Как проверить наличие SSL-шифрования у онлайн-сервиса перед вводом персональных данных
Перед вводом персональных данных на любом сайте необходимо проверять не просто наличие замка, а реальное состояние SSL-шифрования — это единственный способ убедиться, что соединение между вашим устройством и сервером…
Короткий вывод: почему замок в адресной строке не равен безопасности
Перед вводом персональных данных на любом сайте необходимо проверять не просто наличие замка, а реальное состояние SSL-шифрования — это единственный способ убедиться, что соединение между вашим устройством и сервером действительно защищено. Зелёный замок в адресной строке подтверждает только одно: между браузером и сервером установлено HTTPS-соединение. Он не говорит о том, кому принадлежит сертификат, не подтверждает юридическое лицо за сайтом и не гарантирует, что шифрование использует актуальный протокол.
Мы в duubesoft.com регулярно сталкиваемся с тем, что пользователи путают символ замка с полноценной гарантией безопасности. На практике поддельные и просроченные сертификаты встречаются чаще, чем кажется: по данным Sectigo, в 2024 году более 30 % фишинговых сайтов использовали валидные HTTPS-сертификаты, чтобы создать видимость легитимности.
В этой инструкции мы разберём шесть конкретных способов проверки SSL-шифрования, которые вы сможете применить прямо сейчас — на компьютере или в мобильном браузере. Каждый шаг сопровождается пояснением, на что именно смотреть и какие ошибки говорят о риске.
Почему HTTPS не гарантирует защиту — что скрывается за зелёным замком
HTTPS — это HTTP поверх протокола TLS (Transport Layer Security). Протокол шифрует данные между браузером и сервером, но сам по себе не подтверждает, что сервер принадлежит тому, за кого себя выдаёт. Именно для этого существуют SSL/TLS-сертификаты, которые выдаются центрами сертификации (Certificate Authority, CA).
Проблема в том, что существуют бесплатные сертификаты, которые можно получить автоматически без проверки юридического лица. Мошенники активно используют такие сертификаты для создания фишинговых сайтов — они выглядят «легитимно» в адресной строке, но на самом деле крадут введённые данные.
Помимо этого, сертификат может оказаться:
- Просроченным — срок действия истёк, и браузер должен показать предупреждение, но не все браузеры делают это одинаково заметно.
- Выданным для другого домена — например, вы зашли на
sberbank-online.ru, а сертификат выдан наsberbank-online.com. Разница в один символ, но сайт — фишинговый. - Отозванным центром сертификации — CA аннулировал сертификат из-за нарушений, но проверка отзыва происходит не мгновенно.
- Использующим устаревший протокол — SSL 3.0 или TLS 1.0 уязвимы к известным атакам (POODLE, BEAST), и данные могут быть расшифрованы.
Именно поэтому наличие замка — это необходимое, но недостаточное условие безопасности. Чтобы действительно обезопасить себя, нужно проверять параметры сертификата по нескольким критериям одновременно.
Таблица проверки SSL-сертификата: 6 критериев для оценки шифрования
Мы составили сводную таблицу, которая поможет за 2–3 минуты оценить, можно ли доверять соединению на конкретном сайте. Все критерии проверяются прямо из браузера без установки дополнительного ПО.
| Критерий | Норма | Признак проблемы |
|---|---|---|
| Протокол шифрования | TLS 1.2 или TLS 1.3 | SSL 3.0, TLS 1.0, TLS 1.1 — уязвимы |
| Тип сертификата | OV (Organization Validation) или EV (Extended Validation) | Только DV (Domain Validation) — бесплатный, без проверки организации |
| Срок действия | Действителен, осталось более 30 дней | Истёк или истекает в ближайшие дни |
| Издатель (CA) | Известный центр: DigiCert, Sectigo, GlobalSign, Let's Encrypt (для некоммерческих проектов) | Неизвестный или самоподписанный CA |
| Совпадение домена | Имя в сертификате полностью совпадает с адресом в строке браузера | Отличается даже на один символ или поддомен |
| Статус отзыва | Не отозван (проверка через OCSP или CRL) | Статус «Revoked» или «Unknown» |
Обратите внимание: бесплатный сертификат Let's Encrypt — это норма для информационных сайтов и небольших проектов, но для банковских, государственных или медицинских сервисов стоит ожидать OV или EV сертификат. Если на сайте, где вы вводите номер банковской карты, стоит только DV — это уже повод насторожиться.
Пошаговая проверка SSL в браузере на компьютере и в мобильном приложении
На компьютере (Chrome, Firefox, Edge)
1. Нажмите на значок замка слева от адреса в строке браузера.
2. В выпадающем меню выберите «Соединение защищено» или «Сертификат действителен» — в зависимости от браузера формулировка отличается.
3. Откройте вкладку «Сертификат», затем раздел «Общие» — здесь указан издатель сертификата и срок его действия.
4. Перейдите на вкладку «Подробности» — здесь вы увидите версию протокола (TLS 1.2 или 1.3), алгоритм шифрования и цепочку доверия (Certificate Chain).
5. Сверьте имя в поле «Субъект» (Subject) с доменом в адресной строке браузера. Они должны совпадать точно, включая поддомены.
На мобильном устройстве (iOS / Android)
1. В Safari на iPhone нажмите на «Aa» слева от URL → «Настройки сайта» → «Сертификат» — откроются те же данные, что и на компьютере.
2. В Chrome на Android нажмите на замок → «Сертификат» → «Просмотреть сертификат». Проверьте издатель, срок и имя домена по тем же критериям.
3. На обоих типах устройств можно дополнительно воспользоваться онлайн-сервисом SSL Labs (ssllabs.com/ssltest): введите адрес сайта и получите полный отчёт с оценкой от A до F, включая поддерживаемые шифры и уязвимости.
По рекомендации NIST (Special Publication 800-52 Rev. 2, обновление 2025 года), на сегодняшний день допустимыми считаются только TLS 1.2 и TLS 1.3; все более ранние версии протокола признаны уязвимыми и не должны использоваться для защиты конфиденциальных данных.
Риски: что происходит при вводе данных на сайт с поддельным или просроченным сертификатом
Если вы вводите пароль, номер банковской карты или паспортные данные на сайте с ненадёжным SSL-соединением, вы рискуете столкнуться с несколькими угрозами одновременно.
1. Перехват данных (Man-in-the-Middle). Атакующий подменяет сертификат и перехватывает весь трафик между вами и сервером. Вы видите «нормальный» сайт с замком, но данные уходят злоумышленнику. Такая атака особенно опасна в публичных Wi-Fi сетях — в аэропортах, кафе, отелях.
2. Фишинг с валидным сертификатом. Мошеннический сайт с бесплатным DV-сертификатом имитирует банк, маркетплейс или государственный сервис. Пользователь вводит логин и пароль, и они попадают к мошенникам. Визуально сайт неотличим от оригинала — может быть в одном символе домена.
3. Расшифровка трафика при устаревшем протоколе. Если сервер использует SSL 3.0 или TLS 1.0, возможна атака POODLE или BEAST, которая позволяет расшифровать отдельные фрагменты трафика. Это критично при передаче платёжных данных.
4. Штрафы для бизнеса. Если компания обрабатывает персональные данные без надлежащего шифрования, это прямое нарушение Федерального закона № 152-ФЗ «О персональных данных». По части 1 статьи 13.11 КоАП РФ штраф для юридических лиц составляет до 100 000 ₽ за каждый факт нарушения. В 2025 году Роскомнадзор активизировал проверки, и количество штрафов выросло на 45 % по сравнению с 2023 годом.
Команда duubesoft.com рекомендует: если браузер показывает хотя бы одно предупреждение о небезопасном соединении — не игнорируйте его. Введите данные на этом сайте только после того, как убедитесь в валидности сертификата по всем шести критериям из таблицы выше.
Чек-лист: 7 действий перед вводом персональных данных на любом сайте
Перед тем как ввести пароль, номер карты или паспортные данные, выполните следующие проверки по порядку:
1. Убедитесь, что в адресной строке стоит HTTPS — замок должен быть закрытым, а адрес начинаться с https://.
2. Нажмите на замок и проверьте издатель сертификата — он должен быть одним из известных CA (DigiCert, Sectigo, GlobalSign, Comodo).
3. Откройте детали сертификата и сверьте имя домена с адресом в строке браузера — они должны совпадать точно, включая поддомены.
4. Проверьте срок действия сертификата — он не должен быть просрочен и не должен истекать в ближайшие дни.
5. Посмотрите версию протокола в разделе «Подробности» — допустимы только TLS 1.2 и TLS 1.3.
6. Если браузер показывает предупреждение (красный экран, перечёркнутый замок, надпись «Небезопасно») — не вводите данные, пока не разберётесь в причине.
7. Используйте менеджер паролей: он не предложит автозаполнение на фишинговом сайте, потому что домен не совпадёт с сохранённым адресом.
Дополнительный совет: для оценки безопасности облачных сервисов, через которые вы передаёте данные, изучите наши материалы о сертификации ISO 27001 облачного сервиса и о соответствии облачного сервиса требованиям 152-ФЗ. А если нужно оценить уровень защиты корпоративных устройств — смотрите сравнение корпоративных антивирусов для защиты данных.
Проверка первоисточников
Где сверить правила и документы
Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.
