SSL checker выше выполняет полную диагностику любого публично доступного SSL/TLS сертификата и возвращает подробный отчёт, охватывающий рейтинг безопасности, цепочку сертификатов, наборы шифров, сканирование уязвимостей и совместимость с браузерами. В разделах ниже объясняется, как читать каждую часть отчёта.
Понимание рейтинга безопасности SSL
Каждое сканирование SSL checker выдаёт буквенную оценку от A+ до F, а также числовой балл из 100.
- Оценка A или A+ означает, что сертификат установлен корректно, использует современную криптографию, а на сервере включены необходимые функции безопасности.
- Сертификаты с оценкой B работают, но указывают на возможности для усиления защиты.
- Оценка C и ниже, как правило, указывает на устаревшую версию TLS, отсутствующую функцию безопасности или сертификат, срок действия которого скоро истекает.
Балл рассчитывается по пяти категориям:
- Сертификат (срок действия и алгоритм)
- Доверие (признанный Certificate Authority и целостность цепочки)
- Протокол (поддерживаемые версии TLS, отключённые устаревшие протоколы)
- Функции (HSTS, OCSP Stapling, Perfect Forward Secrecy, CAA)
- Срок действия (время до истечения срока)
Большинство снижений рейтинга происходит из-за категории «Функции». Сертификат работает, цепочка в порядке, протокол актуален, но HSTS не настроен или запись CAA не опубликована. Это исправления на стороне сервера и DNS, а не проблемы с самим сертификатом.
Чтение сведений о сертификате
SSL checker разбирает каждый сертификат в цепочке по полям.
Common Name — основной домен, для которого выдан сертификат. Он должен совпадать с проверяемым URL, иначе браузер отклонит соединение.
Issued By — выдавший промежуточный центр и родительский Certificate Authority. Известные имена, такие как Sectigo, DigiCert, GeoTrust или Google Trust Services, доверяются автоматически. Малоизвестные издатели или что-либо «самоподписанное» вызовет предупреждение.
Valid From / Valid To — период действия сертификата. Valid From имеет большее значение, чем принято считать: если часы сервера сбиты или сертификат установлен раньше времени, браузеры отклоняют его как ещё не вступивший в силу.
Signature Algorithm — современные сертификаты используют SHA-256, SHA-384 или ecdsa-with-SHA256. SHA-1 был признан устаревшим много лет назад, и любой сертификат, всё ещё использующий его, следует перевыпустить.
Public Key — стандартом является RSA 2048-бит и выше. ECC 256-бит — современная альтернатива, обеспечивающая меньшие и более быстрые сертификаты.
SAN (Subject Alternative Name) — дополнительные имена хостов, которые охватывает сертификат. Wildcard-сертификаты вида *.example.com охватывают все поддомены одного уровня. Мультидоменные сертификаты перечисляют здесь каждое защищённое имя хоста. Для сертификатов DV, OV или EV список SAN точно определяет, для каких доменов сертификат будет действителен.
Функции безопасности SSL сертификата: объяснение
Помимо самого сертификата, SSL checker формирует отчёт по шести функциям безопасности.
OCSP Stapling — сервер заблаговременно получает собственный статус отзыва от CA и включает его в TLS-рукопожатие на порту 443. Статус «Not Supported» добавляет задержку к каждому соединению. Как правило, это исправляется одной строкой конфигурации в Apache, Nginx или IIS.
Perfect Forward Secrecy (PFS) — каждая сессия использует уникальный ключ, поэтому будущая компрометация закрытого ключа не позволит расшифровать прошлый трафик. Статус «Not Supported» означает, что записанные сессии могут быть расшифрованы ретроспективно. Включите, отдав предпочтение наборам шифров ECDHE.
Certificate Transparency (CT) — выданные сертификаты записываются в публичные журналы CT, что позволяет владельцам доменов обнаруживать несанкционированную выдачу. Статус «Not Supported» для публичного сертификата встречается редко.
HSTS (HTTP Strict Transport Security) — заголовок ответа сервера, указывающий браузерам отклонять незашифрованные HTTP-соединения. Без HSTS злоумышленник может понизить соединение посетителя с HTTPS и перехватить трафик. Добавьте заголовок Strict-Transport-Security в конфигурацию веб-сервера.
Certificate Revocation Status — инструмент проверки запрашивает OCSP и CRL, чтобы убедиться, что сертификат не был отозван. «Good» = активен. «Revoked» = браузеры отклонят его, немедленно перевыпустите. «Unknown» в CRL — распространённая ситуация и не является проблемой, если OCSP возвращает Good.
DNS CAA Record — DNS-запись, перечисляющая Certificate Authority, которым разрешено выдавать сертификаты для домена. Без неё любой CA технически может выдать сертификат. Добавьте запись CAA у DNS-провайдера, указав ваши CA.
Результаты сканирования TLS-уязвимостей
Выполняется сканирование на пять известных TLS-уязвимостей. Большинство серверов были исправлены много лет назад, поэтому SSL checker обычно подтверждает отсутствие угроз.
Heartbleed (CVE-2014-0160) — ошибка чтения памяти в OpenSSL, раскрывавшая закрытые ключи. «Safe» означает, что сервер использует исправленную сборку OpenSSL.
POODLE (CVE-2014-3566) — атака на основе оракула дополнения против SSLv3. «Safe» означает, что SSLv3 отключён.
BEAST (CVE-2011-3389) — уязвимость блочного шифрования в TLS 1.0. «Safe» означает, что TLS 1.0 отключён или сервер использует устойчивые наборы шифров.
ROBOT (CVE-2017-13099) — Return Of Bleichenbacher’s Oracle Threat. Уязвимость дополнения RSA, вновь обнаруженная во многих реализациях от различных производителей. «Safe» означает, что сервер не раскрывает уязвимый обмен ключами.
Ticketbleed (CVE-2016-9244) — утечка памяти через TLS session tickets, специфичная для F5 BIG-IP. «Safe» означает отсутствие неисправленного устройства F5.
Наборы шифров и поддержка протоколов
SSL checker группирует поддерживаемые наборы шифров по категориям TLS 1.3, TLS 1.2 и Weak (слабые).
- TLS 1.3 имеет небольшой список изначально надёжных наборов шифров.
- Качество шифров TLS 1.2 варьируется, поэтому каждый набор перечисляется отдельно.
- Столбец Weak отмечает устаревшие протоколы и шифры, которые следует отключить: SSLv3, TLS 1.0, TLS 1.1, RC4, 3DES, а также любые шифры NULL или EXPORT.
Названия наборов шифров имеют предсказуемую структуру. В TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384:
- ECDHE — алгоритм обмена ключами (обеспечивает Perfect Forward Secrecy)
- ECDSA — алгоритм подписи
- AES_256_GCM — симметричный шифр
- SHA384 — хеш-функция
Оба варианта AES — 128-бит и 256-бит — являются безопасными.
Проверка цепочки сертификатов
Отчёт отображает полную цепочку сертификатов в виде трёх уровней:
- Сертификат сервера
- Промежуточный сертификат
- Корневой сертификат
Каждый уровень подписывается вышестоящим, и цепочка должна завершаться корневым сертификатом, которому браузер уже доверяет.
«Chain Complete» означает, что браузеры могут пройти путь от сервера до корня без проблем.
«Incomplete» означает, что один или несколько промежуточных сертификатов отсутствуют в том, что отправляет сервер, поэтому браузеры не могут связать сертификат с доверенным корнем, и посетители видят предупреждение безопасности.
Неполные цепочки — одна из наиболее распространённых проблем при установке SSL, и SSL checker отмечает их в верхней части отчёта. Решение почти всегда состоит в переустановке с использованием полного пакета цепочки, предоставляемого CA. Пути для конкретных серверов различаются: Apache использует директиву файла цепочки, тогда как Nginx ожидает файл fullchain.pem. IIS обрабатывает восстановление цепочки через мастер импорта сертификатов.
Проверка срока действия SSL сертификата
SSL checker отображает срок истечения в двух местах: в верхней сводке показывается количество оставшихся дней и дата Valid To, а каждый сертификат в цепочке отображает собственный период действия.
В соответствии с Ballot SC-081v3 CA/Browser Forum срок действия публичных SSL/TLS сертификатов поэтапно сокращается. С 15 марта 2026 года максимальный срок действия снизился с 398 дней до 200 дней. С 15 марта 2027 года он составит 100 дней, а с 15 марта 2029 года — 47 дней.
При сроке действия 200 дней достаточно ежемесячных проверок с напоминанием за 30 дней до истечения. К моменту введения 47-дневных сертификатов ручное продление станет нецелесообразным. Стандартным решением является автоматизация на основе ACME, которая позволяет серверу запрашивать и обновлять сертификаты без ручного вмешательства.
Совместимость с браузерами — когда это важно
SSL checker тестирует сертификат на 13 комбинациях браузеров и устройств. Современные браузеры (Chrome 80+, Firefox 80+, Safari 14+, Edge 80+, Opera 70+, iOS 15+ Safari, Android 10+) всегда должны отображать статус «Supported» для актуального сертификата.
Более старые мобильные платформы, такие как Android 5-7 и iOS 12, нередко показывают частичную поддержку. Насколько это важно, зависит от аудитории. Устаревшие настольные браузеры, такие как Internet Explorer 10 и 11, почти всегда не работают с современными сертификатами, поскольку по умолчанию не поддерживают TLS 1.2. Результат 9/13 при поддержке всех современных браузеров является нормой в 2026 году.
Когда следует выполнять проверку SSL
Одной проверки после установки недостаточно. Запускайте SSL checker:
- После установки нового сертификата
- За 30 дней до истечения срока при 200-дневном цикле
- После каждого продления или перевыпуска
- После миграции сервера или смены IP
- После смены Certificate Authority
- После перехода на wildcard или мультидоменную конфигурацию
- После включения HSTS, OCSP Stapling или любых изменений конфигурации TLS
Часто задаваемые вопросы
Ежемесячная проверка — разумная базовая практика. Поскольку максимальный срок действия сертификатов теперь составляет 200 дней, установите напоминание о полной проверке за 30 дней до истечения срока. Проводите дополнительную проверку после обновления сертификата, так как ошибки в цепочке сертификатов — наиболее частая проблема после обновления.
Копировать ссылку
Стремитесь к оценке A или A+. B работает во всех браузерах, но разница обычно указывает на устранимые проблемы. Большинство снижений рейтинга связано с двумя элементами, которые SSL checker отмечает в панели функций безопасности: отсутствующий HSTS заголовок или неконфигурированная CAA запись. Ни то, ни другое не требует изменения самого сертификата.
Копировать ссылку
Ваш сервер не отправляет все промежуточные сертификаты, необходимые браузерам. Быстрое решение: Apache использует SSLCertificateChainFile или объединённый пакет, Nginx ожидает файл fullchain.pem, а IIS перестраивает цепь через мастер импорта сертификатов.
Копировать ссылку
Нет, публичные проверяющие не могут получить доступ к внутренним хостам за брандмауэрами. С машины в той же сети выполните openssl s_client -connect host:443 -servername host для получения эквивалентного результата. Инструмент командной строки OpenSSL поставляется с большинством дистрибутивов Linux и доступен для Windows.
Копировать ссылку
Да. Он читает любой сертификат, который представляет сервер, от Sectigo, DigiCert, GeoTrust, RapidSSL, Thawte, GoGetSSL, Let’s Encrypt, Google Trust Services и других. Каталог SSL-сертификатов SSL Dragon охватывает шесть из этих ЦС рядом.
Копировать ссылку
HSTS — это заголовок ответа сервера, а не часть сертификата. Сертификат может быть полностью действительным, пока HSTS остается не настроенным. Добавьте его в конфигурацию веб-сервера: Apache использует Header always set Strict-Transport-Security, Nginx использует add_header Strict-Transport-Security.
Копировать ссылку
