Сертификаты Let’s Encrypt обеспечивают такую же стойкость шифрования, как и сертификаты стоимостью $100-$500 в год. Алгоритмы шифрования, длины ключей и протоколы TLS идентичны. Посетитель вашего сайта не заметит разницы в безопасности.
Так зачем существуют платные сертификаты? И нужен ли он вам?
Короткий ответ: большинству сайтов — нет. Остальная часть статьи объясняет реальные различия — не маркетинг.
Быстрое сравнение
| Аспект | Let’s Encrypt (бесплатный) | Платный SSL (коммерческий CA) |
|---|---|---|
| Стойкость шифрования | Одинаковая (TLS 1.2/1.3, AES-256) | Одинаковая |
| Типы ключей | RSA 2048/4096, ECDSA P-256/P-384 | Те же |
| Уровень валидации | Только DV | DV, OV, EV |
| Срок действия сертификата | 90 дней | 1 год (сокращается до 47 дней к 2029) |
| Wildcard | ✅ (бесплатно) | ✅ |
| Мультидоменный (SAN) | ✅ (до 100 имён) | ✅ |
| Гарантия | Нет | $10K – $1,75M |
| Техническая поддержка | Форум сообщества | Выделенная поддержка |
| Доверие браузеров | Все основные браузеры | Все основные браузеры |
| Зелёная строка / название организации | Нет (DV) | Нет — убрано из браузеров в 2019 |
| Печать сайта | Нет | Да (маркетинговый значок) |
| Стоимость за домен/год | $0 | $50 – $500+ |
Шифрование идентично
Это самый важный пункт и тот, который коммерческие CA затушёвывают в маркетинге: шифрование одинаковое.
DV-сертификат Let’s Encrypt и EV-сертификат DigiCert за $500 оба:
- Используют те же протоколы TLS 1.2/1.3
- Согласовывают те же наборы шифров (AES-256-GCM, ChaCha20-Poly1305)
- Используют те же механизмы обмена ключами (ECDHE)
- Обеспечивают ту же прямую секретность
- Одинаково доверяются всеми браузерами и операционными системами
Ни один коммерческий CA не использует «лучшее шифрование». Стандарты определяются спецификацией TLS, а не CA. Платя больше, вы покупаете валидацию и сервисы — но никогда более стойкое шифрование.
За что вы реально платите
1. Уровень валидации (DV vs OV vs EV)
Единственное существенное техническое различие:
| Уровень | Что проверяет CA | Сколько времени | Отображение в браузере (2026) |
|---|---|---|---|
| DV | Вы контролируете домен | Минуты (автоматически) | Замочек |
| OV | Домен + организация существует | 1-3 дня | Замочек (как у DV) |
| EV | Домен + тщательная проверка организации | 1-2 недели | Замочек (как у DV) |
Все три показывают одинаковый замочек в каждом основном браузере. Визуальной разницы нет.
Подробный разбор DV, OV и EV →
2. Зелёная строка исчезла
Коммерческие CA по-прежнему продвигают EV-сертификаты как показывающие «зелёную адресную строку с названием вашей компании». Это устаревшая информация.
Хронология удаления зелёной строки:
- Chrome 69 (сентябрь 2018): убрана зелёная надпись «Secure»
- Chrome 77 (сентябрь 2019): убрано название организации EV из адресной строки
- Firefox 70 (октябрь 2019): убран индикатор EV
- Safari (2020): убрано различие EV
- Edge: следует за Chrome
В 2026 году ни один основной браузер не показывает визуальных различий между DV, OV и EV-сертификатами. Пользователи по-прежнему могут просмотреть данные организации, нажав на замочек → Сертификат, но почти никто этого не делает.
Это устраняет основной маркетинговый аргумент в пользу EV-сертификатов.
3. Гарантия
Платные сертификаты включают «гарантию» — обычно от $10K до $1,75M. Но прочитайте мелкий шрифт:
- Она покрывает ошибки CA при выпуске — если CA выпускает сертификат тому, кто не контролирует домен, и посетитель понёс финансовые потери в прямом результате
- Она НЕ покрывает вас, если ваш сайт взломан
- Она НЕ покрывает утечки данных
- Она НЕ покрывает фишинговые атаки
- Для получения выплаты нужно доказать, что CA допустил ошибку в процессе валидации
Ни одна значимая гарантийная выплата никогда не была публично задокументирована. Гарантия — это маркетинговый инструмент, а не значимое преимущество безопасности.
4. Техническая поддержка
Let’s Encrypt: форум сообщества (letsencrypt.org/community). Нет телефона, email, тикет-системы.
Коммерческие CA: поддержка по email, телефону и чату, с SLA для корпоративных планов.
Когда это важно: крупные предприятия с требованиями комплаенса, обязывающими иметь «поддержку вендора» для всех компонентов инфраструктуры. Если в чек-листе закупки есть пункт «контракт на поддержку», вам нужен платный CA.
Когда это не важно: для большинства команд, которые могут следовать руководству и гуглить сообщения об ошибках.
5. Печати сайта
Некоторые платные CA предоставляют «печать доверия» — значок для размещения на сайте. Исследования начала 2010-х показали, что они увеличивают конверсию.
Реальность в 2026 году: большинство пользователей не узнают логотипы CA. Значок замочка (который получают все сертификаты) — это универсальный индикатор доверия. Ни одно контролируемое исследование не показало, что печать DigiCert или Sectigo превосходит замочек сам по себе на современных сайтах.
Когда Let’s Encrypt достаточно (90%+ сайтов)
DV-сертификатов Let’s Encrypt достаточно для:
- Персональных сайтов и блогов — DV обеспечивает полное шифрование
- SaaS-приложений — Google, Facebook и бесчисленные SaaS-компании используют DV-сертификаты
- API и микросервисов — нет вопросов доверия от пользователей
- Электронной коммерции — PCI DSS требует шифрование, а не OV/EV. Stripe, PayPal и платёжные процессоры и так обрабатывают чувствительные данные карт.
- Стартапов и малого бизнеса — экономьте $50-500/год на домен
- Внутренних инструментов — нет требований внешнего доверия
- Staging/development — нет причин платить за тестовые среды
Когда действительно нужен платный SSL
Стоит рассматривать платный сертификат только если выполняется одно из этих условий:
1. Комплаенс или закупки требуют OV/EV
Некоторые корпоративные покупатели, государственные организации или отраслевые стандарты комплаенса требуют сертификаты OV или EV. Это галочка в закупках — не требование безопасности. Проверьте конкретный регламент, прежде чем делать предположения.
2. Ваш аудитор требует идентификацию организации в сертификате
Некоторые аудиты безопасности или контроли SOC 2 указывают, что сертификаты должны содержать идентификацию организации. OV/EV-сертификаты встраивают юридическое название вашей организации в метаданные сертификата. (Хотя большинство аудиторов принимают DV при надлежащем обосновании.)
3. Требования страхования
В редких случаях ваш полис киберстрахования может ссылаться на гарантии сертификатов. Уточните у своего страховщика.
Переход на 47-дневный срок действия
CA/Browser Forum проголосовал за сокращение максимального срока действия сертификата до 47 дней к 2029 году:
| Дата | Макс. срок действия |
|---|---|
| До марта 2026 | 398 дней (1 год) |
| Март 2026 | 200 дней |
| Март 2027 | 100 дней |
| Март 2029 | 47 дней |
Это устраняет последнее практическое преимущество платных сертификатов: более длительный срок действия. К 2029 году и платные, и бесплатные сертификаты нужно будет продлевать ежемесячно. Ценностное предложение «настроить и забыть» для годичных сертификатов уходит в прошлое.
Анализ стоимости
| Сценарий | Let’s Encrypt | Платный (DigiCert DV) | Платный (Sectigo OV) | Экономия |
|---|---|---|---|---|
| 1 домен, 1 год | $0 | $268 | $88 | $88-268 |
| 5 доменов, 1 год | $0 | $1 340 | $440 | $440-1 340 |
| Wildcard, 1 год | $0 | $528 | $245 | $245-528 |
| 10 доменов, 5 лет | $0 | $13 400 | $4 400 | $4 400-13 400 |
Для компании с 10 доменами за 5 лет: $4 400 до $13 400 экономии при идентичном шифровании.
Вердикт
| Ваша ситуация | Рекомендация |
|---|---|
| Персональный сайт, блог, портфолио | Let’s Encrypt — нет причин платить |
| Стартап, малый бизнес | Let’s Encrypt — потратьте $200/год на что-то полезное |
| SaaS, API, электронная коммерция | Let’s Encrypt — DV достаточно, PCI DSS подтверждает |
| Предприятие с галочкой OV/EV в закупках | Платный — но только из-за галочки |
| Регулируемая отрасль, требующая OV/EV по политике | Платный — сначала проверьте конкретный регламент |
| Все остальные | Let’s Encrypt |
Получите свой бесплатный сертификат сейчас: GetHTTPS — 5 минут, без установки, приватный ключ остаётся в вашем браузере.
Часто задаваемые вопросы
Google понизит мой сайт в ранжировании с бесплатным SSL-сертификатом?
Нет. Google подтвердил, что тип SSL-сертификата (DV, OV, EV) не влияет на поисковое ранжирование. Любой валидный HTTPS-сертификат даёт одинаковый сигнал для SEO.
Безопасен ли бесплатный сертификат для электронной коммерции?
Да. PCI DSS (стандарт индустрии платёжных карт) требует зашифрованные соединения, но не указывает уровень валидации. DV-сертификаты соответствуют требованиям PCI. Ваш платёжный процессор (Stripe, PayPal, Square) обрабатывает наиболее чувствительные аспекты платёжной безопасности — не ваш сертификат.
Клиенты доверяют бесплатному SSL меньше?
Клиенты видят одинаковый значок замочка вне зависимости от типа сертификата. С 2019 года ни один основной браузер не показывает визуальных различий между DV, OV и EV. Зелёная адресная строка исчезла. Пользователи доверяют замочку — не бренду CA.
Что произойдёт, если Let’s Encrypt закроется?
Let’s Encrypt управляется Internet Security Research Group (ISRG), поддерживаемым Mozilla, Google, EFF, Meta, Cisco и другими. Это крупнейший CA в мире (63,9% рыночной доли). Хотя любая организация теоретически может закрыться, ISRG финансово стабильнее многих коммерческих CA.
Можно ли обновиться с Let’s Encrypt до платного позже?
Да. Купите платный сертификат и замените файлы на сервере. Никакой миграции, никакого простоя, если сделать до истечения старого сертификата. Серверу всё равно, какой CA выпустил сертификат.
Почему коммерческие CA говорят, что бесплатные сертификаты менее безопасны?
Потому что они продают платные сертификаты. Шифрование идентично — это определяется стандартом TLS, а не CA. Коммерческие CA не могут предложить «лучшее шифрование», потому что спецификация этого не допускает. Они отличаются уровнем валидации, гарантией и поддержкой — ничто из этого не влияет на стойкость шифрования.