Сертификат сайта нужен не для того, чтобы доказать: «этому магазину можно верить». Он подтверждает другое: соединение зашифровано, домен совпадает с сертификатом, а цепочка доверия доходит до удостоверяющего центра, которому браузер доверяет. Это полезная проверка, но не гарантия честности компании.
Проверять сертификат стоит в двух местах: прямо в браузере и через внешние сервисы. Браузер быстро покажет, есть ли явные проблемы с текущим соединением. Онлайн-сервисы помогут глубже посмотреть цепочку, историю сертификатов, прозрачные логи и настройки сервера.
- Что именно проверяем, когда смотрим сертификат
- Как проверить сертификат сайта в браузере
- На что смотреть в окне сертификата
- Какие онлайн-сервисы использовать для проверки
- Проверка через Qualys SSL Labs
- Проверка истории сертификатов через crt.sh
- Проверка через Google Transparency Report
- Какие признаки считать нормальными, а какие — тревожными
- Что выбрать в зависимости от ситуации
Что именно проверяем, когда смотрим сертификат
Когда вы открываете сайт по HTTPS, браузер автоматически проверяет несколько вещей:
- сертификат выдан на тот домен, который открыт в адресной строке;
- срок действия сертификата не истёк и ещё не начался;
- сертификат выдан доверенным удостоверяющим центром;
- цепочка сертификатов собрана правильно: сайт → промежуточный центр → корневой центр;
- нет признаков отзыва сертификата;
- используются нормальные алгоритмы шифрования и подписи.
Если всё сходится, браузер показывает защищённое соединение. Но даже у мошеннического сайта может быть нормальный сертификат, если он оформлен на свой домен. Поэтому проверку сертификата лучше воспринимать как фильтр: плохой сертификат — явный красный флаг, хороший — только первый шаг, а не полное доказательство безопасности.
Как проверить сертификат сайта в браузере
- Откройте сайт по точному адресу. Лучше вводить домен вручную или переходить из сохранённой закладки.
- Нажмите на значок замка, значок страницы или значок настроек слева от адресной строки. Названия кнопок отличаются в разных браузерах.
- Откройте раздел с информацией о соединении и нажмите кнопку просмотра сертификата.
- Проверьте домен, даты, издателя, путь сертификации и предупреждения браузера.
В разных браузерах путь может выглядеть так:
- Chrome и Edge: нажмите значок рядом с адресом, затем пункт о защищённом соединении и кнопку просмотра сертификата. В некоторых версиях интерфейс называется «Настройки сайта» или «Сертификат действителен».
- Firefox: нажмите на замок → «Соединение защищено» → «Подробнее» → «Просмотреть сертификат».
- Safari: нажмите значок замка или значок страницы → «Показать сертификат».
Если браузер сразу показывает предупреждение вроде «Подключение не защищено», «Сертификат недействителен», «Сертификат выдан для другого имени» или «Неизвестный издатель», не вводите пароли, данные карт и коды из SMS. Сначала разберитесь, в чём причина.
Не нажимайте «Продолжить» на сайте, где браузер предупреждает о проблеме с сертификатом, если это не внутренний корпоративный ресурс, настроенный вашим ИТ-отделом. Для публичного магазина, банка, почты или сервиса оплаты это плохой знак.
На что смотреть в окне сертификата
Окно сертификата выглядит по-разному в Chrome, Firefox и Safari, но смысл одинаковый. Смотрите не на красивое оформление, а на конкретные поля.
- Домен. В поле «Выдан для», «Subject» или «Subject Alternative Name» должен быть тот домен, который вы открыли. Если зашли на shop.example.ru, а сертификат выдан на example-shop.ru, это несовпадение.
- Даты действия. Проверьте «Действителен с» и «Действителен по». Если дата истекла, браузер обычно блокирует сайт. Если сертификат «ещё не действует», проверьте дату и время на своём устройстве.
- Издатель. У публичного сайта издателем должен быть известный удостоверяющий центр: например, Let’s Encrypt, Google Trust Services, DigiCert, Sectigo, GlobalSign и другие. Сам по себе знакомый издатель не доказывает честность сайта, но неизвестный издатель для публичного ресурса — тревожный сигнал.
- Путь сертификации. Нормальная цепочка обычно выглядит так: сертификат сайта → промежуточный центр → корневой центр. Если цепочка обрывается или браузер пишет, что корень не доверенный, соединение ненадёжное.
- Тип сертификата. DV подтверждает контроль над доменом. OV и EV дополнительно проверяют организацию. Но отсутствие EV не значит, что сайт поддельный: многие нормальные сервисы используют обычные DV-сертификаты.
- Алгоритмы. Для современных сайтов нормально видеть RSA или ECDSA с SHA-256. SHA-1 и устаревшие схемы подписи — плохой признак.
Отдельно проверьте wildcard-сертификаты. Запись *.example.ru подходит для shop.example.ru, но не подходит для example.ru и обычно не подходит для pay.shop.example.ru. Wildcard закрывает только один уровень поддомена.
Какие онлайн-сервисы использовать для проверки
Браузер показывает результат для вашего текущего соединения. Онлайн-сервисы дают второй взгляд со стороны: как сайт выглядит извне, какие сертификаты выпускались для домена, есть ли проблемы с цепочкой и прозрачными логами.
| Инструмент | Когда использовать | Что смотреть | Ограничение |
|---|---|---|---|
| Браузер | Быстрая проверка перед входом, оплатой или отправкой данных. | Предупреждения, домен, даты, издатель, путь сертификации. | Показывает только текущее соединение и зависит от настроек браузера. |
| Qualys SSL Labs | Если нужно проверить публичный сайт глубже. | Оценка, цепочка, доверенность сертификата, статус отзыва, настройки TLS. | Результат может быть закэширован; для сайтов за CDN покажет то, что видит внешний клиент. |
| crt.sh | Если нужно посмотреть историю сертификатов домена. | Даты выпуска, издатель, имена в сертификате, новые записи в прозрачных логах. | Это поисковик по публичным логам, а не полноценная проверка безопасности сайта. |
| Google Transparency Report | Для быстрой внешней проверки доверенности сертификата. | Использует ли сайт HTTPS, доверяет ли Chrome сертификату, есть ли информация о прозрачности. | Доступность и детали отчёта могут отличаться в зависимости от региона и версии сервиса. |
| Сверка отпечатка сертификата | Для банков, госуслуг, корпоративных порталов и других чувствительных ресурсов. | SHA-256 fingerprint сертификата. | Сравнивать нужно только с отпечатком, полученным через официальный канал, а не со случайной страницы. |
Проверка через Qualys SSL Labs
SSL Labs полезен, когда нужно понять не только «есть ли сертификат», но и насколько правильно настроен сервер. Он особенно удобен для проверки своего сайта, интернет-магазина или корпоративного портала.
- Откройте SSL Server Test от Qualys SSL Labs.
- Введите домен без пути: например, example.ru, а не example.ru/login.
- Дождитесь завершения теста. Он может занять несколько минут.
- Посмотрите общую оценку, разделы Certificate, Chain issues, Trust и Revocation status.
Хороший результат для публичного сайта: высокая оценка, нет ошибок цепочки, сертификат доверенный, имя совпадает с доменом, нет критических проблем с отзывом. Но оценка A или A+ не означает, что сайт честный. Она говорит только о технической стороне TLS-настроек.
Если сайт работает через CDN, например Cloudflare, SSL Labs покажет сертификат, который видит внешний клиент. Часто это нормальный сертификат CDN-провайдера. Главное — чтобы домен в сертификате совпадал с адресом сайта, а браузер не показывал предупреждений.
Проверка истории сертификатов через crt.sh
crt.sh работает с прозрачными логами Certificate Transparency. Практически все современные публичные сертификаты попадают в такие логи. Это удобно, если нужно понять, какие сертификаты выпускались для домена и когда.
- Откройте crt.sh.
- Введите домен, например example.ru или *.example.ru.
- Найдите последние записи и откройте свежий сертификат.
- Проверьте issuer, not before, not after, common name и subject alternative names.
Что может насторожить:
- для подозрительного домена сертификат выпущен совсем недавно;
- в именах сертификата есть неожиданные поддомены;
- домен похож на известный бренд, но написан с заменой букв или цифр;
- для вашего собственного домена появились сертификаты, которые вы не выпускали.
Для обычного пользователя crt.sh полезен в ситуациях, когда сайт выглядит как копия банка, маркетплейса или платёжного сервиса. Если домен странный, а сертификат выпущен на этот же странный домен, это не делает сайт безопасным. Мошенники легко получают сертификаты на свои домены.
Проверка через Google Transparency Report
Google Transparency Report помогает быстро посмотреть, использует ли сайт HTTPS и доверяет ли Chrome его сертификату. Это не замена браузеру, но хороший внешний ориентир.
Введите домен в проверку HTTPS. Если сервис показывает, что сертификат доверенный и соединение защищено, это хороший знак. Если есть расхождение с вашим браузером, причина может быть в регионе, кэше, настройках сети, VPN, корпоративном антивирусе или локальном сертификате.
Какие признаки считать нормальными, а какие — тревожными
| Признак | Нормально | Тревожно |
|---|---|---|
| Домен | Имя в сертификате совпадает с адресом сайта. | Сертификат выдан на другой домен или похожий адрес. |
| Срок действия | Сертификат действителен сейчас. | Истёк, ещё не начал действовать или действует необычно долго для публичного сайта. |
| Издатель | Известный доверенный центр сертификации. | Самоподписанный или неизвестный центр для публичного сайта. |
| Цепочка | Есть полный путь до доверенного корневого центра. | Цепочка обрывается, браузер пишет об ошибке доверия. |
| Отзыв | Нет признаков отзыва, OCSP/CRL выглядят нормально. | Сертификат отозван или сервис показывает явные проблемы со статусом. |
| Прозрачные логи | Современный публичный сертификат есть в Certificate Transparency. | Для публичного сайта нет следов в логах или появились неожиданные выпуски. |
| Организация | Для OV/EV название организации совпадает с владельцем ресурса. | В OV/EV указана другая компания или непонятное юридическое лицо. |
| Алгоритмы | Современные RSA/ECDSA и SHA-256. | SHA-1, устаревшие ключи, непонятные параметры подписи. |
Что выбрать в зависимости от ситуации
- Если нужно быстро проверить сайт перед оплатой. Начните с браузера: адресная строка, сертификат, даты, издатель. Если есть предупреждение — остановитесь. Не пытайтесь «проскочить» через ошибку
