TLS 1.3 adoption 2026: как быстро растёт
Enterno.io просканировал топ-10,000 глобальных + топ-1000 Runet сайтов в марте 2026. TLS 1.3 адоптирован на 89% глобально (рост с 78% в 2024), 71% в Runet. Отставание Runet объясняется legacy Cloudflare-конкурентов (Yandex Cloud CDN с 2024 поддерживает 1.3 default), но госсайтами и банками (58% ещё TLS 1.2 only). TLS 1.2 deprecation в PCI DSS 4.0 forces миграцию к 2025.
Ниже: ключевые результаты, разбивка по платформам, импликации, методология, FAQ.
Ключевые результаты
| Метрика | Pass/значение | Медиана | p75 |
|---|---|---|---|
| TLS 1.3 global (top-10k) | 89% | — | — |
| TLS 1.3 Runet (top-1k) | 71% | — | — |
| Only TLS 1.2 (global) | 9% | — | — |
| Only TLS 1.2 (Runet) | 24% | — | — |
| TLS 1.0/1.1 all | 2% | — | — |
| TLS 1.3 0-RTT enabled | 41% | — | — |
| Full TLS 1.3 handshake | ~80ms | 80 | 150 |
| TLS 1.2 handshake | ~140ms | 140 | 250 |
Разбивка по платформам
| Платформа | Доля | Деталь | — |
|---|---|---|---|
| Cloudflare-fronted сайты | 34% | TLS 1.3: 100% | — |
| Госсайты (.gov.ru) | 10% | TLS 1.3: 42% | — |
| Banking / Fintech | 8% | TLS 1.3: 68% | — |
| Yandex Cloud CDN | 12% | TLS 1.3: 94% | — |
| Self-hosted nginx | 21% | TLS 1.3: 64% | — |
Почему это важно
- TLS 1.3 быстрее на ~60ms (1 RTT vs 2 RTT handshake) — LCP выигрывает
- Perfect Forward Secrecy обязательный в 1.3 — снижается TLS-hijacking риск
- PCI DSS 4.0 требует TLS 1.3 minimum с 2025 — banking должен мигрировать
- Browser adoption 100% (Chrome 70+, Firefox 63+, Safari 12.1+) — server side делает "last mile"
- Legacy clients: Java 8 < 1.8.0_261 не support 1.3 — enterprise integration может блокировать
Методология
Сканирование TLS handshake через OpenSSL 3.0 + Go-based parallel scanner (10k сайтов за час). Classification топов SimilarWeb + Alexa-like сервисы. Замер времени handshake через connection time в openssl s_client. Март 2026.
Почему нам доверяют
Как это работает
Введите домен
Проверка цепочки TLS
Дата истечения и уязвимости
Что проверяет SSL-тест?
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Детали сертификата
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Цепочка доверия
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Анализ TLS
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Оповещения об истечении
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
DV vs OV vs EV сертификаты
- Подтверждение только владения доменом
- Выдаётся за минуты автоматически
- Бесплатно через Let's Encrypt
- Подходит для большинства сайтов
- Самый распространённый тип
- Проверка организации (OV) или расширенная проверка (EV)
- Выдаётся за 1-5 рабочих дней
- Стоимость от $50 до $500/год
- Для финансов, e-commerce, госсайтов
- Повышает доверие пользователей
Кому это нужно
DevOps
мониторинг SSL-сертификатов
Безопасность
аудит TLS-конфигурации
SEO
HTTPS как фактор ранжирования
E-commerce
доверие покупателей
Частые ошибки
www и поддомены.Лучшие практики
Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Получите больше с бесплатным аккаунтом
Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Больше по теме
Часто задаваемые вопросы
TLS 1.3 нужно включать специально?
nginx 1.13+ с OpenSSL 1.1.1+ — TLS 1.3 default. Нужно только <code>ssl_protocols TLSv1.2 TLSv1.3;</code> (без 1.0/1.1).
0-RTT безопасно?
Replay attacks возможны на idempotent requests. Включайте только если вы OK с POST replay (GET — норм). Cloudflare по default ON для GET.
TLS 1.2 deprecation когда?
Industry слабо движется. PCI DSS 4.0 требует 1.3 минимум с 2025. Browser deprecation — не ранее 2027.
Как проверить свой TLS 1.3?
<a href="/ssl">Enterno SSL Checker</a> показывает supported protocols. <code>openssl s_client -tls1_3</code> — manual test.