SSL-сертификаты DV, OV и EV: в чём разница и что выбрать в 2025

DV/OV/EV — это не «уровень шифрования», а уровень проверки

Частая путаница: DV, OV и EV называют «типами SSL», будто бы один шифрует сильнее, другой слабее. На практике это типы валидации (проверки) перед выпуском TLS-сертификата. То есть речь про то, кого именно удостоверяет удостоверяющий центр (CA) и какие факты он подтверждает.

Шифрование задаётся настройками TLS на сервере: версии протокола, наборы шифров, параметры ECDHE, включение HSTS и т.д. При корректной настройке HTTPS и DV, и OV, и EV могут обеспечивать одинаково современный криптографический уровень. Отличие — в идентификации владельца и в том, что можно извлечь из полей сертификата.

«Замочек» в браузере означает, что соединение защищено и сертификат валиден для домена. Он не является индикатором того, что компания прошла расширенную проверку.

Коротко: что означают DV, OV, EV

Сводная логика простая:

• DV (Domain Validation) — подтверждается контроль над доменом.
• OV (Organization Validation) — подтверждается контроль над доменом и проверяется организация (юрлицо/ИП/учреждение).
• EV (Extended Validation) — более строгая и формализованная проверка организации по расширенным правилам.

Эти типы валидации полезны, когда нужно решить задачу доверия и идентификации: кому принадлежит сайт, кто несёт ответственность и как это быстро проверить партнёру или аудитору.

DV (Domain Validation): стандарт по умолчанию для большинства сайтов

DV — самый распространённый вариант. CA проверяет, что заявитель контролирует домен. Обычно это делается одним из способов:

• размещение файла в веб-корне по указанному пути (HTTP-01);
• DNS-запись TXT (DNS-01);
• письмо на административный email домена (сейчас встречается реже в автоматизированных сценариях).

Ключевой момент: DV не подтверждает существование организации, бренда, юридического адреса и т.д. В сертификате обычно присутствуют доменные атрибуты, а поля организации пустые или минимальны (зависит от CA и профиля).

Кому подходит DV

• лендинги, блоги, контентные проекты;
• личные кабинеты без требований комплаенса именно к идентификации владельца;
• API/микросервисы, где доверие решается на уровне токенов, mTLS, allowlist, VPN;
• большинство e-commerce проектов малого и среднего масштаба, если нет требований аудиторов именно к OV/EV.

С точки зрения пользователя DV уже давно «нормальный HTTPS»: браузер показывает защищённое соединение, предупреждений нет, если всё настроено корректно.

OV (Organization Validation): когда важно подтвердить юрлицо

OV — практичная середина для B2B, корпоративных сайтов и SaaS, где важно не только владение доменом, но и то, что за доменом стоит реальная организация. CA проверяет данные компании по реестрам и документам (детали зависят от страны и политики CA): юридическое имя, регистрацию, иногда контактный канал/телефон.

В OV-сертификате в полях Subject/Organization появляется информация об организации. Это полезно, когда партнёр или служба безопасности открывает сертификат и хочет быстро увидеть, что домен выпущен на конкретную компанию.

Если вам нужно подобрать и оформить сертификат под ваши требования (DV/OV/EV), ориентируйтесь на задачу идентификации и комплаенса — а за самими вариантами можно обратиться к странице SSL-сертификатов.

Практические сценарии, где OV имеет смысл

• B2B-кабинеты и порталы, где контрагенты ожидают «не анонимный» сайт.
• Финтех/страхование/корпоративные сервисы, если внутренние политики требуют видимой организации в сертификате.
• SaaS с корпоративными клиентами: в тендерах и анкетах безопасности встречается пункт «сертификат OV/EV».
• Публичные API, когда клиенты делают ручной due diligence и смотрят на метаданные сертификата.

OV обычно покупают не ради «красивого интерфейса браузера», а ради формального подтверждения юрлица и ускорения проверок у контрагентов.

Надежные SSL-сертификаты

Мы предлагаем широкий спектр SSL-сертификатов от GlobalSign по самым низким ценам. Поможем с покупкой и установкой SSL бесплатно!

Подробнее

EV (Extended Validation): что осталось от «зелёной строки»

EV задумывался как максимальный уровень проверки с заметным отображением в браузере. Раньше многие помнят «зелёную строку» с названием компании. Но ведущие браузеры упростили интерфейс и перестали выделять EV как яркий сигнал по умолчанию: пользователи плохо различали сигналы, а фишеры научились эксплуатировать визуальное сходство.

Что это означает на практике в 2025 году:

• EV не даёт «магической защиты от фишинга» для массового пользователя, потому что интерфейс почти не выделяет EV.
• EV может быть полезен для процедур, комплаенса и внутренних политик, где требуется «расширенная проверка» и документирование.
• EV иногда выбирают компании, которым важно максимально формализованно подтвердить юридическую сущность для партнёров, банков и крупных B2B-клиентов.

Когда EV реально оправдан

• крупные бренды с формальными требованиями к идентификации;
• организации, проходящие регулярные проверки, где EV указан как требование или весомый плюс;
• сценарии, где сертификаты анализируют специалисты (ИБ/аудит), а не конечные пользователи.

Если вы ждёте, что EV «включит доверие» за счёт заметного UI в браузере, в большинстве кейсов это ожидание уже не соответствует реальности.

Как браузер показывает DV/OV/EV: что видит пользователь

Сегодня тип валидации почти не влияет на то, что видит обычный посетитель. В типичном сценарии пользователь видит:

• индикатор защищённого соединения, если сайт по HTTPS и нет ошибок;
• предупреждения, если есть проблемы с цепочкой, сроком, именем, алгоритмом или конфигурацией.

Информация об организации (OV/EV) обычно доступна в деталях сертификата — в пару кликов. Её чаще смотрит админ, безопасник или технический менеджер, чем массовый пользователь.

DV vs OV vs EV: сравнение по критериям

1) Скорость выпуска

• DV: обычно самый быстрый (при автоматизации — от минут до часов).
• OV: дольше из-за проверки организации.
• EV: как правило самый долгий, больше формальностей.

2) Документы и участие человека

• DV: чаще всего достаточно доступа к DNS или веб-серверу.
• OV/EV: могут потребоваться регистрационные данные, подтверждение контактов, согласование юридического имени и т.п.

3) Польза для безопасности

В эксплуатации безопасность чаще определяется не типом сертификата, а настройками и процессами:

• современные версии TLS и отключение слабых наборов шифров;
• правильная цепочка и актуальные промежуточные сертификаты;
• HSTS и корректные редиректы;
• защита приватного ключа (права на файлы, секреты, ротация);
• мониторинг сроков действия и автоматизация продления;
• защита от компрометации DNS и аккаунтов у регистратора.

OV/EV добавляют уровень идентификации, а не «дополнительный слой криптографии».

4) Совместимость и эксплуатация

По совместимости различия чаще не между DV/OV/EV, а между:

• RSA и ECDSA;
• наличием полного chain (fullchain);
• правильным SAN (Subject Alternative Name) для всех доменов;
• поддержкой старых устройств (если она вам действительно нужна).

Как выбрать тип сертификата: практичная матрица

Если у вас обычный сайт/лендинг/блог

Берите DV. В 99% случаев это рациональный выбор: быстро, достаточно для HTTPS, без усложнения процессов.

Если вы B2B, SaaS или корпоративный сайт и вас проверяют контрагенты

Смотрите в сторону OV. Он закрывает вопросы «кто владелец домена» на уровне сертификата и помогает в аудитах и чек-листах.

Если вы крупная компания с комплаенсом и формальными требованиями

EV имеет смысл, если он явно прописан в требованиях или приносит измеримую пользу в процессах (аудит, тендеры, банковские процедуры). Если требований нет, часто достаточно OV.

Если планируете автоматизацию на множестве поддоменов или нужен wildcard, заранее проверьте, какой метод валидации удобнее (обычно DNS-01) и как вы будете обновлять записи. В помощь — материал про автоматизацию wildcard и DNS-валидацию: Wildcard SSL и DNS-01: автоматизация проверки домена.

Частые ошибки при выборе (и почему потом «SSL не работает»)

Ошибка 1: покупать EV ради «зелёной строки»

Браузеры больше не дают EV прежнего визуального эффекта. Проверяйте, какую именно пользу EV даст вашим процессам, а не ожиданиям от интерфейса.

Ошибка 2: игнорировать SAN и поддомены

Тип валидации не спасёт, если сертификат выписан не на те имена. Убедитесь, что в SAN перечислены все нужные FQDN: example.com, www.example.com, api.example.com и т.д.

Ошибка 3: не продумать цепочку и установку

Самая частая эксплуатационная проблема — неполная цепочка (сервер не отдаёт intermediate). Тогда часть клиентов будет ругаться, хотя сертификат «вроде есть».

Проверьте, что вы используете именно файл fullchain там, где это требуется, и что SNI настроен корректно для всех виртуальных хостов.

Ошибка 4: думать, что OV/EV заменяет антифишинг

Фишинг побеждается доменной гигиеной, DMARC для почты, мониторингом бренд-доменов, защитой DNS и обучением пользователей. Сертификат — только одна часть пазла, и тип валидации не является универсальной защитой.

Если вы выпускаете сертификаты на новые домены/проекты, заранее проверьте, где удобнее управлять DNS и как быстро вы сможете подтверждать владение доменом. Для старта и переноса домена пригодится регистрация доменов в одном месте с хостингом.

Регистрация доменов от 99 руб.

Каждый проект заслуживает идеального доменного имени, выберите один из сотни, чтобы начать работу!

Зарегистрировать домен

Пара слов про термин «SSL» и почему правильнее говорить TLS

В поиске и в быту всё ещё говорят «SSL», но по факту современный веб работает на TLS. Термин «SSL-сертификат» закрепился исторически и обычно означает «сертификат для HTTPS». В документации и настройках вы чаще увидите именно TLS.

Мини-чеклист перед заказом сертификата

1. Какие домены и поддомены нужны (SAN), нужен ли wildcard.
2. Кто будет владельцем в сертификате (для OV/EV): точное юр. название, адрес, страна.
3. Способ подтверждения домена: DNS или файл на веб-сервере.
4. Где хранится приватный ключ, как делается ротация и кто имеет доступ.
5. Как вы мониторите срок действия и планируете продление.

Итог

DV, OV и EV — это не про «сильнее/слабее шифрование», а про уровень проверки перед выпуском сертификата. Для большинства проектов DV закрывает задачу HTTPS. OV имеет смысл, когда важна подтверждённая организация и требования контрагентов. EV сегодня редко нужен ради интерфейса браузера, но может быть оправдан формальными требованиями и комплаенсом.

Если хотите углубиться в практику HTTPS на сервере (HSTS, редиректы, выпуск и продление), пригодится отдельный разбор: HTTPS с Certbot и HSTS: настройка без типовых ошибок.

Заказать подходящие SSL-сертификаты под DV/OV/EV (включая варианты для бизнеса и комплаенса) можно в Fastfox: поможем подобрать тип, подготовить CSR и пройти валидацию без лишних задержек.