Как проверить SSL-сертификат сайта: что смотреть и как исправить проблемы

Разбираем, что такое SSL-сертификат, зачем он нужен и как быстро проверить его состояние для любого сайта.

Что такое SSL-сертификат?

SSL-сертификат (точнее — TLS-сертификат, но в обиходе говорят SSL) — это цифровой документ, который удостоверяет подлинность сайта и обеспечивает шифрование передаваемых данных. Наличие сертификата превращает http:// в https:// и отображается замком в адресной строке браузера.

Без SSL весь трафик между браузером и сервером передаётся в открытом виде — пароли, данные форм, личная информация. Любой, кто контролирует ваш интернет-канал (провайдер, злоумышленник в той же сети Wi-Fi), может их прочитать или подменить.

Что проверять в SSL-сертификате?

1. Срок действия

Сертификат имеет дату начала и окончания действия. После истечения браузеры показывают ошибку, и пользователи не могут зайти на сайт. Let's Encrypt выдаёт сертификаты на 90 дней, коммерческие — на 1–2 года.

Проверяйте срок регулярно. Настройте автообновление (certbot renew) или включите напоминания за 30 дней до истечения.

2. Соответствие домена

Сертификат выдаётся для конкретного домена (или нескольких). Убедитесь, что сертификат покрывает нужные домены:

example.com и www.example.com — разные домены, нужен один сертификат с SAN (Subject Alternative Names) или Wildcard
Wildcard *.example.com покрывает все поддомены первого уровня, но не сам example.com

3. Цепочка доверия

Сертификат должен быть подписан доверенным центром сертификации (CA). Цепочка должна быть полной: ваш сертификат → промежуточный CA → корневой CA. Если промежуточные сертификаты не настроены на сервере, некоторые браузеры и устройства покажут ошибку.

4. Тип сертификата

DV (Domain Validated) — подтверждает только владение доменом. Самый простой и дешёвый.
OV (Organization Validated) — дополнительно проверяется организация.
EV (Extended Validation) — максимальная проверка. Показывал название компании в браузере (сейчас большинство браузеров убрали это отображение).

5. Версия протокола TLS

Сервер должен поддерживать TLS 1.2 и TLS 1.3. Устаревшие TLS 1.0 и SSL 3.0 содержат уязвимости и должны быть отключены.

Частые проблемы с SSL

Сертификат истёк — самая частая проблема. Настройте автообновление.
Mixed content — страница загружается по HTTPS, но часть ресурсов (изображения, скрипты) грузится по HTTP. Браузер блокирует или предупреждает.
Неполная цепочка — не настроены intermediate certificates. Проверяйте на мобильных устройствах и старых Android.
Неправильный домен — сертификат для другого домена. Проверьте настройки virtual host в nginx/Apache.

SSL Check на kit.uz

Введите домен сайта в инструмент SSL Check на главной странице kit.uz. Вы получите:

Дату истечения сертификата
Оставшееся количество дней до истечения
Имя издателя и организацию
Список доменов (Subject Alternative Names)
Поддерживаемые версии TLS
Статус цепочки доверия

Проверьте свой сайт прямо сейчас — это бесплатно и занимает несколько секунд.