Открыть сервис

Domain Validation

Domain Validation (DV, валидация домена) — это один из трёх основных типов проверки при выдаче SSL/TLS-сертификата, при котором удостоверяющий центр (УЦ) подтверждает только право заявителя управлять определённым доменным именем. DV-сертификаты являются самым простым, быстрым и дешёвым способом включения HTTPS-шифрования на веб-сайте, не требующим проверки юридического статуса организации или личности владельца.

Процесс валидации

Процедура Domain Validation автоматизирована и занимает от нескольких минут до нескольких часов. УЦ проверяет контроль над доменом одним из следующих способов:

  • По электронной почте: УЦ отправляет письмо с кодом подтверждения на один из стандартных административных адресов домена (например, admin@, webmaster@, postmaster@, hostmaster@). Владелец должен перейти по ссылке или ввести код.
  • DNS-запись: Заявитель создаёт уникальную TXT-запись в DNS-зоне домена. УЦ проверяет её наличие.
  • HTTP-файл: На сервере размещается файл со специальным содержимым по известному пути (например, http://domain/.well-known/pki-validation/`). УЦ запрашивает этот файл.
  • CNAME-запись: УЦ может запросить создание CNAME-записи, указывающей на сервер УЦ, что также подтверждает контроль.

Никакие документы, подтверждающие юридический статус или личность, не требуются. После успешной проверки сертификат выдаётся автоматически.

Отличия от других типов сертификатов

Domain Validation — низший уровень проверки среди трёх типов сертификатов X.509:

  • DV (Domain Validation): Подтверждает только домен. Не содержит информации о владельце. Выдаётся автоматически.
  • OV (Organization Validation): Подтверждает домен и организацию. УЦ проверяет регистрационные данные компании (например, выписку из ЕГРЮЛ). В сертификате отображается название организации.
  • EV (Extended Validation): Самый строгий тип. Подтверждает домен, организацию и её юридический статус. В браузере отображается зелёная строка адреса или название организации. Требует ручной проверки документов.

DV-сертификаты не отображают название организации в строке браузера, что снижает доверие пользователей, но достаточно для базового шифрования.

Применение

DV-сертификаты используются в сценариях, где не требуется подтверждение юридического статуса:

  • Личные блоги и сайты: Для шифрования трафика без раскрытия личности владельца.
  • Небольшие интернет-магазины: Для защиты данных клиентов при передаче (например, при оформлении заказа).
  • API и поддомены: Для защиты внутренних или публичных API, где не требуется идентификация организации.
  • Тестовые и staging-среды: Для быстрой настройки HTTPS на временных серверах.
  • Сайты с низким уровнем доверия: Например, форумы, сайты-визитки, информационные порталы.

Преимущества и недостатки

Преимущества:

  • Быстрота: Выдача занимает минуты, не требует ожидания проверки документов.
  • Низкая стоимость: Часто бесплатно (например, Let’s Encrypt) или значительно дешевле OV/EV.
  • Автоматизация: Полностью автоматизированный процесс, легко интегрируется с системами управления сертификатами (например, ACME-протокол).
  • Поддержка: Работает во всех современных браузерах и операционных системах.

Недостатки:

  • Отсутствие идентификации: Пользователь не видит, кому принадлежит сайт, что повышает риск фишинга (злоумышленник может получить DV-сертификат на подставной домен).
  • Низкий уровень доверия: Для коммерческих сайтов, банков, государственных учреждений DV-сертификаты не рекомендуются, так как не подтверждают юридическую личность.
  • Ограниченная поддержка: Некоторые старые браузеры или мобильные устройства могут не доверять DV-сертификатам от некоторых УЦ.

Удостоверяющие центры

DV-сертификаты выпускаются многими УЦ. Наиболее известные:

  • Let’s Encrypt: Бесплатный, автоматизированный, некоммерческий УЦ. Выпускает только DV-сертификаты. Широко используется для малых и средних сайтов.
  • Comodo (Sectigo): Крупный коммерческий УЦ, предлагает DV-сертификаты за плату.
  • DigiCert: Премиум-класс, выпускает DV-сертификаты, но чаще используется для OV/EV.
  • GlobalSign: Предлагает DV-сертификаты для базового шифрования.
  • GoDaddy: Популярный регистратор доменов, выпускает DV-сертификаты.

Безопасность и критика

Domain Validation критикуется за уязвимость к фишингу. Злоумышленник может зарегистрировать домен, похожий на легитимный (например, g00gle.com), получить DV-сертификат и разместить на нём поддельную страницу входа. Браузер покажет значок замка, что создаёт ложное чувство безопасности у пользователя.

В 2020 году исследователи выявили, что некоторые УЦ выдают DV-сертификаты на домены, содержащие символы, визуально неотличимые от латиницы (омоглифы), что используется для фишинга. В ответ на это CA/Browser Forum (организация, устанавливающая стандарты для SSL-сертификатов) ввёл правила, запрещающие выдачу сертификатов на домены, содержащие смешанные наборы символов.

Правовой статус в России

В Российской Федерации деятельность по выпуску SSL-сертификатов регулируется Федеральным законом «Об информации, информационных технологиях и о защите информации». УЦ, аккредитованные Минцифры России, могут выпускать сертификаты, соответствующие требованиям российского законодательства. Однако DV-сертификаты от иностранных УЦ (например, Let’s Encrypt) не имеют юридической силы в России, но технически продолжают работать. В 2022 году в связи с санкциями некоторые иностранные УЦ прекратили выдачу сертификатов российским пользователям, что привело к росту популярности российских УЦ (например, Национальный УЦ, «КриптоПро»).

История

Domain Validation появился в начале 2000-х годов как упрощённая альтернатива OV-сертификатам. Первоначально УЦ требовали ручной проверки, но с развитием автоматизации процесс стал полностью автоматическим. В 2015 году Let’s Encrypt запустил бесплатный DV-сертификат, что привело к массовому внедрению HTTPS на миллионах сайтов. К 2023 году DV-сертификаты составляют более 90% всех выпускаемых SSL-сертификатов.

Источники

  1. CA/Browser Forum. «Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates».
  2. Let’s Encrypt. «How It Works» (официальная документация).
  3. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
  4. RFC 5280 — Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile.
  5. Исследование «Domain Validation: The Weakest Link in SSL/TLS» (2020, Университет Карнеги — Меллон).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →