Как проверить наличие SSL-шифрования у онлайн-сервиса перед вводом персональных данных
Перед вводом персональных данных на любом сайте необходимо проверять не просто наличие замка, а реальное состояние SSL-шифрования — это единственный способ убедиться, что соединение между вашим устройством и сервером
Короткий вывод: почему замок в адресной строке не равен безопасности
Мы в duubesoft.com регулярно сталкиваемся с тем, что пользователи путают символ замка с полноценной гарантией безопасности. На практике поддельные и просроченные сертификаты встречаются чаще, чем кажется: по данным Sectigo, в 2024 году более 30 % фишинговых сайтов использовали валидные HTTPS-сертификаты, чтобы создать видимость легитимности.
В этой инструкции мы разберём шесть конкретных способов проверки SSL-шифрования, которые вы сможете применить прямо сейчас — на компьютере или в мобильном браузере. Каждый шаг сопровождается пояснением, на что именно смотреть и какие ошибки говорят о риске.
---
Почему HTTPS не гарантирует защиту — что скрывается за зелёным замком
HTTPS — это HTTP поверх протокола TLS (Transport Layer Security). Протокол шифрует данные между браузером и сервером, но сам по себе не подтверждает, что сервер принадлежит тому, за кого себя выдаёт. Именно для этого существуют SSL/TLS-сертификаты, которые выдаются центрами сертификации (Certificate Authority, CA).
Проблема в том, что существуют бесплатные сертификаты, которые можно получить автоматически без проверки юридического лица. Мошенники активно используют такие сертификаты для создания фишинговых сайтов — они выглядят «легитимно» в адресной строке, но на самом деле крадут введённые данные.
Помимо этого, сертификат может оказаться:
- Просроченным — срок действия истёк, и браузер должен показать предупреждение, но не все браузеры делают это одинаково заметно.
- Выданным для другого домена — например, вы зашли на `sberbank-online.ru`, а сертификат выдан на `sberbank-online.com`. Разница в один символ, но сайт — фишинговый.
- Отозванным центром сертификации — CA аннулировал сертификат из-за нарушений, но проверка отзыва происходит не мгновенно.
- Использующим устаревший протокол — SSL 3.0 или TLS 1.0 уязвимы к известным атакам (POODLE, BEAST), и данные могут быть расшифрованы.
Именно поэтому наличие замка — это необходимое, но недостаточное условие безопасности. Чтобы действительно обезопасить себя, нужно проверять параметры сертификата по нескольким критериям одновременно.
---
Таблица проверки SSL-сертификата: 6 критериев для оценки шифрования
Мы составили сводную таблицу, которая поможет за 2–3 минуты оценить, можно ли доверять соединению на конкретном сайте. Все критерии проверяются прямо из браузера без установки дополнительного ПО.
| Критерий | Норма | Признак проблемы |
|---|---|---|
| Протокол шифрования | TLS 1.2 или TLS 1.3 | SSL 3.0, TLS 1.0, TLS 1.1 — уязвимы |
| Тип сертификата | OV (Organization Validation) или EV (Extended Validation) | Только DV (Domain Validation) — бесплатный, без проверки организации |
| Срок действия | Действителен, осталось более 30 дней | Истёк или истекает в ближайшие дни |
| Издатель (CA) | Известный центр: DigiCert, Sectigo, GlobalSign, Let's Encrypt (для некоммерческих проектов) | Неизвестный или самоподписанный CA |
| Совпадение домена | Имя в сертификате полностью совпадает с адресом в строке браузера | Отличается даже на один символ или поддомен |
| Статус отзыва | Не отозван (проверка через OCSP или CRL) | Статус «Revoked» или «Unknown» |
Обратите внимание: бесплатный сертификат Let's Encrypt — это норма для информационных сайтов и небольших проектов, но для банковских, государственных или медицинских сервисов стоит ожидать OV или EV сертификат. Если на сайте, где вы вводите номер банковской карты, стоит только DV — это уже повод насторожиться.
---
Пошаговая проверка SSL в браузере на компьютере и в мобильном приложении
На компьютере (Chrome, Firefox, Edge)
1. Нажмите на значок замка слева от адреса в строке браузера.
2. В выпадающем меню выберите «Соединение защищено» или «Сертификат действителен» — в зависимости от браузера формулировка отличается.
3. Откройте вкладку «Сертификат», затем раздел «Общие» — здесь указан издатель сертификата и срок его действия.
4. Перейдите на вкладку «Подробности» — здесь вы увидите версию протокола (TLS 1.2 или 1.3), алгоритм шифрования и цепочку доверия (Certificate Chain).
5. Сверьте имя в поле «Субъект» (Subject) с доменом в адресной строке браузера. Они должны совпадать точно, включая поддомены.
На мобильном устройстве (iOS / Android)
1. В Safari на iPhone нажмите на «Aa» слева от URL → «Настройки сайта» → «Сертификат» — откроются те же данные, что и на компьютере.
2. В Chrome на Android нажмите на замок → «Сертификат» → «Просмотреть сертификат». Проверьте издатель, срок и имя домена по тем же критериям.
3. На обоих типах устройств можно дополнительно воспользоваться онлайн-сервисом SSL Labs (ssllabs.com/ssltest): введите адрес сайта и получите полный отчёт с оценкой от A до F, включая поддерживаемые шифры и уязвимости.
> По рекомендации NIST (Special Publication 800-52 Rev. 2, обновление 2025 года), на сегодняшний день допустимыми считаются только TLS 1.2 и TLS 1.3; все более ранние версии протокола признаны уязвимыми и не должны использоваться для защиты конфиденциальных данных.
---
Риски: что происходит при вводе данных на сайт с поддельным или просроченным сертификатом
Если вы вводите пароль, номер банковской карты или паспортные данные на сайте с ненадёжным SSL-соединением, вы рискуете столкнуться с несколькими угрозами одновременно.
1. Перехват данных (Man-in-the-Middle). Атакующий подменяет сертификат и перехватывает весь трафик между вами и сервером. Вы видите «нормальный» сайт с замком, но данные уходят злоумышленнику. Такая атака особенно опасна в публичных Wi-Fi сетях — в аэропортах, кафе, отелях.
2. Фишинг с валидным сертификатом. Мошеннический сайт с бесплатным DV-сертификатом имитирует банк, маркетплейс или государственный сервис. Пользователь вводит логин и пароль, и они попадают к мошенникам. Визуально сайт неотличим от оригинала — может быть в одном символе домена.
3. Расшифровка трафика при устаревшем протоколе. Если сервер использует SSL 3.0 или TLS 1.0, возможна атака POODLE или BEAST, которая позволяет расшифровать отдельные фрагменты трафика. Это критично при передаче платёжных данных.
4. Штрафы для бизнеса. Если компания обрабатывает персональные данные без надлежащего шифрования, это прямое нарушение Федерального закона № 152-ФЗ «О персональных данных». По части 1 статьи 13.11 КоАП РФ штраф для юридических лиц составляет до 100 000 ₽ за каждый факт нарушения. В 2025 году Роскомнадзор активизировал проверки, и количество штрафов выросло на 45 % по сравнению с 2023 годом.
Команда duubesoft.com рекомендует: если браузер показывает хотя бы одно предупреждение о небезопасном соединении — не игнорируйте его. Введите данные на этом сайте только после того, как убедитесь в валидности сертификата по всем шести критериям из таблицы выше.
---
Как отличить настоящий SSL-сертификат от поддельного?
Нажмите на замок в адресной строке и откройте детали сертификата. Проверьте издатель (должен быть известный CA, например DigiCert или Sectigo), имя домена (должно точно совпадать с адресом сайта) и срок действия. Если хотя бы один параметр вызывает сомнения — не вводите данные на этом сайте и покините его.
Бесплатный сертификат Let's Encrypt — это безопасно?
Сам по себе Let's Encrypt обеспечивает шифрование трафика на уровне TLS 1.2/1.3, но он выдаёт только DV-сертификаты без проверки владельца. Это значит, что мошенник может получить такой сертификат для фишингового домена. Наличие Let's Encrypt — это норма для информационных и некоммерческих сайтов, но для банковских или государственных сервисов стоит ожидать OV или EV сертификат.
Что делать, если браузер показывает предупреждение «Соединение не защищено»?
Не игнорируйте предупреждение и не вводите никаких данных. Сначала проверьте, не опечатались ли вы в адресе — разница в один символ может означать, что вы на фишинговом сайте. Если адрес верный, возможно, сертификат просрочен или сайт использует устаревший протокол. В любом случае покините сайт и обратитесь в поддержку сервиса через официальные каналы.
Для продолжения темы — Права на код и дизайн цифрового.
Практический контекст — восстановить доступ к корпоративному аккаунту, если.