Коротко. Российские проверку SSL выдаёт национальный удостоверяющий центр (УЦ) для случаев, когда международные сертификаты недоступны или не подходят. Главный практический нюанс — доверие на стороне клиента: такие сертификаты не входят в дефолтные хранилища международных браузеров и требуют установки корневого сертификата. Поэтому критично проверять цепочку доверия и срок действия именно так, как их видит конечный пользователь.
Зачем появились российские SSL-сертификаты
Российский УЦ выпускает TLS-сертификаты для сайтов в ситуациях, когда международные центры по разным причинам недоступны. Технически это обычные X.509-сертификаты, но цепочка доверия ведёт к российскому корневому сертификату, а не к глобально признанным корням.
Сертификат «валиден» только относительно хранилища доверенных корней на устройстве пользователя. Если корня нет — браузер покажет предупреждение, даже когда сертификат технически корректен.
Чем отличаются от международных
- Корень доверия: российский корневой сертификат vs глобально признанные CA;
- Поддержка браузерами: международные корни предустановлены почти везде; российский корень нужно устанавливать вручную или он встроен в отдельные браузеры;
- Аудитория: для российских пользователей с установленным корнем — работает прозрачно; для зарубежных — может потребоваться доверие к корню;
- Технология: формат X.509, проверка цепочки и срока действия — те же, что у любого TLS-сертификата.
| Параметр | Российский УЦ | Международный CA |
|---|---|---|
| Корень доверия | национальный корень | глобально признанный |
| Предустановка в браузерах | не везде, нужна установка | да, повсеместно |
| Формат | X.509 | X.509 |
| Проверка срока действия | стандартная | стандартная |
| Лучше для | аудитории с установленным корнем | универсальной аудитории |
Как проверить цепочку доверия
Главная задача — убедиться, что цепочка собрана правильно и срок действия в порядке. На enterno.io это делает SSL-чекер: он показывает срок действия, цепочку, протокол и шифр. Вручную можно посмотреть так:
# срок действия сертификата
echo | openssl s_client -servername example.ru -connect example.ru:443 2>/dev/null \
| openssl x509 -noout -dates
# вывести цепочку и эмитента (issuer)
echo | openssl s_client -servername example.ru -connect example.ru:443 -showcerts 2>/dev/null \
| grep -E "subject=|issuer="
Строка issuer= покажет, какой УЦ выпустил сертификат — так вы поймёте, российский это корень или международный.
Срок действия и мониторинг истечения
истёкший сертификат сертификат рвёт защищённое соединение независимо от того, какой УЦ его выпустил. enterno.io отслеживает срок действия и предупреждает:
- за 14 дней — предупреждение;
- за 3 дня — критично.
Настройте SSL-монитор на странице мониторов — система сама проверит срок действия по расписанию и пришлёт алерт в Telegram заранее.
Большинство «внезапных» SSL-инцидентов — это просто пропущенное продление. Алерт за 14 дней превращает аврал в плановую задачу.
На что обратить внимание при внедрении
- Проверьте, видит ли ваша целевая аудитория сертификат как доверенный (есть ли корень в их браузерах).
- Убедитесь, что сервер отдаёт полную цепочку (включая промежуточные сертификаты).
- Сравните доступность и валидность сертификата из России и из-за рубежа.
- Поставьте мониторинг сайтов истечения, чтобы не пропустить продление.
FAQ
Будут ли международные браузеры доверять российскому сертификату?
Не по умолчанию: нужен установленный российский корневой сертификат либо браузер с встроенным корнем. Без этого появится предупреждение, хотя технически сертификат может быть корректным.
Чем технически отличается российский сертификат?
Формат тот же (X.509). Отличается корень цепочки доверия — он ведёт к национальному УЦ, а не к глобальному CA.
Как проверить, кто выпустил сертификат?
Посмотрите поле issuer через openssl или в SSL-чекере enterno.io.
Когда enterno.io предупредит об истечении?
За 14 дней (предупреждение) и за 3 дня (критично) до истечения сертификата.
Проверьте свой сертификат и его цепочку прямо сейчас: запустите SSL-проверку на enterno.io и включите мониторинг истечения с алертами в Telegram. Связанные материалы: мониторинг и 152-ФЗ, DNS-проверка.