Сертифікати EV SSL: Еквівалент безпеки золотого туалету

Опубліковано: від Dallas Kashuba
Сертифікати EV SSL: Еквівалент безпеки золотого туалету thumbnail

Якби зараз був 2010 рік, я б порадив тобі купити сертифікат SSL з розширеною перевіркою (EV).

Раніше, EV-сертифікати робили адресний рядок зеленим, відображали юридичну назву компанії в рядку URL та показували видимий замок, що підтверджував автентичність сайту.

Знімок екрану сертифіката Thawte EV SSL, відображеного у різних браузерах

Але зараз не 2010 рік. І EV SSL зараз вже повністю застарілі.

Сьогодні платити за SSL схоже на купівлю золотого туалету. Той самий результат, але набагато дорожче.

Що Насправді Робили EV Сертифікати (та Чому Це Було Важливо)

Базові сертифікати перевірки домену (DV), які ви бачите сьогодні, перевіряють лише домен, який ви контролюєте. Кожен може отримати один із цих сертифікатів.

Сертифікати розширеної перевірки вимагають докладної перевірки бізнесу. Маються на увазі юридичні документи, телефонні дзвінки, підтвердження адреси та докази того, що ваша компанія існує та функціонує.

Процес може тривати дні або тижні та передбачає людську перевірку на кожному кроці.

Кінцевий результат — назва вашої компанії відображена у браузері, як у цьому прикладі від Comodo (що є великим провайдером SSL-сертифікатів).

Порівняння інтерфейсу браузера до та після візуальних змін EV SSL — назва компанії та зелена смуга зникли, замінені на просте відображення URL.

Але як ти зараз бачиш, навіть Comodo не показує жодних маркерів EV SSL.

Отримуйте вміст безпосередньо у свою скриньку

Підпишіться зараз, щоб отримувати всі останні оновлення безпосередньо у свою скриньку.

Чому Сертифікати EV SSL Нині Є Поганим Вибором?

Основною перевагою сертифікатів EV були візуальні індикатори. А браузери стали основною причиною їх видалення.

Зміна, Яка Знищила EV Сертифікати

Деякий час після 2015 року, SSL сертифікати стали стандартом для вебсайтів.

Значок падлока став більше очікуванням, ніж сигналом довіри.

Щоб уникнути надлишковості, Chrome видалив зелену кольорову панель URL у 2018 році і замінив іконку замка на іконку налаштувань у 2023 році. Firefox видалив індикатори EV у 2019 році, інші браузери також дотримались цього курсу.

Будь-який сайт без дійсного SSL сертифіката було позначено як “Not Secure.”

Людям доводилося натискати «Розширено» та «Перейти на сайт все одно (небезпечно)», перш ніж вони могли переглянути такий веб-сайт.

Порівняння інтерфейсу браузера до і після візуальних змін EV SSL — назва компанії та зелена смуга зникли, замінені звичайним відображенням URL.

З цим ціннісна пропозиція сертифікатів EV SSL зникла. Проте, ви все ще бачите, як компанії продають їх, ніби нічого не змінилося!

Браузери Також Виявили, Що EV Не Допомагає

Видалення візуальних підказок не було випадковим. Це було підтримано дослідженнями.

Зелений рядок URL міг би здатися цінним на скриншотах зблизька.

Але коли команда безпеки Google досліджувала, чи дорога перевірка забезпечує реальні переваги безпеки, вони виявили, що “EV UI не захищає користувачів, як передбачалося.”

Користувачі не приймають різні рішення щодо безпеки, коли присутні або відсутні індикатори EV. Mozilla прийшла до подібних висновків після своїх власних досліджень.

Висновок? Витрати на сертифікати EV не призвели до кращого захисту від реальних загроз, таких як фішинг або шкідливі вебсайти.

Більшість користувачів більше не бачать інформацію про EV

Коли Chrome 77 та Firefox 70 були випущені десь у 2018 році, останній шматочок інформації EV також був прихований.

Приклад дійсного SSL-сертифіката в дії — браузер підтверджує, що з'єднання захищене, часто показується значком замка.

Назва компанії, статус розширеної перевірки, перевірена інформація про бізнес — все це було поміщено під значок мелодії та вимагало від користувачів клікнути для перегляду деталей сертифіката.

Отже, більшість користувачів ніколи б не побачили деталі EV, які нібито виправдовують високу ціну.

Сертифікат Є Сертифікатом — Усі Вони Забезпечують Однакове Шифрування

Завдання SSL-сертифіката полягає в шифруванні даних, що передаються від браузера відвідувача до сервера компанії. Це гарантує, що зловмисники не можуть стежити за даними.

Візуальне порівняння незахищених (HTTP) та захищених (HTTPS) з’єднань — демонстрація захисту даних в процесі передачі за допомогою SSL-сертифікатів.

Будь-який SSL сертифікат може шифрувати дані однаково.

Алгоритми шифрування ідентичні: RSA-2048 для обміну ключами, SHA-256 для цифрових підписів, AES для симетричного шифрування.

Браузер створює абсолютно такий самий безпечний тунель, незалежно від того, який сертифікатний орган видав сертифікат або скільки ви за нього заплатили.

Незалежно від того, користуєшся ти безкоштовним SSL-сертифікатом чи сертифікатом розширеної перевірки за 500 доларів, рівень безпеки, який захищає дані твоїх користувачів, є абсолютно той самий.

З EV сертифікатами ти лише платиш гроші за додаткові документи без жодної додаткової вигоди.

Який Кращий Варіант у 2025 Році та Далі?

Let’s Encrypt повністю змінила ринок SSL, зробивши сертифікати безкоштовними, автоматизованими та так само безпечними, як і дорогі альтернативи. Тепер кожен, у кого є домен, може отримати SSL-сертифікат.

Let’s Encrypt Домінує на Ринку з Певних Причин

Let’s Encrypt, безкоштовний провайдер сертифікатів для перевірки доменів, контролює 63% усього ринку SSL-сертифікатів. Решта ринку розділена між іншими DV і EV SSL провайдерами.

Компанія видала понад мільярд сертифікатів до 2020 року.

Стабільне зростання використання SSL: На цій діаграмі відображено стрімке збільшення кількості щоденно випущених сертифікатів SSL компанією Let's Encrypt з 2016 по 2025 рік.
Джерело

А тепер Let’s Encrypt видає понад 7 мільйонів нових сертифікатів на день.

Автоматизація Краща, Ніж Ручні Процеси

Поки індустрія SSL продавала дорогі сертифікати з ручним процесом верифікації, що тривав дні або тижні, Let’s Encrypt впровадила автоматизацію та ефективність.

Протокол ACME дозволяє видавати, встановлювати та оновлювати сертифікати без людського втручання, часто за кілька хвилин, а не днів.

Ця автоматизація забезпечила безпеку разом з зручністю. Авторитети сертифікації SSL (CA) тепер можуть використовувати сертифікати з коротшим терміном дії (наприклад, 90 днів).

Навіть якщо нападник отримає доступ до приватного ключа CA (ключа, який повідомляє браузеру, що це дійсний сертифікат), він буде дійсним лише 90 днів, після чого генерується новий ключ, а попередні ключі вважаються недійсними.

Якщо 90 днів здаються забагато, провайдери SSL вже роблять кроки для подальшого скорочення цього терміну.

Короткий Термін Життя Робить Ручну Перевірку Майже Неможливою

Індустрія SSL прямує до ще коротших періодів дії сертифікатів.

Максимальний термін дії очікується бути 200 днів до 2026 року, 100 днів до 2027 року і 47 днів до 2029 року.

Уяви, що проходиш процес ручної перевірки EV — з юридичними документами, телефонними дзвінками та перевіркою бізнесу — кожні 47 днів. Самі лише адміністративні витрати були б занадто великими, що робило б їх непридатними.

Це, ймовірно, пояснює, чому у 2025 році існує лише 21,000 вебсайтів з EV сертифікатом.

Сертифікати Перевірки Доменів (DV) Зазвичай Все, Що Тобі Потрібно

Сертифікати перевірки домену (безкоштовні або платні) пропонують кілька переваг перед дорогими сертифікатами EV.

  • Ідентичне шифрування: Твої користувачі отримують таку саму безпеку
  • Автоматичне поновлення: Немає ризику втрати доступу через закінчення терміну дії
  • Швидше розгортання: Хвилини замість днів або тижнів
  • Немає адміністративних витрат: Без паперової роботи, телефонних дзвінків чи перевірок бізнесу
  • Готовність до майбутнього: Розроблено з урахуванням скорочення термінів дії сертифікатів, які настануть у 2029 році

Безкоштовні DV SSL сертифікати, такі як Let’s Encrypt та CloudFlare, забезпечують такий самий рівень захисту, як інші сертифікати. Якщо цього достатньо для тебе, обери безкоштовний сертифікат.

Для великих організацій або e-commerce бізнесів, яким потрібна підтримка клієнтів, більш тривалі строки дії та печатки безпеки для побудови довіри, має сенс професійно підписаний DV SSL сертифікат.

Чи Використовують Великі Компанії Сертифікати EV Та Чи Дійсно Хтось Їх Потребує?

Якщо б сертифікати EV справді були необхідні для безпеки та довіри, можна було б очікувати, що найбільші компанії їх використовували.

Вони не.

Навіть Amazon, Netflix і Walmart Використовують Безкоштовні Сертифікати

Трой Хант, творець Have I Been Pwned поділився твітом, коли Chrome вперше почав експериментувати з видаленням індикатора EV у браузері в першій половині 2018 року.

Цей твіт підкреслює зменшення видимості EV SSL—зміна Chrome, яка перестала відображати назви організацій у адресному рядку, свідчить про ширший рух до спрощених індикаторів тільки з замком.
Джерело

Amazon, Netflix, Walmart, eBay, Target, Best Buy: корпорації з необмеженими бюджетами на безпеку, командами експертів та мільйонами клієнтів, які щоденно вводять конфіденційну інформацію — всі вони використовують стандартні сертифікати перевірки домену.

Коли Shopify та Amazon обробляють транзакції на мільярди доларів, використовуючи безкоштовні сертифікати SSL, від чого саме намагаються захистити вас продавці EV сертифікатів, що не можуть зробити безкоштовні сертифікати?

Ці компанії не економлять на безпеці. Вони просто використовують сертифікати, які забезпечують ту ж саму шифрування без зайвих документаційних витрат і витрат.

Чи Економічно Вигідно Платити за EV Сертифікати?

Економіка EV сертифікатів не має сенсу, коли дивишся, що ти фактично отримуєш.

Ти Платиш за Інтереси Індустрії

Форум постачальників сертифікатів та браузерів встановлює стандарти галузі, але по суті це коаліція постачальників сертифікатів, яка створює правила для продажу більш дорогих сертифікатів.

Реддітор, який стверджує, що працював у сертифікаційному органі, відповів на питання: “Який сенс висококласних SSL сертифікатів?”

Вони стверджували, що немає різниці між висококласним SSL та звичайним. Це просто спосіб для сертифікаційних органів продати вам більше сертифікатів.

Цей коментар на Reddit висвітлює зростаючий скептицизм: багато хто вважає SSL сертифікати — особливо преміум — за більш прибуткові, ніж захисні, з малою практичною різницею у безпеці.

Це створює очевидні конфлікти інтересів, коли ті самі компанії, що продають дорогі сертифікати, пишуть правила про те, коли дорогі сертифікати є “необхідними”.

Ті Мільйонні Гарантії Є Маркетинговими Трюками

Сертифікати EV супроводжуються гарантіями, зазвичай між 10 000 і 2 мільйонами доларів, залежно від типу сертифіката. Ці гарантії нібито захищають тебе, якщо орган сертифікації допускає помилки, що призводять до порушень безпеки.

Але за словами експертів, як от Трой Хант, ці гарантії весь час були лише маркетинговими трюками.

Скотт Хелм, засновник Report URI, також згадав три сценарії, які покривають ці гарантії.

Заява Скотта Хелма, засновника Report URI, щодо гарантій сертифікатів

Але жоден із цих сценаріїв насправді не призводить до отримання вимоги. По-перше, сертифікат не може бути виданий без дійсної інформації, тому перший пункт негайно відхиляється. Другий і третій є також безпідставними.

Я б рекомендував почитати статтю Скотта та статтю Троя, щоб краще зрозуміти, чому я також називаю це маркетинговими трюками.

Чи Потрібен Тобі Коли-Небудь Сертифікат EV?

Незважаючи на все, про що ми говорили вище, сертифікати EV все ж мають деяке використання.

Ось декілька конкретних ситуацій, коли тобі доведеться вдатися до сертифікатів EV.

  • Фінансові установи під строгим регуляторним контролем: Деякі рамки відповідності, як PCI DSS або специфічні банківські регуляції, вимагають сертифікатів EV. Якщо твій регулятор вимагає цього, у тебе немає вибору.
  • Застаріле ІТ обладнання: Деякі старі системи, особливо корпоративне обладнання початку 2000-х, не розпізнають кореневі сертифікати Let’s Encrypt. Це стає все рідше, оскільки старі системи замінюються.
  • Корпоративні політики, що вимагають певних типів сертифікатів: Деякі великі корпорації мають внутрішні політики, які вимагають сертифікати EV для публічних сайтів. Зазвичай це більше про управління корпоративними ризиками, ніж про реальну безпеку.
  • Підпис коду та документів: Let’s Encrypt видає лише сертифікати DV. Якщо ти підписуєш завантаження програмного забезпечення або документи, тобі знадобляться сертифікати від традиційних сертифікаційних органів.

Для переважної більшості сайтів, таких як блоги, інтернет-магазини, застосунки SaaS, маркетингові сайти та більшість бізнес-сайтів, сертифікат EV не надає значущих переваг порівняно з безкоштовними альтернативами.

Чи Варто Просто Отримати Безкоштовні Сертифікати І Йти Далі?

На мою думку, відповідь — це гучне ТАК. Насправді, для 99% сайтів відповідь також так.

Ось чому:

Ринок Вже Вирішив

Сертифікати перевірки домену складають більшість ринку.

Кругова діаграма, яка показує, що більшість використання SSL припадає на стандартні або безкоштовні варіанти, такі як Let's Encrypt, з малою часткою платних сертифікатів.

За даними BuiltWith, станом на червень 2025 року в інтернеті діє понад 258 мільйонів SSL-сертифікатів. Більшість з них безкоштовні, автоматизовані та забезпечують відмінний рівень безпеки.

Примітка: Ти помітиш, що SSL за замовчуванням займає тут найбільшу частку. Однак, Let’s Encrypt також продає сертифікати SSL за замовчуванням. Тому, хоча це показано окремо, я б розглядав їх як єдину сутність.

Інвестуй Свої Гроші в Безпеку, Яка Дійсно Має Значення

Час та гроші, які ти заощадиш, можуть бути використані на заходи безпеки, які дійсно мають значення: краща інфраструктура хостингу, моніторинг безпеки, регулярні резервні копії, файрволи веб-додатків або тестування на проникнення.

Більшість провайдерів хостингу — як DreamHost — тепер пропонують інтеграцію Let’s Encrypt у один клік. Якщо твій провайдер цього не робить, можливо, настав час знайти провайдера хостингу, який розуміє, що зараз 2025 рік, а не 2010.

Не Замислюйся Забагато, DV SSL Це Все, Що Тобі Потрібно

Сертифікати з розширеною перевіркою є дорогим рішенням проблем, які можна здебільшого вирішити безкоштовно. Я не маю на увазі високорегульовані галузі, яким потрібні EV SSL — для решти світу має вистачити DV SSL.

Шифрування однакове, браузери видалили візуальні індикатори, і навіть найбільші компанії їх не використовують.

Ось що ти повинен насправді зробити:

  • Увійди в свій контрольний панель хостингу
  • Активуй безкоштовний SSL одним кліком
  • Все готово!

Твої користувачі отримують таке саме шифрування, яке захищає Amazon та Shopify.

Якщо твій хост не пропонує безкоштовний SSL, тобі потрібно перейти до провайдера хостингу, як DreamHost, який це робить!

Економте свої гроші на дійсно важливу безпеку: резервні копії, моніторинг або брандмауер веб-додатків.

Ці заходи захистять твій сайт набагато краще, ніж платити щороку сотні доларів за преміальні документи.

Якщо ти бажаєш передати технічні аспекти професіоналу, ми піклуємося про це за допомогою наших професійних послуг з управління сайтами!

Pro Послуги – Управління Сайтом

Ми Подбаємо про Технічні Питання

Забезпечте продуктивність і надійність підприємницького рівня для свого сайту. Залиште бэкэнд експертам – ви зосередьтеся на своєму бізнесі.

Дізнатися більше
Фото Dallas Kashuba

Dallas Kashuba