Як перевірити безпеку сайту: SSL сертифікати і HTTPS
Що таке SSL/TLS сертифікат, як перевірити сертифікат сайту в браузері, що означають різні типи сертифікатів і як розпізнати підробку.
Замочок у браузері — не гарантія безпеки. Фішинг сайти теж мають HTTPS. Ось що реально означають SSL сертифікати і як правильно їх перевіряти.
Що таке SSL/TLS сертифікат
SSL/TLS — протокол шифрування що захищає передачу даних між браузером і сервером. Сертифікат підтверджує що:
- З'єднання зашифроване (ніхто не підслухує)
- Сайт — саме той за кого себе видає (якщо перевірений правильно)
HTTPS = HTTP + TLS шифрування. Замочок = з'єднання зашифроване, але не обов'язково сайт легітимний.
Три типи сертифікатів
DV (Domain Validated) — базовий
- Підтверджує тільки що власник контролює домен
- Видається автоматично за хвилини
- Є у будь-якого сайту включно з фішинг сайтами
- Замочок без додаткових значків
OV (Organization Validated) — середній
- Центр сертифікації перевірив що організація існує
- Займає кілька днів
- Клікни на замочок → побачиш назву організації в деталях сертифіката
EV (Extended Validation) — розширений
- Найсуворіша перевірка організації
- Раніше показував зелену адресну панель з назвою компанії
- Зараз браузери прибрали зелену панель — перевіряй через деталі сертифіката
Як перевірити сертифікат у браузері
Chrome/Edge: Клікни на замочок → Підключення захищено → Відомості про сертифікат
Перевір:
- Ким видано (Issued to): має бути домен або назва компанії
- Видавець (Issued by): відомий CA (Let's Encrypt, DigiCert, Comodo, GlobalSign)
- Дійсний до: не прострочений
- Ланцюжок сертифікатів: без помилок
Firefox: Клікни на замочок → Детальніше → Переглянути сертифікат
Попередження браузера — що вони означають
| Попередження | Причина | Що робити |
|---|---|---|
| "З'єднання не захищено" | Немає HTTPS | Не вводь дані, пошукай HTTPS версію |
| "Сертифікат прострочений" | Власник не оновив | Краще не заходити |
| "Сертифікат від ненадійного центру" | Самопідписаний або невідомий CA | Небезпечно для публічних сайтів |
| "Ім'я не збігається" | Сертифікат для іншого домену | Можлива атака або помилка конфігурації |
Перевірити сертифікат через PowerShell
# Перевірити SSL сертифікат сайту
$url = "https://google.com"
$request = [System.Net.HttpWebRequest]::Create($url)
$request.GetResponse() | Out-Null
$cert = $request.ServicePoint.Certificate
Write-Output "Сайт: $url"
Write-Output "Видано: $($cert.Subject)"
Write-Output "Видавець: $($cert.Issuer)"
Write-Output "Дійсний з: $($cert.GetEffectiveDateString())"
Write-Output "Дійсний до: $($cert.GetExpirationDateString())"
Перевірити через CMD (openssl або certutil)
rem Перевірити сертифікат через certutil
certutil -verify -urlfetch C:\cert.cer
rem Завантажити сертифікат сайту
powershell -Command "$c=[System.Net.ServicePointManager]; [System.Net.HttpWebRequest]::Create('https://example.com').GetResponse(); [System.Net.ServicePointManager]::ServerCertificateValidationCallback"
Ознаки підозрілого сертифіката
- Домен у сертифікаті не збігається з адресою сайту
- Сертифікат видано невідомим або підозрілим CA
- Дата видачі — кілька днів тому (новий сайт підозрілий для банків/магазинів)
- Сертифікат типу DV для сайту що просить дані картки (легітимні магазини мають OV або EV)
Онлайн перевірка SSL
- ssllabs.com/ssltest — повний аналіз SSL конфігурації сервера
- whynopadlock.com — чому не показує замочок
- crt.sh — пошук всіх сертифікатів для домену (корисно для виявлення фейків)
Підсумок
Замочок = шифрування, але не гарантія легітимності. Для важливих сайтів (банк, магазин) — клікни на замочок і перевір назву організації в сертифікаті. Попередження браузера — не ігноруй, особливо "ім'я не збігається" і "ненадійний центр". Перевір домен — фішинг сайти часто мають сертифікат для іншого але схожого домену.
🛡️ Перевір безпеку свого ПК
Хочеш знати чи немає витоків даних, зайвих служб або підозрілих програм на твоєму ПК?
→ AuditShield — аудит Windows по 22 напрямках за 10 хвилин. HTML-звіт з оцінкою ризику. Є безкоштовне демо.