Все статьи о SSL SSL и сертификаты

Что такое удостоверяющий центр (CA)?

Удостоверяющий центр (Certificate Authority, CA) — это доверенная организация, которая выпускает и подписывает SSL/TLS-сертификаты. Когда CA подписывает ваш сертификат, браузеры доверяют, что ваш сайт является тем, за кого себя выдает. Без CA не было бы способа проверить, что https://yourbank.com — это действительно ваш банк, а не мошенник.

Как работает модель доверия CA

  1. Корневые CA предустановлены в браузерах и операционных системах. Apple, Google, Mozilla и Microsoft ведут свои списки доверенных корневых CA («хранилище корневых сертификатов»).
  2. При запросе сертификата CA подтверждает вашу принадлежность домена (DV) или организационную идентичность (OV/EV).
  3. CA подписывает ваш сертификат своим закрытым ключом. Эта подпись является доказательством доверия.
  4. Когда посетители подключаются, их браузер проверяет подпись по предустановленному списку доверенных CA.

Если CA находится в хранилище доверия и подпись действительна → значок замка. Если нет → предупреждение о безопасности.

Основные удостоверяющие центры

CAДоля рынкаБесплатный вариантПримечания
Let’s Encrypt63,9%✅ Все бесплатноНекоммерческий, крупнейший CA в мире
GlobalSign22,2%Коммерческий, популярен в Европе
Sectigo5,9%Ограниченно (бесплатный тариф ZeroSSL)Ранее Comodo, владеет ZeroSSL
DigiCert~3%Ориентирован на корпорации, владеет CA Symantec
Google Trust ServicesРастет✅ Через ACMEСобственный CA Google
Buypass<1%✅ Go SSL (180 дней)Норвежский CA

Доля рынка Let’s Encrypt в 63,9% делает его доминирующим CA — больше, чем следующие пять вместе взятые.

Почему Let’s Encrypt изменил все

До Let’s Encrypt (запущен в 2016 году):

  • SSL-сертификаты стоили $50-500/год
  • Валидация требовала ручного оформления документов
  • Только ~18% сайтов использовали HTTPS

После Let’s Encrypt:

  • Бесплатные DV-сертификаты для всех
  • Полная автоматизация через протокол ACME
  • 86,9% сайтов используют HTTPS
  • Выдано более 1 миллиарда сертификатов

Let’s Encrypt доказал, что шифрование с проверкой домена должно быть базовым стандартом, а не премиальным продуктом. Используйте GetHTTPS для получения сертификата Let’s Encrypt в браузере.

CA/Browser Forum

CA/Browser Forum (CA/B Forum) — это отраслевой орган, в котором удостоверяющие центры и производители браузеров совместно устанавливают стандарты выдачи сертификатов. Ключевые решения включают:

  • Baseline Requirements — минимальные стандарты, которым должны следовать все публичные CA
  • Сокращение срока действия сертификатов — проголосовали за сокращение максимального срока до 47 дней к 2029 году
  • Certificate Transparency — требует от CA регистрировать все выданные сертификаты в публичных журналах
  • Отказ от слабых алгоритмов — поэтапный отказ от SHA-1, MD5 и др.

Членами являются Apple, Google, Mozilla, Microsoft (со стороны браузеров) и Let’s Encrypt, DigiCert, Sectigo, GlobalSign (со стороны CA). Решения требуют квалифицированного большинства голосов с обеих сторон.

Certificate Transparency

С 2018 года все публично доверенные CA обязаны отправлять каждый выданный сертификат в журналы Certificate Transparency (CT) — публично проверяемые журналы с дополнением. Это означает:

  • Любой может отслеживать, какие сертификаты выдаются для его домена
  • Ошибочно выданные сертификаты обнаруживаемы (если CA выдает сертификат для google.com кому-то, кто его не контролирует, Google увидит это в журналах)
  • Инструменты вроде crt.sh позволяют искать в CT-журналах по любому домену

CT не предотвращает ошибочную выдачу, но делает ее обнаруживаемой — что является мощным сдерживающим фактором.

Как выбрать CA

Для большинства сайтов выбор прост:

ПотребностьРекомендуемый CAКак получить
Бесплатный DV-сертификатLet’s EncryptGetHTTPS или Certbot
Бесплатный DV с более длительным срокомBuypass Go (180 дней)acme.sh или Certbot
OV/EV для соответствияDigiCert или SectigoКупить на их сайте
Автоматически с CloudflareCloudflareВключить в панели Cloudflare

Сравнение всех бесплатных провайдеров →

Часто задаваемые вопросы

Может ли кто угодно стать CA?

Технически вы можете создать собственный CA, но браузеры не будут ему доверять, пока он не пройдет Baseline Requirements CA/Browser Forum и не будет добавлен в хранилища доверия браузеров — процесс, который занимает годы, стоит миллионы на аудиты и требует поддержания строгой операционной безопасности (офлайн-корневые ключи, аппаратные модули безопасности, круглосуточное реагирование на инциденты).

Что произойдет, если CA будет скомпрометирован?

CA удаляется из хранилищ доверия браузеров через обновления ПО. Все сертификаты, выданные этим CA, становятся недоверенными. Известные инциденты:

  • DigiNotar (2011) — взломан, выдавал поддельные сертификаты для Google и других доменов. CA был отозван и обанкротился.
  • Symantec (2018) — постоянные проблемы с ошибочной выдачей. Google Chrome постепенно прекратил доверять всем сертификатам Symantec. DigiCert приобрел CA-бизнес Symantec.

Корневые ключи хранятся в офлайн-аппаратных модулях безопасности (HSM) с физическим контролем доступа для минимизации этого риска.

Все ли сертификаты CA одинаково доверены браузерами?

Да, с точки зрения значка замка. Бесплатный DV-сертификат Let’s Encrypt и EV-сертификат DigiCert за $500 оба показывают один и тот же замок в адресной строке. Браузеры одинаково доверяют всем CA из своего хранилища для целей шифрования. Различия — в уровне валидации (DV/OV/EV) и услугах (поддержка, гарантия), а не в стойкости шифрования или доверии браузера.

Сколько существует CA?

В основных хранилищах доверия примерно 100-150 корневых CA, но рынок сильно сконцентрирован. Let’s Encrypt (63,9%), GlobalSign (22,2%) и Sectigo (5,9%) контролируют более 90% всех выданных сертификатов.

Похожие статьи

SSL и сертификаты 2026-05-07
Цепочка доверия сертификатов: подробное объяснение
Как браузеры проверяют SSL-сертификаты через цепочку от корневого CA к промежуточному CA и до вашего сертификата. Узнайте, почему важен порядок цепочки и как исправить ошибку 'сертификат не является доверенным'.
SSL и сертификаты 2026-05-08
Что такое HTTPS? Полное руководство
HTTPS шифрует соединение между вашим браузером и сайтом. Узнайте, как работает HTTPS, TLS-рукопожатие, различия HTTP и HTTPS, влияние на производительность и как включить его бесплатно.
Сравнение 2026-05-08
Лучшие бесплатные SSL-провайдеры в 2026 году (сравнение)
Сравнение 9 бесплатных SSL-провайдеров по конфиденциальности, лимитам, поддержке wildcard и автоматизации. Включает самостоятельные удостоверяющие центры, хостинг-провайдеров и CDN — с анализом конфиденциальности, которого нет ни в одном другом сравнении.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат