Перейти на PRO

Какие основные типы SSL/TLS сертификатов существуют?

Тип вопроса: Тестирование безопасности Вероятность: 10% Категория: QA Тестировщик

Ответ

SSL-сертификаты (правильнее — TLS-сертификаты) различаются по уровню проверки владельца и функциональности. Они выпускаются Центрами Сертификации (CA).

По уровню проверки (Validation Level):

  1. DV (Domain Validation)

    • Проверка: Подтверждается только право управления доменным именем (через email или DNS-запись).
    • Срок выдачи: Минуты/часы.
    • Использование: Базовое шифрование для блогов, личных сайтов. Пример: Let's Encrypt.

  2. OV (Organization Validation)

    • Проверка: Дополнительно проверяется юридическое существование организации (по официальным реестрам).
    • Срок выдачи: 1-3 дня.
    • Использование: Коммерческие и корпоративные сайты, где важно доверие. Информация об организации видна в деталях сертификата.

  3. EV (Extended Validation)

    • Проверка: Наиболее строгая. Проверяется юридический, физический и операционный статус компании.
    • Визуальный признак: В прошлом — зеленая строка в адресной строке браузера с названием компании.
    • Использование: Крупные финансовые учреждения, интернет-магазины для максимального доверия.

По охвату доменов (Scope):

  1. Single Domain: Защищает один FQDN (например, www.example.com).
  2. Wildcard: Защищает один домен и все его поддомены одного уровня (*.example.com). Не покрывает корневой домен (example.com), для него нужен отдельный сертификат или SAN.
  3. Multi-Domain (SAN/UCC): Один сертификат может включать несколько различных доменных имен (Subject Alternative Names).

Самоподписанные сертификаты (Self-Signed):

  • Создаются самостоятельно, не подписаны доверенным CA.
  • Использование: Тестирование, внутренние (интранет) среды.
  • Недостаток: Браузеры и клиенты будут показывать предупреждение о безопасности.
  • Пример создания: 
    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes -subj "/CN=localhost"

Ответ 18+ 🔞

А, слушай, про эти ваши SSL-сертификаты, которые, если уж по-умному, то TLS-сертификаты, блядь. Ну, в общем, выпускают их такие конторы — Центры Сертификации, CA, короче. И они, сука, разные бывают, как люди: одни — просто для галочки, другие — с проверкой всех предков до седьмого колена.

По тому, как тебя проверяют (Validation Level):

  1. DV (Domain Validation) — Проверка домена.

    • Что проверяют: Только то, что ты хозяин этого самого домена. Типа, письмо на почту пришло — тыкнул ссылку, или DNS-запись добавил. Всё, пиздец, ты король.
    • Сколько ждать: Минуты, часы. Быстрее, чем пиццу.
    • Где юзать: Ну, блог какой-нибудь, личная страничка-визитка. Чтоб просто было не «Не защищено». Классика — Let's Encrypt, они эти серты, как горячие пирожки, штампуют, даром, блядь.

  2. OV (Organization Validation) — Проверка организации.

    • Что проверяют: Тут уже серьёзнее. Не только домен, но и то, что твоя контора реально существует в каком-нибудь госреестре. Не ОПГ, а нормальная фирма.
    • Сколько ждать: Денёк-три, уже не мгновенно.
    • Где юзать: Нормальные сайты, где деньги крутятся. Кому-то же надо доверять? Так вот, в деталях сертификата можно будет твою фирму посмотреть, кто ты такой.

  3. EV (Extended Validation) — Расширенная проверка.

    • Что проверяют: Охуенно строгая проверка. Всё про тебя: юрлицо, адрес, телефон, не в розыске ли. Почти как в ФСБ справку брать.
    • Фишка была: Раньше в браузере зелёная строка светилась с названием компании прям в адресной строке. Красиво, доверие ебать — зашкаливает.
    • Где юзать: Банки, крупные магазины — где нужно, чтобы у клиента волнение ебать на нуле было.

А ещё они по «охвату» отличаются, сколько имён прикроют:

  1. Single Domain (Один домен): Прикрывает ровно одно полное имя. www.example.com и всё. На shop.example.com уже не прокатит.
  2. Wildcard (Дикий, блядь): Вот это уже интереснее. Берёт один домен и ВСЕ его поддомены одного уровня. *.example.com — значит, и shop.example.com, и blog.example.com, и admin.example.com будут под защитой. Но, внимание, ёпта! Корневой example.com сам по себе НЕ входит! Для него либо отдельный сертик, либо...
  3. Multi-Domain (SAN/UCC) — Мультидоменный: Один сертификат, а в него можно напихать кучу РАЗНЫХ доменных имён. Хоть example.com, хоть my-site.net, хоть blog.another.org. Удобно, если у тебя несколько проектов на одном сервере.

А теперь про отсебятину — Самоподписанные сертификаты (Self-Signed):

  • Это когда ты сам себе и ЦС, и выпускающий. Нарисовал — и готово. Никакой доверенной дяди тебя не проверял.
  • Где сгодится: Для тестов, локальных разработок, внутренних сетей (интранет).
  • Главная засада: Любой браузер, увидев эту хрень, начнёт орать как резаный: «ВАША БЕЗОПАСНОСТЬ ПОД УГРОЗОЙ!». Доверия к такому серту — ноль ебать.
  • Как наколхозить, пример: 
    openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes -subj "/CN=localhost"

    Вот, выполнил в консоли — и у тебя уже ключ и сертификат на год для localhost. Но только ты и твой комп этому поверите, больше — ни хуя.

© ХакСобесов, 2026
support@hacksobesov.com