SSL-сертификаты бывают трех уровней проверки: DV (Domain Validation — проверка домена), OV (Organization Validation — проверка организации) и EV (Extended Validation — расширенная проверка). Все три обеспечивают одинаковую стойкость шифрования — разница в том, насколько тщательно удостоверяющий центр проверяет личность запрашивающего сертификат.
Для большинства сайтов бесплатный DV-сертификат от Let’s Encrypt вполне достаточен.
Краткое сравнение
| DV | OV | EV | |
|---|---|---|---|
| Проверяет | Только владение доменом | Домен + существование организации | Домен + тщательный аудит организации |
| Время выдачи | Минуты (автоматически) | 1-3 дня | 1-2 недели |
| Шифрование | Одинаковое | Одинаковое | Одинаковое |
| Цена | Бесплатно (Let’s Encrypt) | $50-200/год | $100-500/год |
| Отображение в браузере | Замок | Замок | Замок (зеленая строка удалена в 2019) |
| Название организации в сертификате | Нет | Да | Да |
| Гарантия | Нет | $10K-250K | $250K-1.75M |
| Доступен Wildcard | Да | Да | Нет |
| Лучше всего для | 90%+ сайтов | Корпоративное соответствие | Регулируемые отрасли |
Проверка домена (DV)
DV-сертификаты подтверждают только то, что вы контролируете домен. CA проверяет это автоматически через:
- HTTP-01 challenge — разместите файл на вашем сервере
- DNS-01 challenge — добавьте TXT-запись в ваш DNS
- Проверка по email — ответьте на письмо, отправленное на admin@yourdomain.com
Никаких бумаг, телефонных звонков и ожидания. Выдача занимает минуты.
Кто выдает DV бесплатно:
- Let’s Encrypt — через GetHTTPS, Certbot, acme.sh
- Buypass Go — срок действия 180 дней
- Google Trust Services — через ACME
DV достаточно для:
- Личных сайтов и блогов
- SaaS-приложений и API
- Электронной коммерции (PCI DSS принимает DV)
- Стартапов и малого бизнеса
- Внутренних инструментов
- Тестовых/разработочных сред
Проверка организации (OV)
OV-сертификаты подтверждают владение доменом плюс юридическую принадлежность организации. CA проверяет:
- Контроль домена (как и для DV)
- Существование организации в государственных реестрах
- Физический адрес
- Подтверждение по телефону
OV-сертификаты содержат юридическое наименование организации в метаданных сертификата. Однако современные браузеры не показывают визуальной разницы между DV и OV — пользователи видят тот же значок замка.
Когда может потребоваться OV:
- Корпоративные закупки, которые специально требуют OV
- Стандарты соответствия, предписывающие наличие информации об организации в сертификатах
- Внутренняя политика компании, требующая OV
Расширенная проверка (EV)
EV-сертификаты требуют наиболее тщательной верификации:
- Все, что в OV
- Проверка операционного существования организации (не только юридического)
- Проверка физического адреса
- Подтверждение полномочий заявителя на запрос сертификата
- Ежегодное обновление всех этапов проверки
Зеленая строка исчезла. Chrome удалил зеленую адресную строку EV в 2019 году (версия 77). Firefox последовал. Теперь нет визуального отличия между DV, OV и EV ни в одном крупном браузере. Пользователи не могут увидеть разницу.
Когда может потребоваться EV:
- Конкретное нормативное требование (проверьте реальное нормативное положение — многие предполагают, что EV обязателен, хотя это не так)
- Некоторые финансовые учреждения требуют его для соответствия
- Редко оправдан по техническим или безопасностным соображениям
Дерево принятия решений
Есть ли у вас конкретное требование соответствия, предписывающее OV или EV?
├── Да → Получите OV или EV от коммерческого CA
└── Нет → Есть ли политика закупок, требующая информации об организации в сертификате?
├── Да → Получите OV
└── Нет → DV достаточно → Получите бесплатный от Let's Encrypt
94,3% всех SSL-сертификатов — это DV. Рынок сделал свой выбор.
Распространенные заблуждения
«EV безопаснее, чем DV.» Неверно. Все три типа используют идентичное шифрование. DV-сертификат от Let’s Encrypt обеспечивает такую же TLS-защиту, как и EV-сертификат за $500 от DigiCert. Шифрование не знает и не учитывает уровень проверки.
«Сайтам электронной коммерции нужен EV.» PCI DSS (стандарт индустрии платежных карт) требует шифрования, а не конкретного уровня проверки. DV-сертификаты соответствуют требованиям PCI. Ваш платежный процессор (Stripe, PayPal) и так обрабатывает наиболее конфиденциальные данные.
«Пользователи больше доверяют сайтам с EV.» Поскольку браузеры больше не показывают визуальной разницы (зеленой строки нет с 2019 года), пользователи не могут отличить EV от DV. Исследования показали, что большинство пользователей не замечали зеленую строку, даже когда она существовала.
Часто задаваемые вопросы
Google ранжирует сайты с EV выше, чем с DV?
Нет. Google подтвердил, что тип SSL-сертификата не влияет на поисковый рейтинг. Любой действующий HTTPS-сертификат дает одинаковый сигнал для SEO.
Могу ли я обновить DV до OV позже?
Да. Купите OV-сертификат у коммерческого CA и замените файлы на сервере. Миграция или простой не требуются.
Почему коммерческие CA продвигают EV?
Доходы. EV-сертификаты стоят $100-500/год по сравнению с $0 за DV от Let’s Encrypt. Маркетинг CA акцентирует внимание на доверии и гарантии, но шифрование идентичное, а зеленая строка исчезла.
Что насчет гарантии на платных сертификатах?
Гарантии на сертификаты покрывают ущерб в случае, если CA выдаст сертификат не тому лицу (ошибочная выдача). Они НЕ покрывают вас, если ваш сайт взломают. На практике гарантийные претензии крайне редки и имеют узкие условия. Ни одна значительная гарантийная выплата не была публично задокументирована.