EV SSL-сертификаты: Эквивалент безопасности золотого унитаза

Опубликовано: от Dallas Kashuba
EV SSL-сертификаты: Эквивалент безопасности золотого унитаза thumbnail

Если бы это был 2010 год, я бы посоветовал тебе купить сертификат SSL с расширенной проверкой (EV).

Раньше сертификаты EV делали адресную строку зелёной, отображали юридическое название компании в строке URL и показывали видимый замок, подтверждающий подлинность сайта.

Скриншот сертификата Thawte EV SSL, отображаемого в различных браузерах

Но сейчас не 2010 год. И EV SSL сейчас полностью мертвы.

Сегодня, платить за SSL — это как купить золотой туалет. Тот же результат, но гораздо дороже.

Что на самом деле делали EV-сертификаты (и почему это важно)

Базовые сертификаты проверки домена (DV) сегодня подтверждают только то, что домен находится под вашим контролем. Получить такой сертификат может любой.

Сертификаты с расширенной проверкой требуют тщательной верификации бизнеса. Подумай о юридических документах, телефонных звонках, подтверждении адреса и доказательствах, что твоя компания реальна и действует.

Процесс может занять дни или недели и включает в себя проверку человеком на каждом этапе.

Конечный результат — это имя вашей компании, отображаемое в браузере, как в этом примере от Comodo (который является крупным провайдером SSL-сертификатов).

Вид интерфейса браузера до и после визуальных изменений EV SSL — название компании и зеленая полоса исчезли, на их месте простой показ URL.

Но как ты видишь сейчас, даже Comodo не показывает никаких признаков EV SSL.

Получайте контент прямо в свой почтовый ящик

Подпишитесь сейчас, чтобы получать все последние обновления прямо в свой почтовый ящик.

Почему Сертификаты EV SSL Сейчас Плохой Выбор?

Основное, что делало EV-сертификаты ценными, это визуальные индикаторы. И браузеры были основной движущей силой их удаления.

Перемена, Которая Покончила с EV Сертификатами

Когда-то после 2015 года SSL-сертификаты стали стандартом для веб-сайтов.

Значок замка стал скорее ожиданием, чем сигналом доверия.

Чтобы избежать избыточности, Chrome удалил зелёную цветовую панель URL в 2018 году и заменил иконку замка на иконку настройки в 2023 году. Firefox удалил индикаторы EV в 2019 году, а другие браузеры последовали их примеру.

Любой сайт без действующего сертификата SSL был помечен как «Не защищён».

Людям приходилось нажимать «Расширенные» и «Перейти на сайт в любом случае (небезопасно)», прежде чем они могли просмотреть такой сайт.

Изображение интерфейса браузера до и после визуальных изменений EV SSL — название компании и зелёная полоса исчезли, заменены на простое отображение URL.

С этого момента ценность предложения EV SSL-сертификатов исчезла. Однако вы все еще можете видеть, как компании продают их, как будто ничего не изменилось!

Браузеры Также Обнаружили, Что EV Не Помогает

Удаление визуальных подсказок не было произвольным. Это было подтверждено исследованиями.

Зеленая строка URL будет казаться ценной в крупных скриншотах.

Но когда команда безопасности Google изучала, предоставляет ли дорогостоящая проверка реальные преимущества в области безопасности, они обнаружили, что «пользовательский интерфейс EV не защищает пользователей, как предполагалось.”

Пользователи не принимают различные решения в области безопасности, когда присутствуют или отсутствуют индикаторы EV. Mozilla пришла к похожим выводам после собственного исследования.

Каков вывод? Расходы на EV-сертификаты не привели к лучшей защите от реальных угроз, таких как фишинг или вредоносные веб-сайты.

Большинство пользователей больше не видят информацию EV

Когда в 2018 году были выпущены Chrome 77 и Firefox 70, последняя информация о EV также была скрыта.

Пример действующего SSL-сертификата — браузер подтверждает, что соединение защищено, обычно отображается с иконкой замка.

Название компании, статус расширенной валидации, проверенная информация о бизнесе — все это было помещено под иконку мелодии и требовало от пользователей кликнуть для просмотра деталей сертификата.

Так что большинство пользователей никогда не увидит деталей EV, которые по идее оправдывают премиальное ценообразование.

Сертификат есть сертификат — все они обеспечивают одинаковое шифрование

Задача SSL-сертификата заключается в шифровании данных, передаваемых от браузера посетителя к серверу компании. Это гарантирует, что злоумышленники не смогут подслушивать данные.

Визуальное сравнение небезопасного (HTTP) и безопасного (HTTPS) соединений — показывает, как сертификаты SSL защищают данные во время передачи.

ЛЮБОЙ SSL-сертификат может шифровать данные одинаково.

Алгоритмы шифрования идентичны: RSA-2048 для обмена ключами, SHA-256 для цифровых подписей, AES для симметричного шифрования.

Браузер создает точно такой же защищенный туннель независимо от того, какой сертификационный орган выдал сертификат или сколько вы за него заплатили.

Независимо от того, используешь ли ты бесплатный SSL-сертификат или сертификат расширенной проверки за 500 долларов, уровень защиты данных твоих пользователей будет абсолютно одинаковым.

С EV сертификатами ты платишь только за дополнительные документы без никаких дополнительных преимуществ.

Какой вариант лучше в 2025 году и далее?

Let’s Encrypt полностью изменила рынок SSL, сделав сертификаты бесплатными, автоматизированными и не менее безопасными, чем дорогие альтернативы. Теперь каждый владелец домена может получить SSL-сертификат.

Let’s Encrypt Завоевывает Рынок Не Просто Так

Let’s Encrypt, бесплатный провайдер сертификатов для проверки доменов, контролирует 63% всего рынка SSL-сертификатов. Остальная часть рынка делится между другими провайдерами DV и EV SSL.

Компания выдала более миллиарда сертификатов к 2020 году.

Постоянный рост использования SSL: На этой диаграмме показан взрывной рост ежедневно выдаваемых сертификатов SSL от Let's Encrypt с 2016 по 2025 год.
Источник

И теперь Let’s Encrypt выдает более 7 миллионов новых сертификатов в день.

Автоматизация Лучше Ручных Процессов

В то время как индустрия SSL продавала дорогие сертификаты с ручным процессом верификации, который занимал дни или недели, Let’s Encrypt внедрил автоматизацию и эффективность.

Протокол ACME позволяет выпускать, устанавливать и обновлять сертификаты без вмешательства человека, часто в течение нескольких минут вместо дней.

Эта автоматизация обеспечила безопасность вместе с удобством. Авторитеты сертификации SSL (CA) теперь могли использовать сертификаты с более коротким сроком действия (например, 90 дней).

Даже если злоумышленник получит доступ к закрытому ключу удостоверяющего центра (ключу, который сообщает браузеру, что это действительный сертификат), он будет действителен только 90 дней, после чего генерируется новый ключ, а предыдущие ключи считаются недействительными.

Если 90 дней кажутся большим сроком, провайдеры SSL уже предпринимают шаги, чтобы сократить его ещё больше.

Краткие Сроки Жизни Делают Ручную Верификацию Почти Невозможной

Индустрия SSL переходит к ещё более коротким периодам действия сертификатов.

Ожидается, что максимальный срок действия составит 200 дней к 2026 году, 100 дней к 2027 году и 47 дней к 2029 году.

Представь, что тебе нужно проходить процесс ручной верификации EV — с юридическими документами, телефонными звонками и подтверждением бизнеса — каждые 47 дней. Только административные затраты были бы огромными, что делало бы их уже не стоящими того.

Это, вероятно, объясняет, почему в 2025 году только 21,000 веб-сайтов имеют сертификат EV.

Сертификаты Проверки Домена (DV) Обычно Всё, Что Тебе Нужно

Сертификаты проверки домена (будь то бесплатные или платные) предлагают несколько преимуществ перед дорогими сертификатами EV.

  • Идентичное шифрование: Твои пользователи получают ту же безопасность
  • Автоматическое продление: Нет риска истечения срока действия
  • Быстрый развёртывание: Минуты вместо дней или недель
  • Отсутствие административных затрат: Нет бумажной волокиты, телефонных звонков или проверок бизнеса
  • Подготовка к будущему: Разработано для более коротких сроков действия сертификатов, начиная с 2029 года

Бесплатные DV SSL сертификаты, такие как Let’s Encrypt и CloudFlare, обеспечивают такой же уровень защиты, как и другие сертификаты. Если это все, что тебе нужно, выбирай бесплатный сертификат.

Для крупных организаций или электронных коммерческих предприятий, которым необходима поддержка клиентов, более длительные сроки действия и печати безопасности для создания доверия, имеет смысл профессионально подписанный сертификат DV SSL.

Используют Ли Крупные Компании EV Сертификаты И Нужны Ли Они Вообще?

Если бы сертификаты EV действительно были необходимы для безопасности и доверия, можно было бы ожидать, что крупнейшие компании будут их использовать.

Они не делают.

Даже Amazon, Netflix и Walmart используют бесплатные сертификаты

Трой Хант, создатель Have I Been Pwned, поделился твитом, когда Chrome начал экспериментировать с удалением индикатора EV из браузера в первой половине 2018 года.

Этот твит подчеркивает уменьшение видимости EV SSL — переход Chrome к отображению только замка в адресной строке говорит о широком движении к упрощенным индикаторам.
Источник

Amazon, Netflix, Walmart, eBay, Target, Best Buy: предприятия с неограниченными бюджетами на безопасность, командами экспертов и миллионами клиентов, ежедневно вводящих конфиденциальную информацию — все они используют стандартные сертификаты проверки домена.

Когда Shopify и Amazon обрабатывают транзакции на миллиарды долларов с использованием бесплатных SSL-сертификатов, от чего именно, по утверждениям продавцов EV-сертификатов, они защищают вас, чего не может бесплатный сертификат?

Эти компании не экономят на безопасности. Они просто используют сертификаты, которые обеспечивают точно такое же шифрование, но без лишних затрат и документооборота.

Имеет Ли Смысл С Экономической Точки Зрения Платить За EV Сертификаты?

Экономика EV-сертификатов не оправдывает себя, если смотреть на то, что вы на самом деле получаете.

Ты Платишь За Интересы Отрасли

Форум браузеров и сертификационных центров устанавливает отраслевые стандарты, но по сути это коалиция поставщиков сертификатов, которая создает правила для продажи более дорогих сертификатов.

Реддитор, который утверждал, что работал в удостоверяющем центре, ответил на вопрос: «В чем смысл дорогих SSL-сертификатов?»

Они заявили, что нет разницы между высококлассным SSL и обычным. Это просто способ для сертифицирующих органов продать вам больше сертификатов.

Этот комментарий на Reddit подчеркивает растущий скептицизм: многие считают SSL-сертификаты, особенно премиальные, скорее средством получения прибыли, чем защиты, при этом практическая разница в безопасности минимальна.

Это создает очевидные конфликты интересов, когда одни и те же компании, продавая дорогие сертификаты, пишут правила о том, когда дорогие сертификаты «необходимы».

Те миллионные гарантии — это маркетинговые трюки

Сертификаты EV поставляются с гарантиями, обычно от 10 000 до 2 миллионов долларов, в зависимости от типа сертификата. Эти гарантии предположительно защищают тебя, если орган сертификации допускает ошибки, приводящие к нарушениям безопасности.

Но по словам экспертов, таких как Трой Хант, эти гарантии всегда были маркетинговыми уловками.

Скотт Хелм, основатель Report URI, также упомянул три сценария, охватываемых этими гарантиями.

Заявление Скотта Хелма, основателя Report URI, о гарантиях сертификатов

Но ни один из этих сценариев на самом деле не приводит к тому, что ты получаешь право на иск. Во-первых, сертификат не может быть выдан без действительной информации, поэтому первый пункт сразу отпадает. Второй и третий также не имеют оснований.

Я бы рекомендовал прочитать статью Скотта также как и статью Троя, чтобы лучше понять, почему я также называю это маркетинговыми трюками.

Тебе Когда-Нибудь Понадобится Сертификат EV?

Несмотря на все, о чем мы говорили выше, сертификаты EV имеют некоторое применение.

Вот несколько конкретных случаев, когда тебе потребуются сертификаты EV.

  • Финансовые учреждения под строгими регулятивными требованиями: Некоторые рамки соответствия, такие как PCI DSS или специфические банковские регуляции, требуют EV сертификаты. Если твой регулятор это требует, у тебя нет выбора.
  • Устаревшее ИТ-оборудование: Некоторые старые системы, особенно корпоративное оборудование начала 2000-х, не признают корневые сертификаты Let’s Encrypt. Это становится всё реже по мере замены старых систем.
  • Корпоративные политики, требующие конкретных типов сертификатов: В некоторых крупных корпорациях существуют внутренние политики, требующие EV сертификаты для публичных сайтов. Обычно это больше связано с управлением корпоративными рисками, чем с реальной безопасностью.
  • Подписание кода и документов: Let’s Encrypt выдаёт только DV сертификаты. Если ты подписываешь загрузки программного обеспечения или документы, тебе потребуются сертификаты от традиционных сертификационных центров.

Для подавляющего большинства сайтов, таких как блоги, интернет-магазины, приложения SaaS, маркетинговые сайты и большинство бизнес-сайтов, сертификат EV не предоставляет значимых преимуществ по сравнению с бесплатными альтернативами.

Должен ли ты просто получить бесплатные сертификаты и двигаться дальше?

По моему мнению, ответ — однозначное ДА. На самом деле, для 99% сайтов ответ да.

Вот почему:

Рынок Уже Выбрал

Сертификаты проверки домена составляют большую часть рынка.

Круговая диаграмма показывает, что большая часть использования SSL приходится на стандартные или бесплатные опции, такие как Let's Encrypt, в то время как платные сертификаты составляют небольшую часть.

Согласно BuiltWith, по состоянию на июнь 2025 года в интернете насчитывается более 258 миллионов SSL-сертификатов. Большинство из них бесплатные, автоматизированные и обеспечивают отличную безопасность.

Примечание: Ты заметишь, что SSL By Default занимает здесь наибольшую долю. Однако Let’s Encrypt также продает сертификаты SSL By Default. Так что, хотя они показаны отдельно, я бы рассматривал их как единое целое.

Инвестируй Свои Деньги В Наистоящую Безопасность

Те время и деньги, которые ты сэкономишь, можно направить на меры безопасности, которые действительно важны: лучшая инфраструктура хостинга, мониторинг безопасности, регулярное резервное копирование, брандмауэры веб-приложений или тестирование на проникновение.

Большинство провайдеров хостинга — включая DreamHost — теперь предлагают интеграцию Let’s Encrypt в один клик. Если твой провайдер не предоставляет такую возможность, возможно, пришло время найти провайдера хостинга, который понимает, что сейчас 2025, а не 2010.

Хватит Переживать, DV SSL Всё, Что Тебе Нужно

Сертификаты расширенной проверки — это дорогостоящие решения проблем, которые в основном можно решить бесплатно. Я не имею в виду высокорегулируемые отрасли, которым нужны сертификаты EV SSL — для остального мира должно хватить сертификата DV SSL.

Шифрование идентично, браузеры убрали визуальные индикаторы, и даже крупнейшие компании не используют их.

Вот что тебе действительно следует сделать:

  • Войди в панель управления хостингом
  • Включи бесплатный SSL одним кликом
  • Всё готово!

Твои пользователи получают ту же защиту шифрованием, что и Amazon и Shopify.

Если твой хост не предоставляет бесплатный SSL, тебе нужно перейти к провайдеру хостинга вроде DreamHost, который предоставляет!

Экономь свои деньги на действительно важные аспекты безопасности: резервное копирование, мониторинг или брандмауэр веб-приложений.

Это защитит твой сайт гораздо лучше, чем ежегодная оплата за дорогостоящие документы.

Если ты предпочитаешь передать технические аспекты профессионалу, мы позаботились о тебе с нашими профессиональными услугами по управлению сайтами!

Pro Услуги — Управление Сайтом

Мы Позаботимся о Технических Вопросах

Обеспечьте производительность и надежность уровня предприятия для вашего сайта. Оставьте бэкэнд экспертам — вы сосредоточьтесь на своем бизнесе.

Узнать больше
Фото Dallas Kashuba

Dallas Kashuba