Руководство по цепочкам доверия SSL-сертификатов

 Когда вы видите зелёный замочек в браузере при заходе на HTTPS-сайт, за этим стоит целая система проверок. Давайте разберём подробно, как это работает, зачем нужна цепочка доверия и какие ошибки чаще всего допускаются.

---

📝 Оглавление:

1. Что такое цепочка доверия

2. Какие сертификаты отдаёт сервер клиенту

3. Почему нельзя отдавать корневой сертификат (Root CA)

4. Что происходит, если сервер не отдаёт промежуточный сертификат

5. Как браузеры «докачивают» промежуточные сертификаты (AIA fetching)

6. Типы сертификатов и градации доверия (DV, OV, EV)

7. Почему «зелёный замочек» не означает легальность сайта

8. Частые ошибки администраторов и их последствия

9. Практические советы и золотые правила

10. Современные тенденции и автоматизация сертификатов

11. Полезные инструменты и ресурсы

---

✅ 1. Что такое цепочка доверия

Когда браузер заходит на сайт по HTTPS, сервер предъявляет сертификат, удостоверяющий, что сайт настоящий. Но доверять этому сертификату можно только если он подписан доверенной третьей стороной — центром сертификации (CA).

Цепочка выглядит так:

Root CA (корневой сертификат)
↓
Intermediate CA (промежуточный сертификат)
↓
Server Certificate (серверный сертификат)

Корневой сертификат уже установлен на устройстве пользователя (Windows, macOS, Linux). Сервер обязан отдать клиенту только свой и промежуточный сертификат.

Пример цепочек доверия

---

✅ 2. Какие сертификаты отдаёт сервер клиенту

Правильная практика (RFC 5246, TLS 1.2) — сервер должен отдавать:

• ✅ Серверный сертификат

• ✅ Промежуточный сертификат

• ❌ Корневой сертификат отдавать нельзя

---

✅ 3. Почему нельзя отдавать корневой сертификат (Root CA)

• Он уже есть у пользователя в доверенном хранилище.

• Его передача не повышает доверие, а только удлиняет цепочку и может вызвать ошибки на некоторых клиентах.

---

✅ 4. Что происходит, если сервер не отдаёт промежуточный сертификат

Если сервер отдаёт только свой сертификат, клиент может не суметь проверить его доверие. Последствия:

• Ошибки «Certificate not trusted» или «Unable to verify issuer».

• Проблемы особенно заметны на старых устройствах, IoT, или корпоративных сетях без интернета.

---

✅ 5. Как браузеры «докачивают» промежуточные сертификаты (AIA fetching)

Сертификаты имеют поле AIA (Authority Information Access) с URL, по которому браузер пытается автоматически загрузить недостающий промежуточный сертификат.

Пример:

Authority Information Access: 
CA Issuers - URI:http://example.com/intermediate.cer

Ограничения:

• Не все клиенты умеют это делать (curl, IoT).

• Может быть заблокировано корпоративной политикой.

• Требует доступ в интернет.

---

✅ 6. Типы сертификатов и градации доверия

Существуют разные уровни проверки владельцев сертификатов:

• DV (Domain Validation) — подтверждение владения доменом. Минимальный уровень проверки, автоматическая выдача.

• OV (Organization Validation) — проверка организации, ручная верификация документов.

• EV (Extended Validation) — углублённая проверка организации, полная юридическая прозрачность.

⚠️ Важно: с точки зрения криптографии и защиты трафика все три типа одинаковы. Отличия — только в юридическом доверии и верификации владельца.

✅ Как быстро определить в браузере - посмотрите в сертификат

Нажмите на значок 🔒 слева от адресной строки и там будет меню просмотра информации.

• DV — указан только домен (CN=site.com).

• OV — указано название организации (O=Company LLC) и домен.

• EV — тоже указана организация, и чаще всего с дополнительными полями и более полным юридическим названием компании.

Вот так выглядит сертификат портала gosuslugi.ru на 21.07.2025 в браузере Chrome

---

✅ 7. Почему «зелёный замочек» не означает что сайт принадлежит легальной организации

Зелёный замочек показывает, что соединение защищено и сервер прошёл минимальную проверку (DV). Это не значит, что сайт легален, безопасен, или принадлежит честной компании. Ваша задача - проверить еще и URL. SSL сертификат за вас это не делает.

• По данным Let's Encrypt (2024), более 90% всех сертификатов в интернете сейчас DV-сертификаты (бесплатные, автоматическая выдача).
• EV-сертификаты практически исчезли из-за того, что браузеры перестали визуально выделять их, начиная с 2019 года (отказ от зелёной адресной строки).
• OV-сертификаты ещё используются, но главным образом в финансовом секторе, enterprise-системах и для соответствия строгим комплаенс-требованиям (PCI DSS, финансовые регуляторы).

---

✅ 8. Частые ошибки администраторов и их последствия

• Отсутствие промежуточного сертификата в конфигурации (до 60% ошибок в российском сегменте по исследованиям 2022-2024 гг.).

• Включение корневого сертификата в цепочку (нарушение RFC).

• Использование самоподписанных сертификатов без распространения корневого CA на клиентские устройства.

---

✅ 9. Практические советы и золотые правила для администраторов:

• Всегда отдавайте полную цепочку (серверный + промежуточный сертификат).

• Проверяйте сайт через SSL Labs.

• Настройте автоматическое обновление сертификатов.

• Мониторьте сроки действия всех сертификатов.

• Проверяйте на разных устройствах и браузерах.

---

✅ 10. Современные тенденции и автоматизация сертификатов

Сроки жизни сертификатов постепенно сокращаются. В 2029 году планируется снизить срок до 47 дней, что вынудит всех перейти на автоматизацию выдачи и обновления сертификатов (например, через Let's Encrypt, ACME-протокол).

---

✅ 11. Полезные инструменты и ресурсы:

• SSL Labs

• Mozilla SSL Configuration Generator

• Let's Encrypt

• Certificate Transparency logs

🔖 Поделитесь этой статьёй, если она оказалась полезной для вас или коллег!