Типы SSL-сертификатов: DV, OV, EV — какой выбрать

проверку SSL — обязательный атрибут современного сайта. Без него браузеры показывают предупреждение «Не защищено», поисковые системы понижают позиции, а пользователи теряют доверие. Но SSL-сертификаты бывают разных типов, и выбор правильного варианта зависит от потребностей вашего бизнеса.

Уровни валидации SSL-сертификатов

DV — Domain Validation (проверка домена)

DV-сертификат подтверждает только то, что вы контролируете домен. Центр сертификации проверяет это через один из методов: размещение файла на сервере, добавление DNS Lookup или подтверждение по email. Процесс занимает от нескольких секунд до нескольких минут.

Характеристики DV:

• Минимальная проверка — только владение доменом
• Выпускается мгновенно (автоматически)
• Бесплатные варианты: Let's Encrypt, ZeroSSL, Buypass Go
• В адресной строке — иконка замка без дополнительной информации об организации
• Идеально подходит для личных сайтов, блогов, небольших проектов

OV — Organization Validation (проверка организации)

OV-сертификат подтверждает не только владение доменом, но и реальное существование организации. Центр сертификации проверяет регистрационные данные компании, юридический адрес и телефон.

Характеристики OV:

• Проверка юридического лица: реестр, адрес, телефон
• Выпуск занимает 1–3 рабочих дня
• Стоимость: от 3 000 до 20 000 рублей в год
• Информация об организации видна в деталях сертификата
• Рекомендуется для бизнес-сайтов, корпоративных проверку портов

EV — Extended Validation (расширенная проверка)

EV-сертификат предполагает наиболее строгую проверку организации. Центр сертификации верифицирует юридический статус, физический адрес, право на использование домена и полномочия заявителя.

Характеристики EV:

• Максимально строгая проверка по стандартам CA/Browser Forum
• Выпуск занимает 5–14 рабочих дней
• Стоимость: от 10 000 до 100 000 рублей в год
• Раньше отображалось название компании в адресной строке (зелёная строка), но с 2019 года большинство браузеров убрали это отображение
• Рекомендуется для банков, платёжных систем, крупных интернет-магазинов

Сравнительная таблица

Типы покрытия

Однодоменный сертификат

Защищает только один домен: example.com. Обычно также покрывает вариант с www (www.example.com). Самый простой и дешёвый вариант.

Wildcard-сертификат

Защищает домен и все поддомены одного уровня: *.example.com. Покрывает blog.example.com, shop.example.com, api.example.com и любой другой поддомен. Однако не покрывает поддомены второго уровня (dev.api.example.com).

Wildcard-сертификат доступен для DV и OV уровней. EV Wildcard-сертификаты не выпускаются — это ограничение стандартов CA/Browser Forum.

Мультидоменный сертификат (SAN/UCC)

Один сертификат защищает несколько разных доменов: example.com, example.ru, another-site.com. Использует расширение Subject Alternative Name (SAN). Удобно, если у компании несколько доменов.

Let's Encrypt и бесплатные сертификаты

Let's Encrypt — некоммерческий центр сертификации, выпускающий бесплатные DV-сертификаты. С момента запуска в 2015 году он произвёл революцию в распространении HTTPS — сегодня более 80% сайтов используют HTTPS.

Преимущества Let's Encrypt

• Полностью бесплатный
• Автоматический выпуск и продление через ACME-протокол
• Поддерживается всеми современными браузерами
• Выпуск Wildcard-сертификатов через DNS-01 challenge
• Огромное сообщество и множество инструментов (Certbot, acme.sh)

Ограничения Let's Encrypt

• Только DV-уровень — нет проверки организации
• Срок действия — 90 дней (требует автоматического продления)
• Rate limits: 50 сертификатов на домен в неделю
• Нет финансовой гарантии и расширенной поддержки
• Не подходит для организаций, которым нужен OV/EV

Автоматическое продление

Настройте автоматическое продление через cron:

# Certbot — автоматическое продление дважды в день
0 0,12 * * * certbot renew --quiet --post-hook "systemctl reload nginx"

Без автоматического продления сертификат истечёт через 90 дней, и ваш сайт станет недоступен по HTTPS.

Как проверить SSL-сертификат

Регулярная проверка SSL-сертификата помогает избежать проблем:

• SSL-чекер enterno.io — проверка сертификата, цепочки, протокола и шифров
• Браузер — нажмите на иконку замка в адресной строке для базовой информации
• openssl — для детальной проверки из командной строки

На что обращать внимание при проверке:

Какой сертификат выбрать

Для личного блога или pet-проекта

Let's Encrypt DV — бесплатно, автоматически, достаточно для базового HTTPS.

Для бизнес-сайта или интернет-магазина

OV-сертификат от проверенного CA (Sectigo, DigiCert, GlobalSign). Подтверждение организации повышает доверие для B2B-клиентов.

Для банка, платёжной системы или госсервиса

EV-сертификат от крупного CA. Максимальная верификация и финансовые гарантии.

Для множества поддоменов

Wildcard DV (Let's Encrypt) или Wildcard OV (платный). Один сертификат вместо десятков отдельных.

Для нескольких доменов

Мультидоменный SAN-сертификат. Упрощает управление сертификатами.

Частые ошибки при работе с SSL

• Неполная цепочка сертификатов — промежуточный сертификат не установлен, некоторые клиенты не могут установить доверие
• Mixed content — страница загружается по HTTPS, но подгружает ресурсы по HTTP
• Забытое продление — сертификат истекает, и сайт становится «небезопасным»
• Неправильный SNI — на сервере несколько сайтов, и выдаётся сертификат другого домена
• Устаревшие протоколы — TLS 1.0 и 1.1 считаются небезопасными с 2020 года