Как выбрать SSL-сертификат для сайта в 2025: полное руководство

Пара секунд — и пользователь уже решил, доверять ли вашему сайту. Зелёный замочек почти не заметен, но стоит ему исчезнуть, как браузер моментально выплеснет красный «Not secure» и половина аудитории улетучится. Чтобы не ловить инфаркты от резких просадок трафика, разберёмся, какой SSL-сертификат нужен именно вам и как не продолбать установку.

Почему SSL-сертификат теперь обязателен, а не «по желанию»

Google со своими «Частным сектором никто не интересуется» давно превратился в «HTTPS or it gets the hose again». Поисковики занижают рейтинг сайтов без шифрования, браузеры орут на пользователя красными предупреждениями, а классические платёжные шлюзы просто отказываются принимать карты, если нет TLS 1.2+. В общем, SSL-сертификат сегодня — как штрихкод на товаре: без него не продашь.

Разновидности SSL-сертификатов: не все замочки одинаково полезны

Domain Validation (DV)

Проверяют только факт владения доменом. Дёшево, быстро, автоматизируется «в две команды» — идеальный вариант для блогов, лендингов и пет-проектов.

Organization Validation (OV)

К проверке домена добавляется верификация юрлица: выписка из реестра, телефон компании, иногда — звонок менеджеру. Стоит дороже, зато доверие со стороны B2B-клиентов растёт.

Extended Validation (EV)

Тот самый «элитный» сертификат, ради которого юристы передают горы сканов нотариусам и клянчат письма от налоговой. Прозрачным зелёным баром в браузере он больше не подсвечивается, но банковские платёжные формы до сих пор требуют EV-уровень.

Wildcard-сертификат

Защищает все поддомены первого уровня: *.example.com. Отлично подходит, если у вас много микросервисов типа shop.example.com, blog.example.com, api.example.com — и вы не хотите возиться с десятком отдельных сертификатов.

SAN / UCC (Multi-Domain)

Сертификат с дополнительными альтернативными именами. Можно вписать до 100 доменов (точное число зависит от провайдера) и обновлять их на лету. Нужен корпоративным порталам, где каждый отдел требует собственный поддомен, но бюджет на PKI — один.

Критерии выбора: чек-лист здравого смысла

Перед тем как бежать к первому попавшемуся реселлеру, остановитесь и задайте себе шесть вопросов:

• Сколько доменов и поддоменов реально нужно защитить?
• Нужно ли подтверждать организацию или мы стартап на фриланс-серверах?
• Как часто вы обновляете инфраструктуру? Автоматизация ACME спасёт сотни часов.
• Какой бюджет? Бесплатный SSL закрывает 90 % задач, но у EV-сертификатов больше юрсилы.
• Есть ли у нас DevOps-ресурсы или потребуется техподдержка провайдера?
• Нужна ли гарантия (финанс. ответственность CA) для тендеров и Enterprise-клиентов?

Шпаргалка-однострочник

Маленький блог? — DV от Let's Encrypt .
Интернет-магазин под 54-ФЗ? — OV/SAN от Sectigo.
Финтех или банк-эквайер? — EV от DigiCert или GlobalSign.
Маркетплейс на AWS? — Managed SSL через AWS Certificate Manager.
SaaS c тысячами клиентских поддоменов? — Wildcard + SAN в GlobalSign или Let's Encrypt + автоматизация.

Популярные провайдеры и пошаговые инструкции

1. Let's Encrypt — когда деньги лучше пустить на пиццу

Совершенно бесплатный CA, выпускающий DV-сертификаты на 90 дней. Связка Certbot + cron/ systemd-timer закрывает вопрос продления.

1. Установить certbot из репозитория или через snap.
2. Запустить certbot --nginx (или --apache, --standalone).
3. Проверить, что /etc/letsencrypt/live/ содержит новые файлы .pem.
4. Убедиться в наличии автоматического хука перезагрузки сервера после обновления.

Плюсы: бесплатно, автоматизация ACME. Минусы: нет OV/EV, срок 90 дней.

2. Cloudflare SSL/TLS — «замочек по клику»

Cloudflare выдаёт Origin CA-сертификаты или включает Universal SSL одним переключателем.

1. Подключите домен к Cloudflare (NS-записи).
2. В разделе SSL/TLS → Overview выберите режим «Full (Strict)».
3. Сгенерируйте Origin Certificate, если серверу нужен собственный файл.
4. Загрузите ключ и сертификат на сервер, настройте nginx или apache.

Плюсы: мгновенный выпуск, встроенный CDN. Минусы: сайт зависит от Cloudflare; EV недоступен.

3. Sectigo (Comodo), RapidSSL — классика бюджетного рынка

Через реселлеров SSL.com или CheapSSL можно взять DV от $6 в год.

1. Сгенерируйте CSR (openssl req -new -newkey rsa:2048 -nodes -keyout site.key -out site.csr).
2. Выберите тип сертификата (DV/Wildcard/SAN) и загрузите CSR в кабинет реселлера.
3. Подтвердите домен через e-mail или CNAME.
4. Получите .crt + промежуточный CA, установите на сервере.

4. DigiCert и GlobalSign — премиум-уровень и юридическая тяжёлая артиллерия

EV-сертификаты с поддержкой квантовой стойкости (QC от DigiCert) и гарантийной ответственностью до 2 млн $.

1. Заранее подготовьте выписку из торгового реестра и документы на товарный знак.
2. После заказа ожидайте прозвон менеджера CA и нотариально заверенную проверку.
3. Полученный .p7b импортируйте в IIS или конвертируйте в .pem для Nginx.

Плюсы: максимальный уровень доверия, поддержка SMIME/Code Signing в том же кабинете. Минусы: цена и бумажная волокита.

5. AWS Certificate Manager — для микросервисов на эпостасе S3 и CloudFront

1. Откройте ACM в консоле AWS, нажмите Request a certificate.
2. Укажите домены и выберите DNS validation — Route 53 заполнит записи автоматически.
3. Привяжите сертификат к ALB, CloudFront или API Gateway — AWS сам обновит его за 60 дней до истечения.

6. Google Cloud Managed SSL

1. Создайте балансировщик нагрузки в Google Cloud.
2. В «Frontend Config» выберите Managed Certificate.
3. Добавьте необходимые домены, подтвердите через Cloud DNS или e-mail.

7. Namecheap и SSL.com — дешёвый Wildcard за полчаса

Идеальны для проектов с 10–20 поддоменами, где Let's Encrypt не подходит (например, проприетарный Wi-Fi-контроллер без ACME).

1. Купите «PositiveSSL Wildcard».
2. Заполните CSR, подтвердите домен.
3. Импортируйте сертификат в оборудование.

Частые ошибки и как их избежать

• Загружать только .crt. Всегда добавляйте промежуточные CA, иначе Chrome произведёт facepalm.
• Держать срок действия 398 дней. Современные платные сертификаты выпускаются максимум на 13 месяцев; автоматизируйте заранее.
• Забывать про OCSP Stapling. Он снижает время рукопожатия почти на 100 ms — мобильные пользователи скажут спасибо.
• Не закрывать HTTP. Без 301 редиректа на HTTPS остаётся уязвимый вход.

FAQ

• Могу ли я объединить Wildcard и EV? Нет, EV не бывает Wildcard. Для поддоменов используйте SAN или несколько сертификатов.
• Браузер всё ещё пишет «Not secure», хотя сертификат валиден. Проверьте mixed content: картинки по HTTP рушат всю идиллию.
• Что делать с HTTP/2 и HTTP/3? Ничего особенного: нужен валидный TLS, остальное дело конфигурации сервера.
• Можно ли продлить DV заранее? Да, выпуск нового сертификата и замена файлов — самый надёжный способ.

Итоги

Правильный выбор SSL-сертификата — это баланс между бюджетом, уровнем доверия и удобством поддержки. Маленьким сайтам хватит бесплатного Let's Encrypt, среднему бизнесу — OV от Sectigo, а корпорациям — EV от DigiCert. Главное — не откладывать настройку до того момента, когда браузер внезапно нарисует красный треугольник, а вам придётся срочно видеть DevOps-а в три часа ночи. Настройте автоматическое продление, включите HSTS и спите спокойно.