.modulario.com, api.modulario.com и т.д.

Цена: 50–300 EUR/год. Альтернатива: Let’s Encrypt + автоматизация DNS-01 challenge (более сложная настройка, но бесплатно).

Multi-Domain (SAN)

Один сертификат для нескольких разных доменов (company1.eu + company2.eu + company3.de).

Цена: 50–500 EUR/год в зависимости от количества доменов.

Code Signing

Не для web — используется для подписи программных пакетов (.exe, .msi, драйверы). Без code signing сертификата Windows показывает «Неизвестный издатель» при установке.

Let’s Encrypt: бесплатный и практичный выбор

Let’s Encrypt — некоммерческий Certificate Authority, запущенный в 2016 году (ISRG, спонсируется EFF, Mozilla, Cisco и другими). Выдаёт бесплатные DV-сертификаты со сроком действия 90 дней + автоматическим обновлением.

В 2026 году выдаёт более 50 % всех SSL-сертификатов в мире.

Преимущества

  • Бесплатно — независимо от количества доменов
  • Автоматизировано — инструмент Certbot обновляет сертификаты автоматически
  • Широкая поддержка — все браузеры признают Let’s Encrypt
  • Никаких компромиссов в шифровании — тот же TLS 1.3, что и у платных сертификатов

Ограничения

  • Только DV (никакого OV и EV)
  • Срок действия 90 дней (нужно обновлять каждые 60 дней)
  • Без «телефона поддержки» — community based

Установка

Для большинства хостингов Let’s Encrypt доступен в панели администратора одним кликом. Для собственного сервера через Certbot:

sudo certbot --nginx -d company.eu -d www.company.eu

Автоматическое обновление через systemd timer или cron — настройте один раз и забудьте.

Внедрение SSL для корпоративного сайта

Шаг 1: Домен

Домен должен быть зарегистрирован. Европейские TLD (.eu, .de, .pl, .fr и т.д.) через аккредитованного регистратора. Цена: 10–30 EUR/год.

Шаг 2: Хостинг или сервер

Хостинг (облачный SaaS, VPS, dedicated) должен поддерживать HTTPS. Все современные хостинги в 2026 году поддерживают.

Шаг 3: Настройка DNS

A-запись company.eu указывает на IP сервера, AAAA для IPv6.

Шаг 4: Сертификат

  • Панель хостинга: кнопка «Активировать SSL» — Let’s Encrypt автоматически
  • Собственный сервер: установка Certbot
  • Облако (AWS, Azure): certificate manager, иногда бесплатно, иногда в составе load balancer

Шаг 5: Принудительный HTTPS

Сайт должен перенаправлять http://company.eu на https://company.eu. В Apache .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Аналогичная настройка для Nginx или облачного load balancer.

Шаг 6: HSTS

HSTS (HTTP Strict Transport Security) принудительно применяет HTTPS даже при первом доступе. Заголовок:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Шаг 7: Тест

Проверьте через SSL Labs Server Test. Цель: оценка A или A+.

Мониторинг истечения

Наиболее распространённая ошибка: сертификат истекает и никто не заметил → сайт перестаёт работать надёжно.

Решения:

  • Let’s Encrypt + Certbot auto-renewal — автоматически, никаких ручных действий
  • Uptime Robot, Pingdom — алерт за 30 дней до истечения
  • Site24x7, StatusCake — расширенный мониторинг, включая SSL
  • Собственный cron с парсингом openssl s_client -connect company.eu:443

Для Modulario мониторинг SSL является частью общей инфраструктуры. Клиент никогда не сталкивается с истёкшим SSL на основном домене.

TLS 1.3 и современные стандарты

В 2026 году TLS 1.3 — минимум. Более старые версии:

  • TLS 1.0 и 1.1 — deprecated с 2020 года, запрещены
  • TLS 1.2 — по-прежнему поддерживается для legacy-клиентов, но не default
  • TLS 1.3 — default, самый быстрый, самый безопасный

Конфигурация сервера должна:

  • Устанавливать TLS 1.2 как минимум (в идеале 1.3)
  • Отключать слабые шифры (RC4, DES, 3DES)
  • Иметь OCSP stapling
  • Поддерживать HTTP/2 и HTTP/3 (QUIC)

Тест SSL Labs выявит все недостатки.

Часто задаваемые вопросы

Для чего нужен SSL-сертификат? SSL/TLS-сертификат обеспечивает зашифрованную коммуникацию между браузером посетителя и вашим веб-сервером (HTTPS вместо HTTP). Три функции: (1) шифрование — никто «посередине» не может перехватить данные (пароли, формы), (2) целостность — злоумышленник не может изменить содержимое в пути, (3) аутентификация — посетитель знает, что общается с правильным сервером. Без SSL браузеры показывают предупреждение «Not Secure».

Достаточно ли бесплатного SSL от Let’s Encrypt или нужен платный? Для 95 % корпоративных сайтов достаточно Let’s Encrypt — бесплатный, автоматически обновляемый, технически то же самое шифрование. Платный имеет смысл только при: (1) Extended Validation (EV) для банков / крупных интернет-магазинов, (2) Wildcard для большого количества поддоменов, (3) Organization Validation (OV) для B2B компаний с юридической верификацией. Для владельца МСБ Let’s Encrypt + auto-renewal через Certbot — оптимальное решение.

Что произойдёт, если SSL-сертификат истечёт? Браузеры покажут агрессивное предупреждение «Ваше соединение не является приватным», и большинство посетителей покинут сайт. Для B2B компании это означает потерю доверия и потенциальную потерю сделок. Некоторые приложения (банкинг, M365) прекратят коммуникацию с сервером. Решение: мониторинг срока действия с алертом за 30 дней до истечения.