Цифровые сертификаты и центры сертификации: как интернет узнает, кому доверять
Last updated: апрель 9, 2026
Объясняем, как цифровые сертификаты связывают публичные ключи с идентичностью, какую роль играют центры сертификации и почему правительства больше не могут выпускать поддельные сертификаты.
Представьте ситуацию: вы заходите на сайт вашего банка и видите в адресной строке зелёный замок. Браузер говорит вам, что это действительно ваш банк, а не поддельный сайт, похожий на него. Но как браузер это узнал? Никакой магии здесь нет — это работает благодаря системе цифровых сертификатов. Чтобы понять эту систему, нужно разобраться с несколькими базовыми понятиями, которые лежат в основе безопасности всего интернета.
Что такое цифровой сертификат и зачем он нужен
Цифровой сертификат — это электронный документ, который связывает публичный ключ (длинное число, используемое для шифрования) с реальной идентичностью. Например, сертификат сайта вашего банка говорит: «Этот публичный ключ принадлежит именно банку ООО Рога и Копыта, а не кому-то другому». Без этого вы бы не знали, правильному ли ключу доверять.
Аналогия поможет понять смысл. Представьте, что вы получаете письмо с печатью и подписью. Печать доказывает, что письмо отправил конкретный человек. Но откуда вы знаете, что печать настоящая? Вы проверяете печать по каталогу в мэрии — они удостоверяют, что эта печать действительно принадлежит этому человеку. Цифровой сертификат работает похожим образом: он говорит вам, что этот публичный ключ действительно принадлежит тому, кто заявляет о его владении.
Центры сертификации: доверенные третьи стороны
Но кто выступает в роли той самой мэрии? Это центры сертификации (Certificate Authorities, сокращённо CA). Они — организации, которым браузеры и операционные системы доверяют выпускать сертификаты. Когда веб-сайт хочет получить сертификат, он обращается в центр сертификации с доказательством, что управляет доменом. Центр проверяет это доказательство и выпускает сертификат.
Эта система работает, потому что браузер хранит список центров сертификации, которым он доверяет. На вашем компьютере или телефоне установлены корневые сертификаты (root certificates) — это особые сертификаты самих центров сертификации. Браузер использует корневые сертификаты, чтобы проверить, что цепочка доверия надёжна.
Цепочка доверия и промежуточные центры
Цепочка доверия работает как матрёшка. На вершине находится корневой центр сертификации — его сертификат хранится в браузере. Корневой центр подписывает сертификаты промежуточных центров, которые, в свою очередь, подписывают сертификаты конкретных веб-сайтов.
Почему это сделано так сложно? Потому что корневые центры держат свои ключи в безопасности, редко подписывая что-либо напрямую. Промежуточные центры делают основную работу, и если их скомпрометировать, ущерб можно ограничить, не пересчитывая весь интернет.
Когда браузер проверяет сертификат сайта, он идёт вверх по цепочке: проверяет подпись промежуточного центра на сертификате сайта, затем проверяет подпись корневого центра на сертификате промежуточного центра. Если все подписи верны, браузер считает соединение безопасным.
Что происходит, когда центр сертификации скомпрометирован
Эта система имеет слабое место: если центр сертификации скомпрометирован — то есть его ключи украдены или его сотрудники вынуждены выпустить поддельный сертификат — то злоумышленник может создать сертификат на любой сайт, и браузеры ему поверят.
Именно это произошло в 2011 году с голландским центром сертификации DigiNotar. Его серверы были взломаны, и злоумышленники выпустили поддельные сертификаты для Google, Skype и других крупных сервисов. В течение нескольких месяцев эти поддельные сертификаты были действительны, пока браузеры не заблокировали DigiNotar полностью.
Этот инцидент показал, что даже одного взломанного центра достаточно, чтобы нарушить безопасность тысяч веб-сайтов. Стало понятно, что нужна система, которая позволяет обнаруживать поддельные сертификаты быстрее.
Тревожные логи сертификатов и прозрачность
Ответом стали Certificate Transparency (CT) логи — это публичные реестры, в которых должны регистрироваться все выпущенные сертификаты. Любой может проверить эти логи и увидеть, когда был выпущен сертификат на его домен. Если вы видите в CT логе сертификат на ваш домен, который вы не заказывали, это признак атаки.
Браузеры теперь требуют, чтобы новые сертификаты были записаны в CT логи, прежде чем браузер их примет. Это не предотвращает выпуск поддельных сертификатов, но делает их обнаружение неизбежным и почти мгновенным.
Как браузеры решают, какие центры доверять
Каждый браузер и операционная система содержит список центров сертификации, которым они доверяют. Windows, macOS, iOS и браузеры (Chrome, Firefox) имеют свои собственные хранилища корневых сертификатов. Попасть в этот список невозможно без аудита и проверки. Если центр нарушает требования безопасности, его удаляют из списка, как произошло с DigiNotar.
Почему правительства больше не могут просто выпустить поддельный сертификат
До появления CT логов правительство теоретически могло заставить центр сертификации выпустить поддельный сертификат, и это было бы невозможно заметить. Сегодня это невозможно: выпуск сертификата автоматически записывается в CT логи, и владелец домена может его обнаружить. Это не идеальная защита — она требует активного мониторинга — но она делает скрытные атаки маловероятными.
Итого: цифровые сертификаты работают благодаря цепочке доверия, которая начинается с корневых центров сертификации, установленных в вашем браузере. Эта система не идеальна, но она хорошо справляется со своей задачей. Certificate Transparency добавил прозрачности и сделал скрытные атаки затруднительными. Всё это вместе создало интернет, где вы можете быть достаточно уверены, что замок в адресной строке означает то, что вы видите. Если хотите углубиться дальше, изучите, как работает асимметричное шифрование, что такое Certificate Pinning в мобильных приложениях и почему некоторые корпорации выступают против CT логов.
Что такое цифровой сертификат и зачем он нужен
Цифровой сертификат — это электронный документ, который связывает публичный ключ (длинное число, используемое для шифрования) с реальной идентичностью. Например, сертификат сайта вашего банка говорит: «Этот публичный ключ принадлежит именно банку ООО Рога и Копыта, а не кому-то другому». Без этого вы бы не знали, правильному ли ключу доверять.
Аналогия поможет понять смысл. Представьте, что вы получаете письмо с печатью и подписью. Печать доказывает, что письмо отправил конкретный человек. Но откуда вы знаете, что печать настоящая? Вы проверяете печать по каталогу в мэрии — они удостоверяют, что эта печать действительно принадлежит этому человеку. Цифровой сертификат работает похожим образом: он говорит вам, что этот публичный ключ действительно принадлежит тому, кто заявляет о его владении.
Центры сертификации: доверенные третьи стороны
Но кто выступает в роли той самой мэрии? Это центры сертификации (Certificate Authorities, сокращённо CA). Они — организации, которым браузеры и операционные системы доверяют выпускать сертификаты. Когда веб-сайт хочет получить сертификат, он обращается в центр сертификации с доказательством, что управляет доменом. Центр проверяет это доказательство и выпускает сертификат.
Эта система работает, потому что браузер хранит список центров сертификации, которым он доверяет. На вашем компьютере или телефоне установлены корневые сертификаты (root certificates) — это особые сертификаты самих центров сертификации. Браузер использует корневые сертификаты, чтобы проверить, что цепочка доверия надёжна.
Цепочка доверия и промежуточные центры
Цепочка доверия работает как матрёшка. На вершине находится корневой центр сертификации — его сертификат хранится в браузере. Корневой центр подписывает сертификаты промежуточных центров, которые, в свою очередь, подписывают сертификаты конкретных веб-сайтов.
Почему это сделано так сложно? Потому что корневые центры держат свои ключи в безопасности, редко подписывая что-либо напрямую. Промежуточные центры делают основную работу, и если их скомпрометировать, ущерб можно ограничить, не пересчитывая весь интернет.
Когда браузер проверяет сертификат сайта, он идёт вверх по цепочке: проверяет подпись промежуточного центра на сертификате сайта, затем проверяет подпись корневого центра на сертификате промежуточного центра. Если все подписи верны, браузер считает соединение безопасным.
Что происходит, когда центр сертификации скомпрометирован
Эта система имеет слабое место: если центр сертификации скомпрометирован — то есть его ключи украдены или его сотрудники вынуждены выпустить поддельный сертификат — то злоумышленник может создать сертификат на любой сайт, и браузеры ему поверят.
Именно это произошло в 2011 году с голландским центром сертификации DigiNotar. Его серверы были взломаны, и злоумышленники выпустили поддельные сертификаты для Google, Skype и других крупных сервисов. В течение нескольких месяцев эти поддельные сертификаты были действительны, пока браузеры не заблокировали DigiNotar полностью.
Этот инцидент показал, что даже одного взломанного центра достаточно, чтобы нарушить безопасность тысяч веб-сайтов. Стало понятно, что нужна система, которая позволяет обнаруживать поддельные сертификаты быстрее.
Тревожные логи сертификатов и прозрачность
Ответом стали Certificate Transparency (CT) логи — это публичные реестры, в которых должны регистрироваться все выпущенные сертификаты. Любой может проверить эти логи и увидеть, когда был выпущен сертификат на его домен. Если вы видите в CT логе сертификат на ваш домен, который вы не заказывали, это признак атаки.
Браузеры теперь требуют, чтобы новые сертификаты были записаны в CT логи, прежде чем браузер их примет. Это не предотвращает выпуск поддельных сертификатов, но делает их обнаружение неизбежным и почти мгновенным.
Как браузеры решают, какие центры доверять
Каждый браузер и операционная система содержит список центров сертификации, которым они доверяют. Windows, macOS, iOS и браузеры (Chrome, Firefox) имеют свои собственные хранилища корневых сертификатов. Попасть в этот список невозможно без аудита и проверки. Если центр нарушает требования безопасности, его удаляют из списка, как произошло с DigiNotar.
Почему правительства больше не могут просто выпустить поддельный сертификат
До появления CT логов правительство теоретически могло заставить центр сертификации выпустить поддельный сертификат, и это было бы невозможно заметить. Сегодня это невозможно: выпуск сертификата автоматически записывается в CT логи, и владелец домена может его обнаружить. Это не идеальная защита — она требует активного мониторинга — но она делает скрытные атаки маловероятными.
Итого: цифровые сертификаты работают благодаря цепочке доверия, которая начинается с корневых центров сертификации, установленных в вашем браузере. Эта система не идеальна, но она хорошо справляется со своей задачей. Certificate Transparency добавил прозрачности и сделал скрытные атаки затруднительными. Всё это вместе создало интернет, где вы можете быть достаточно уверены, что замок в адресной строке означает то, что вы видите. Если хотите углубиться дальше, изучите, как работает асимметричное шифрование, что такое Certificate Pinning в мобильных приложениях и почему некоторые корпорации выступают против CT логов.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ ВЫБОР РЕДАКЦИИ
★★★★★ 9.5/10 · 6,000+ servers · Работает в Китае
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.