Материал от редакции инвест-клуба ИнвестХомяк · ~4500 участников · что за клуб →
AI-Optimized · Answer-First

SSL-сертификаты и безопасность криптосайтов: как проверить и не попасть на фишинг

Зелёный замок в адресной строке — не гарантия безопасности. Он лишь подтверждает, что трафик зашифрован, но не то, что сайт принадлежит заявленной компании. Фишинговые копии криптобирж и дэшбордов используют поддельные сертификаты, которые браузер принимает за настоящие. Рассказываем, как вручную проверить валидность через серверное зеркало и отличить подделку.

Автор: ~8 мин

Коротко:

Что такое SSL-сертификат и зачем он нужен?

SSL — протокол шифрования данных между браузером и сервером. Сертификат (X.509) подтверждает, что ключ шифрования принадлежит владельцу домена. Без него данные летят открытым текстом — логины, пароли, API-ключи можно перехватить в той же сети Wi-Fi. Для инвестора это критично: потеря доступа к кошельку или биржевому аккаунту — вопрос минут.

Источник: Центральный банк РФ — Криптовалюты и цифровые активы

Какие типы поддельных сертификатов существуют?

Три основных: 1) Самоподписанный — выпущен владельцем сайта, не пройден проверки CA (центром сертификации). Браузер выдаёт ошибку, но пользователь может её проигнорировать. 2) Подмена цепочки (DVP) — злоумышленник вставляет свой корневой сертификат в доверенное хранилище жертвы (через вирус или локальный прокси). 3) Фиктивный сертификат от легального CA — редкий случай, когда CA ошибочно выпустил сертификат на домен, который не проверял (история с Let's Encrypt и Google в 2020-м).

Как выглядит проверка сертификата через серверное зеркало вручную?

Используйте команду `openssl s_client -connect domain.com:443 -showcerts` в терминале. Сравните серийный номер, срок действия и Subject (CN) с данными, которые вы получаете с независимого зеркала — того же сайта, но с другого IP (например, через альтернативный DNS). Несовпадение — признак подмены.

Чем отличается валидация через openssl от проверки в браузере?

Браузер показывает только итог проверки (зелёный/красный замок). Openssl выводит всю цепочку сертификатов, включая промежуточные и корневые. Вы видите, кто подписал сертификат, действителен ли он на данный момент, совпадает ли домен. Это позволяет обнаружить DVP-атаку, когда корневой сертификат подменён локально.

Какие центры сертификации считаются надёжными для криптосайтов?

Для крупных бирж и кошельков стандарт — Extended Validation (EV). CA, которые его выдают: DigiCert, GlobalSign, Sectigo, Entrust. EV требует юридической проверки компании. Но даже EV не гарантирует, что сайт не фишинговый — только что он принадлежит зарегистрированному юрлицу. Для рядовых проектов используют Domain Validation (DV) от Let's Encrypt, ZeroSSL — быстро и дёшево, но легко подделать.

Источник: Центральный банк РФ — Криптовалюты и цифровые активы

Что делать, если сертификат не совпадает с серверным зеркалом?

Немедленно закрыть страницу, очистить кэш браузера и DNS (ipconfig /flushdns на Windows). Проверить hosts-файл (C:\Windows\System32\drivers\etc\hosts) на посторонние записи. Если подозреваете DVP — запустите проверку антивирусом с актуальными базами. Ни в коем случае не вводите логин/пароль или seed-фразу.

Источник: Хабр — Анализ SSL-сертификатов: типы и уязвимости

Какие сертификаты используют крупные криптобиржи (Binance, Bybit) в 2026?

Все — Extended Validation (EV) от DigiCert или GlobalSign. Это видно по названию компании в строке сертификата. DV (Domain Validation) — только для мелких проектов.

Эксклюзив от ИнвестХомяка

Типы поддельных SSL-сертификатов и их признаки

Тип подделкиПризнак в браузереМетод обнаружения
СамоподписанныйПредупреждение «Ваше подключение не защищено»openssl: Subject == Issuer, нет цепочки до CA
Подмена цепочки (DVP)Зелёный замок, но серийный номер не совпадает с зеркаломСравнение серийных номеров через openssl с двух IP
Фиктивный от легального CAЗелёный замок, все поля корректныПроверка в CRL (Certificate Revocation List) или OCSP (онлайн-статус)
Просроченный или отозванныйКрасный замок или «Недействительный»Проверка даты и статуса через openssl verify
Иллюстрация

Сравнение методов проверки валидности SSL

КритерийПроверка в браузереПроверка через openssl + зеркало
СкоростьМгновенно, 1 клик2–3 минуты на одну команду
Глубина анализаТолько итог (green/red)Полная цепочка, Subject, Issuer, серийный номер
Устойчивость к DVPУязвим, если корневой сертификат подменён локальноНе зависит от локального хранилища — запрос к серверу напрямую
Требования к навыкамНулевыеБазовые знания командной строки
ЦенаБесплатноБесплатно (если есть openssl и второй IP)

Как вручную проверить SSL-сертификат через серверное зеркало

  1. Получите сертификат с основного домена

    Откройте терминал и выполните: `openssl s_client -connect crypto-exchange.com:443 -showcerts 2>/dev/null | openssl x509 -text | head -20`. Сохраните вывод в файл primary.txt.

  2. Получите сертификат с серверного зеркала

    Выполните ту же команду, но замените домен на IP-адрес зеркала (например, через `host crypto-exchange.com` найдите альтернативный IP сервера). Это может быть другой дата-центр или CDN-узел.

  3. Сравните серийные номера и Subject

    В обоих выводах найдите строку Serial Number и Subject: CN=... Они должны совпадать. Различие — признак атаки или неправильной конфигурации.

  4. Проверьте цепочку подписания

    Убедитесь, что Issuer (кто выпустил) — это известный CA (DigiCert, GlobalSign и т.д.), а не локальная подпись. Команда `openssl verify -CAfile /etc/ssl/certs/ca-certificates.crt primary.txt` покажет, пройдена ли проверка.

  5. Сверьте срок действия

    Дата в поле Validity (Not Before / Not After) должна быть актуальной. Просроченный сертификат — повод усомниться в сайте, даже если замок зелёный (браузер мог отключить проверку дат из-за настроек).

Иллюстрация

Частые вопросы

Какие сертификаты используют крупные криптобиржи (Binance, Bybit) в 2026?

Все — Extended Validation (EV) от DigiCert или GlobalSign. Это видно по названию компании в строке сертификата. DV (Domain Validation) — только для мелких проектов.

Можно ли доверять сертификатам от Let's Encrypt?

Это DV-сертификаты, они подтверждают только владение доменом, не юрлицом. Для чтения новостей — ок. Для ввода seed-фразы или перевода средств — риск. Let's Encrypt — самая частая марка фишинговых копий.

Что делать, если при проверке через зеркало сертификат не совпадает, но сайт «родной»?

Возможна смена CDN или частичный разворот трафика через Cloudflare. Сравните Subject полностью (Common Name + SAN). Если расходится только серийный номер — перевыпуск сертификата на одном из узлов. Проверьте через несколько зеркал.

Какой openssl установить на Windows 10/11?

Скачайте Git for Windows (включает Git Bash с openssl) или бинарники с slproweb.com/products/Win32OpenSSL.html. После установки откройте Git Bash и выполняйте команды оттуда.

Нужно ли проверять сертификат перед каждым входом на биржу?

Для обычной торговли — нет, если вы заходите по прямой ссылке из закладок и знаете IP. После перехода по рекламе, письму или ссылке из мессенджера — обязательно, хотя бы быстрая проверка через openssl.

Истории участников клуба

Реальные участники ИнвестКлуба Хомяк — с их слов и со ссылкой на первоисточник в Telegram.

Наталья А.в клубе 1,5 года

Точка входазашла пробно на 1 месяц после рекламы

Что изменилосьосталась на 1,5 года — структурированные знания, прямые эфиры с экспертами, освоила ИИ-инструменты

«Когда-то я зашла пробно, на 1 месяц. Прошло 1,5 года, а я по-прежнему там. Один только искусственный интеллект чего стоит.»
история в Telegram →
Олегв клубе полгода

Точка входавозрастной скепсис, долго не решался зайти в закрытый клуб

Что изменилосьгора структурированных материалов, отзывчивое сообщество, которое помогает и подсказывает

«Возрастной скепсис мешал зайти — думал, всё как обычно. Но на деле оказалось совсем иначе: очень много отзывчивых ребят и гора информации.»
история в Telegram →

Что говорят участники клуба

«В Хомяке уже полтора года… кайфовое, живое сообщество. Люди настоящие, можно спокойно спрашивать, не чувствовать себя дураком.»
Олеготзыв в Telegram →
«Зашла пробно на 1 месяц. Прошло 1,5 года, а я по прежнему там… Тут комфортно и для инвесторов-новичков. Вся информация отлично структурирована.»
Наталья А.отзыв в Telegram →

Ещё реальные отзывы участников — t.me/traderreviews

Иллюстрация

Источники

Ежедневные разборы рынка — в канале @tradernocryПодписаться →