Бесплатный сертификат


Клиенты FirstVDS с панелью ISPmanager на виртуальном сервере могут устанавливать бесплатные сертификаты Let’s Encrypt для любого количества сайтов. Let’s Encrypt представляет собой обычный SSL-сертификат с проверкой домена (DV), который выдается на неограниченный срок.

  • Как установить сертификат?
  • Для чего подходит?
  • Какие типы проверки имеются?
  • Как быстро выпускается?
  • Сколько действует сертификат?
  • Будет ли сертификат определяться браузерами как доверенный?
  • Можно ли использовать в коммерческих целях?
  • Поддерживаются ли национальные домены (IDN)?
  • Поддерживаются ли поддомены (wildcard)?
  • Поддерживается ли мультидомен (SAN)?
  • Как настроить автоматический редирект на HTTPS
  • Ссылки на дополнительные материалы

Как установить сертификат?

1. Зайдите в панель ISPmanager с правами супер-пользователя (root).

Бесплатный сертификат

2. Перейдите в раздел Интеграция


Модули, установите бесплатный плагин Let’s Encrypt

Бесплатный сертификат

3. Перейдите в Настройки web-сервераSSL-сертификаты, выберите Let’s Encrypt

Бесплатный сертификат

4. Выберите пользователя и домен, на который хотите установить сертификат. Домен должен быть делегирован, т.е. по нему должен открываться сайт — иначе сертификат не будет выдан. Заполните остальную форму.

Бесплатный сертификат

5. Сертификат автоматически установится на сайт с выбранным доменом. Сначала на сайт устанавливается самоподписанный сертификат, который после завершения процесса заменяется полноценным. Дождитесь выпуска сертификата — тип должен смениться на «Существующий».

Бесплатный сертификат

6. Готово! Ваш сайт защищен подписанным сертификатом Let’s Encrypt — в адресной строке должен быть зеленый замок. Сертификат действует бессрочно.

Бесплатный сертификат

Для чего подходит?


Сертификаты Let’s Encrypt подходят для защиты веб-сайтов. Сертификат не получится использовать для подписи кода и шифрования email.

Какие типы проверки выполняются?

Только проверка домена (DV, domain validation). Поддержка проверок OV и EV отсутствует и не планируется.

Как быстро выпускается?

Сертификат Let’s Encrypt выпускается и начинает работать в течение нескольких минут. Главное условие — домен, к которому привязывается сертификат, должен быть делегирован. Проверить просто: напишите доменное имя сайта в адресной строке браузера и нажмите Enter. Если вы увидите свой сайт, то всё в порядке — можно приступать к получению сертификата.

Сколько действует сертификат?

Вечно, при наличии на сервере панели управления ISPmanager. При отсутствии панели сертификат продляться не будет! Почему так? Сертификаты Let’s Encrypt выпускаются на 3 месяца. Плагин ISPmanager обновляет сертификат автоматически за 7 дней до окончания очередного срока. Если удалить панель, то при окончании очередных 3-х месяцев сертификат не обновится и перестанет определяться браузерами — появится перечеркнутый значок HTTPS и предупреждение о небезопасном подключении. В этом случае обновлять сертификат придется вручную каждые 3 месяца, либо самостоятельно настроить авто-обновление с помощью стороннего ПО.

Будет ли сертификат определяться браузерами как доверенный?


Да, будет. Поддерживается большинство современных браузеров. Детальную информацию о совместимости можно найти на официальном форуме поддержки.

Можно ли использовать в коммерческих целях?

Да, можно. Именно для таких целей сертификат и создавался.

Поддерживаются ли национальные домены (IDN)?

Сертификаты Let’s Encrypt поддерживают IDN — доменные имена с использованием символов национальных алфавитов. Вы можете использовать сертификат для кириллических доменов вида мойсайт.рф.

Поддерживаются ли поддомены (wildcard)?

Сертификаты Let’s Encrypt поддерживают wildcard. Проверяются такие сертификаты только через DNS-записи.

Поддерживается ли мультидомен (SAN)?

Нет. Сам сертификат поддерживает SAN до 100 разных доменов, но автоматизированный процесс привязки в панели исключает использование этой возможности. Каждый домен придется настраивать отдельно.

Как настроить автоматический редирект на HTTPS?

Даже если на сайте установлен сертификат, посетитель может набрать в браузере адрес через http://...


, либо перейти по старой ссылке в поисковой системе. В этом случае его подключение не будет безопасным, и он не узнает, что сайт использует SSL-сертификат для шифрования передаваемых данных. Чтобы все запросы посетителей сайта шифровались сертификатом, необходимо настроить редирект HTTPHTTPS.

Редирект на связке Apache+Nginx

1. В панели управления ISPmanager перейдите в ДоменыWWW-домены, выберите домен с сертификатом и нажмите Изменить.

Бесплатный сертификат

2. В настройках установите галочку Перенаправлять HTTP-запросы в HTTPS и примените изменения.

Бесплатный сертификат

3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.

Редирект на чистом Apache

 

1. В панели управления ISPmanager перейдите в ДоменыWWW-домены, выберите домен с сертификатом и нажмите Конфиг.

Бесплатный сертификат

2. В конце первого блока VirtualHost (перед первой строкой </VirtualHost>) добавьте код:

 RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}  

Бесплатный сертификат

3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.

firstvds.ru

Бесплатный сертификат SSL для своего сайта вполне реально можно получить, немного порыскав по интернету в поисках халявы.

Прежде всего рекомендую обратить внимание на предложения от хостеров – они первые в предвкушении дополнительного бабла начали предлагать своим покупателям скидки, акции и просто бесплатные SSL сертификаты в качестве бонуса.

Если у вас еще нет хостинга или домена, то читайте тут каких хостеров я рекомендую.

Ведь многие популярные хостеры предлагают SSL сертификаты для сайтов вообще бесплатно, например, на год – как популярный хостер Reg.ru.

сертификат SSL бесплатно от Reg.ru

Для этого достаточно заказать у них любой хостинг или просто домен и вы получаете бесплатный SSL на год, а дальше уже придется оплачивать это удовольствие постоянно.


Понятно, что из большего это замануха, но мало ли, через год вы еще где-то раздобудете другой халявный SSL сертификат, и так и будете кочевать, используя все преимущества шифрованного соединения бесплатно.

Кстати, если вы решили купить или раздобыть бесплатный SSL сертификат, испугавшись релиза от Google, то почитайте его внимательнее, может вас это и не касается вовсе.

Помимо хостеров халявные SSL раздают крупные международные IT-компании, например:

StartSSL
https://www.startssl.com/
Рекомендуется большинством админов, сайт на русском языке.

WoSing
https://buy.wosign.com/free/?lan=en
Крупная китайская компания, бесплатные сертификаты до 3 лет.

Mozilla
https://letsencrypt.org/getting-started/
Совместный проекты Мозиллы и кучи всяких IT-компаний заявляет о предоставлении бесплатных сертификатов SSL всем желающим.

Более подробно в технические моменты вы можете погрузиться, почитав такие статьи как https://habrahabr.ru/post/252529/ или https://geektimes.ru/post/241630/

Кому не хочется заниматься настройками SSL самому – проще всего заказать эту услугу на любой фриланс-бирже, например, на Weblancer.net. Обычно это стоит дешевле, чем покупать сертификат у хостера.

Естественно, вам должны не только установить сам сертификат, но и сделать все редиректы с http на https.


Не забудьте только проверить работу программистов, хотя бы вот тут:
https://www.sslshopper.com/ssl-checker.html

По мере интереса к теме SSL сертифицирования со стороны рядовых владельцев сайтов статья будет дополняться материалами.

А может все-таки купить SSL? Ведь за бесплатный SSL никто и ответственности не несет, если вдруг что..

Если так и не нашли бесплатный SSL или нет времени возиться со всем этим, то вот тут http://yutex.ru/sslunlim.html предлагают бессрочный сертификат за вообще гуманные деньги. Оплатил один раз и забыл :smile: Плюс есть купон на скидку 87846192 (дает скидку на 5%).

Если  у вас свои соображения и наработки, где взять стабильный бесплатный SSL сертификат, пишите в комментариях буду вам признателен, так как сам начинаю присматривать себе аккуратный, проверенный, стабильный и, конечно, по возможности бесплатный сертификат для блога уже купил в Firstssl, спасибо за подсказку! :smile:

moytop.com

Шаг 0. Подготовка

Перед тем, как приступить к работе, вам нужно убедиться в нескольких вещах.

У вас должен быть установлен сервер на Ubuntu 16.04, и создан пользователь (не root), для которого настроены sudo


привилегии. Узнать, как это сделать, вы можете, следуя руководству по первичной настройке сервера на Ubuntu 16.04.

Вы должны быть владельцем доменного имени, для которого планируется использовать сертификат, или иметь доступ к его настройке. Если у вас нет зарегистрированного доменного имени, вы можете сделать это, используя один из регистраторов (например, Namecheap или GoDaddy).

После регистрации домена убедитесь, что создана запись A, которая связывает ваш домен и публичный IP-адрес вашего сервера. Это необходимо, потому что Let’s Encrypt проверяет, что вы являетесь владельцем домена, на который выдаётся сертификат. Например, если вы хотите получить сертификат для example.com, такое доменное имя должно указывать на ваш сервер, чтобы проверка прошла. Мы будем использовать доменные имена example.com и www.example.com, поэтому необходимы DNS-записи для обоих доменов.

Если все требования выполнены, приступаем к установке Certbot — клиента Let’s Encrypt.

Шаг 1. Устанавливаем Certbot

Первым шагом на пути к получению SSL-сертификата является установка клиента Certbot на ваш сервер. Разработчики Certbot поддерживают собственный репозиторий с актуальной версией программного обеспечения. Поскольку Certbot находится в стадии активной разработки, для установки свежей версии стоит использовать именно этот репозиторий.

Для начала добавьте репозиторий:

sudo add-apt-repository ppa:certbot/certbot  

Нажмите ENTER для подтверждения. После этого необходимо обновить пакеты:

sudo apt-get update

По завершении установите Certbot, используя команду apt-get:

sudo apt-get install certbot

Теперь Certbot готов к использованию.

Шаг 2. Получаем SSL-сертификат

Certbot предоставляет несколько способов получения SSL-сертификатов при помощи разных плагинов. В отличие от плагина для Apache, который описан в другом руководстве, большинство плагинов помогут вам только получить сертификат, который придётся настроить на вашем сервере вручную. Плагины, которые позволяют только получать сертификаты и не устанавливают их, называются «аутентификаторами», так как они используются для подтверждения подлинности сервера, которому сертификат выдаётся.

Давайте разберёмся, как использовать плагин Webroot для получения SSL-сертификата.

Использование плагина Webroot

Алгоритм работы Webroot включает в себя создание специального файла в директории /.well-known. Она размещается в корневом каталоге веб-сервера (document root) и может быть открыта сервисом Let’s Encrypt для проверки. В зависимости от ваших настроек, вам может понадобиться явно разрешить доступ к папке /.well-known


.

Если вы ещё не установили Nginx, сделайте это, следуя руководству по установке Nginx на Ubuntu 16.04.

Чтобы убедиться в том, что папка доступна сервису Let’s Encrypt, внесем небольшие изменения в конфигурацию Nginx. По умолчанию файл конфигурации находится в папке /etc/nginx/sites-available/default. Мы будем использовать редактор Nano для внесения изменений:

sudo nano /etc/nginx/sites-available/default

Внутри блока server добавьте такой блок location:

# Добавить в SSL-блок server  location ~ /.well-known {  allow all; }

Вам также стоит посмотреть, где расположен корневой каталог веб-сервера (document root), так как этот путь необходим при работе с Webroot. Если вы используете стандартный файл конфигурации, она будет расположена в /var/www/html.

Сохраните и закройте файл.

Проверьте вашу конфигурацию на синтаксические ошибки:

sudo nginx -t

Если ошибок нет, перезапустите Nginx, используя эту команду:

sudo systemctl restart nginx

Теперь, когда мы знаем webroot-path, можно выполнить запрос на получение SSL-сертификата. При помощи ключа -d указываются доменные имена. Если вы хотите использовать единый сертификат для нескольких доменных имен (например, example.com и www.example.com), не забудьте добавить их все. Также убедитесь, что вы заменили значения webroot-path и доменные имена на соответствующие вашим:

sudo certbot certonly --webroot --webroot-path=/var/www/html -d example.com -d www.example.com

Если это первый запуск Certbot, вам будет предложено ввести адрес электронной почты и подтвердить согласие с правилами использования сервиса. После этого вы увидите сообщение об успешном завершении и путь, куда были сохранены ваши сертификаты:

# Пример сообщения  IMPORTANT NOTES:  — Congratulations! Your certificate and chain have been saved at  /etc/letsencrypt/live/example.com/fullchain.pem. Your cert will expire  on 2017-07-26. To obtain a new or tweaked version of this certificate  in the future, simply run certbot again. To non-interactively renew *all*  of your certificates, run "certbot renew"  — If you lose your account credentials, you can recover through e-mails  sent to sammy@example.com.  — Your account credentials have been saved in your Certbot configuration  directory at /etc/letsencrypt. You should make a secure backup of  this folder now. This configuration directory will also contain  certificates and private keys obtained by Certbot so making regular  backups of this folder is ideal.  — If you like Certbot, please consider supporting our work by:  Donating to ISRG / Let’s Encrypt: https://letsencrypt.org/donate  Donating to EFF: https://eff.org/donate-le

Обратите внимание, что путь к сертификату и дата истечения срока его использования указаны в начале сообщения.

Примечание 1. Если в процессе вы получите ошибку вроде Failed to connect to host for DVSNI challenge, значит, вам нужно настроить файрвол вашего сервера, разрешив TCP-трафик на портах 80 и 443.

Примечание 2. Если для вашего домена используется маршрутизация через такой DNS-сервис, как CloudFlare, вам придется временно отключить её до тех пор, пока сертификат не будет получен.

Файлы сертификата

После получения сертификата у вас должны появиться следующие файлы в PEM-кодировке:

  • cert.pem — сертификат вашего доменного имени;
  • chain.pem — цепочка сертификатов Let’s Encrypt;
  • fullchain.pem — объединённые cert.pem и chain.pem;
  • privkey.pem — приватный (секретный) ключ вашего сертификата.

Важно запомнить расположение этих файлов, так как они будут использоваться в конфигурации вашего сервера. Сами файлы расположены в папке /etc/letsencrypt/archive. Однако Certbot создает симлинки на наиболее актуальные файлы сертификата в папке /etc/letsencrypt/live/ваше_доменное_имя/. Так как символьные ссылки указывают на наиболее актуальные файлы сертификата, именно этот путь лучше использовать при обращении к ним.

Вы можете проверить существование файлов, используя такую команду (подставьте ваше доменное имя):

sudo ls -l /etc/letsencrypt/live/ваше_доменное_имя/

Результатом выполнения команды должны быть указанные выше файлы сертификата. Теперь вы можете настроить ваш сервер так, чтобы fullchain.pem использовался в качестве файла сертификата, а privkey.pem в качестве ключа сертификата.

Генерация ключа по алгоритму Диффи-Хеллмана

Для повышения безопасности вам необходимо сгенерировать ключ по алгоритму Диффи-Хеллмана. Для генерации ключа длиной 2048 бит используйте такую команду:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Процесс может занять несколько минут.

Шаг 3. Настраиваем TLS/SSL на веб-сервере

Теперь, когда у вас есть SSL-сертификат, необходимо настроить веб-сервер Nginx так, чтобы он начал его использовать.

Внесем некоторые изменения в нашу конфигурацию:

  1. Создадим сниппет конфигурации, содержащий расположение нашего SSL-ключа и файлов сертификата.
  2. Создадим сниппет конфигурации, содержащий настройки устойчивого SSL, которые можно будет использовать в будущем для любого сертификата.
  3. Обновим блоки server в конфигурации Nginx, которые будут управлять SSL-запросами и использовать оба вышеуказанных сниппета.

Такой подход к настройке Nginx позволяет сохранить блоки server чистыми и сделать конфигурацию доступной для повторного использования.

Создаем сниппет конфигурации для SSL-ключа и сертификата

Сперва создадим сниппет конфигурации Nginx в папке /etc/nginx/snippets.

Для правильного распознавания назначения файла назовем его ssl-, затем укажем доменное имя и в конце поставим .conf:

sudo nano /etc/nginx/snippets/ssl-example.com.conf

В этом файле необходимо установить соответствие директивы ssl_certificate файлу сертификата и ssl_certificate_key — соответствующему ключу. В нашем случае это будет выглядеть так:

ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;

Когда добавите эти строки, сохраните и закройте файл.

Создаем сниппет конфигурации с устойчивыми настройками шифрования

Следующим шагом мы создадим другой сниппет, определяющий некоторые настройки SSL. Это позволит Nginx подключить устойчивый «набор шифров» SSL (англ. cipher suite) и некоторые дополнительные функции, которые помогут обеспечить безопасность нашего сервера.

Прим. перев. Cipher Suite — это совокупность алгоритмов, используемых в конкретной TLS/SSL-сессии:

  • алгоритм выработки сессионных ключей шифрования;
  • алгоритм, используемый для аутентификации сервера;
  • непосредственно сам симметричный алгоритм шифрования трафика;
  • и алгоритм контроля целостности (MAC, message authentication code).

Установленные нами параметры могут быть использованы повторно для конфигураций Nginx в будущем, поэтому дадим файлу стандартное название:

sudo nano /etc/nginx/snippets/ssl-params.conf

Для настройки безопасной связки Nginx-SSL мы будем использовать рекомендации сайта Cipherli.st. Он создан для предоставления быстрого доступа к готовым настройкам шифрования популярного программного обеспечения. Дополнительная информация доступна в руководстве по настройке SSL для Nginx.

Примечание. Предлагаемые стандартные настройки на сайте Cipherli.st обеспечивают устойчивую безопасность, но иногда это приводит к ухудшению совместимости. Если вам необходимо поддерживать более старые версии клиентов, используйте альтернативный список настроек, доступный при нажатии на значок «Yes, give me a ciphersuite that works with legacy/old software.» Составить такой список можно и вручную.

Для наших целей можно скопировать предлагаемые настройки целиком. Нам потребуется внести лишь некоторые изменения.

Сперва добавим DNS-резолвер. Используем для нашего руководства тот, что предлагает Google. Затем установим в качестве параметра ssl_dhparam указатель на файл ключа Диффи-Хеллмана, который мы сгенерировали ранее.

И, наконец, почитайте о протоколе HTTP Strict Transport Security, или HSTS. Он обеспечивает повышенную безопасность, но его некорректное использование может привести к серьезным последствиям. В этом руководстве мы отключим заголовочный файл по умолчанию, но вы можете не делать этого, если уверены, что понимаете последствия:

# Источники: https://cipherli.st/ # и https://raymii.org/s/tutorials/Strong_SSL_Security_On_nginx.html  ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"; ssl_ecdh_curve secp384r1; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 8.8.4.4 valid=300s; resolver_timeout 5s; # отключаем заголовочный файл HSTS # add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff;  ssl_dhparam /etc/ssl/certs/dhparam.pem;

После внесения изменений сохраните и закройте файл.

Настраиваем конфигурацию Nginx для SSL

Теперь, когда мы подготовили сниппеты, можно обновить нашу конфигурацию Nginx и подключить SSL.

В данном руководстве мы полагаем, что вы используете стандартный файл с блоками server, расположенный в папке /etc/nginx/sites-available. Если вы используете другой файл с блоками server, замените название в представленных ниже командах.

Перед тем, как двигаться дальше, давайте сделаем резервную копию нашего текущего файла с блоками server:

sudo cp /etc/nginx/sites-available/default /etc/nginx/sites-available/default.bak

Теперь откройте файл с блоками server для внесения изменений:

sudo nano /etc/nginx/sites-available/default

Внутри ваш блок server, вероятно, начинается так:

server {  listen 80 default_server;  listen [::]:80 default_server;  # Конфигурация SSL  # listen 443 ssl default_server; # listen [::]:443 ssl default_server;  . . .

Изменим текущую конфигурацию так, чтобы незашифрованные HTTP-запросы автоматически перенаправлялись на шифрованный HTTPS. Такой способ обеспечивает лучшую безопасность. Если вы хотите разрешить и HTTP-, и HTTPS-трафик, используйте альтернативную конфигурацию, представленную в следующем разделе.

Разделим конфигурацию на два отдельных блока. После первых двух директив listen добавим директиву server_name, указывающую на доменное имя вашего сервера. Затем установим перенаправление на созданный нами второй блок server. После этого закроем текущий блок:

server {  listen 80 default_server;  listen [::]:80 default_server;  server_name example.com www.example.com;  return 301 https://$server_name$request_uri; }  # Конфигурация SSL  # listen 443 ssl default_server; # listen [::]:443 ssl default_server;  . . .

Следующим шагом необходимо открыть новый блок server сразу за текущим, чтобы оставшаяся часть конфигурации попала в него. Мы можем раскомментировать обе директивы listen, использующие порт 443. К этим строкам можно добавить http2, чтобы включить HTTP/2 внутри блока. После этого нам останется подключить оба настроенных нами сниппета в файл:

Примечание. У вас может быть только одна директива listen, которая подключает модификатор default_server для каждой комбинации версии IP и порта. Если для выбранных портов у вас включены другие блоки server, для которых настроен default_server, вам придется удалить модификатор у одного из блоков.

server {   listen 80 default_server;  listen [::]:80 default_server;  server_name example.com www.example.com;  return 301 https://$server_name$request_uri; }  server {  # Конфигурация SSL  listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; include snippets/ssl-example.com.conf; include snippets/ssl-params.conf;  . . .

После внесения изменений сохраните и закройте файл.

Альтернативная конфигурация: разрешаем HTTP- и HTTPS-трафик

Если вы хотите или вынуждены разрешить и шифрованный, и нешифрованный контент, вам придётся настроить Nginx немного иначе. Так делать не стоит, но в некоторых ситуациях это может быть необходимо. По сути, мы склеим разделенные блоки server в один и уберём перенаправление:

server {  listen 80 default_server;  listen [::]:80 default_server;  listen 443 ssl http2 default_server;  listen [::]:443 ssl http2 default_server;   server_name example.com www.example.com;  include snippets/ssl-example.com.conf;  include snippets/ssl-params.conf;  . . . 

После внесения изменений сохраните и закройте файл.

Шаг 4. Настраиваем файрвол

Если у вас включен файрвол ufw, вам необходимо обновить настройки и разрешить SSL-трафик. К счастью, Nginx регистрирует несколько профилей с ufw после установки.

Вы можете посмотреть текущие настройки, введя:

sudo ufw status

Вероятно, результат будет выглядеть следующим образом, означая, что на сервере разрешён только HTTP-трафик:

Status: active  To Action From -- ------ ---- OpenSSH ALLOW Anywhere Nginx HTTP ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere(v6) Nginx HTTP(v6) ALLOW Anywhere (v6)

Чтобы разрешить HTTPS-трафик, можно включить профиль «Nginx Full» и удалить лишний профиль «Nginx HTTP»:

sudo ufw allow ’Nginx Full’ sudo ufw delete allow ’Nginx HTTP’

Теперь состояние файрвола должно выглядеть так:

sudo ufw status
Status: active  To Action From -- ------ ---- OpenSSH ALLOW Anywhere Nginx Full ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) Nginx Full (v6) ALLOW Anywhere (v6)

Шаг 5. Подключаем изменения в Nginx

Теперь, когда мы внесли изменения в конфигурацию и обновили правила файрвола, нужно перезапустить Nginx, чтобы изменения вступили в силу.

Первым делом стоит проверить и убедиться, что синтаксические ошибки в наших файлах отсутствуют. Это можно сделать, введя:

sudo nginx -t

В случае успеха ваш результат должен выглядеть следующим образом:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful

Если ваш результат совпадает с тем, что вы видите выше, значит, ваш файл конфигурации не содержит синтаксических ошибок. Для активации изменений безопасно перезапустим Nginx:

sudo systemctl restart nginx

Теперь TLS/SSL-сертификат от Let’s Encrypt на месте и файрвол разрешает трафик на портах 80 и 443. На этом этапе протестируйте работоспособность TLS/SSL-сертификата, зайдя на ваш домен в браузере по HTTPS.

Вы можете использовать инструмент Qualys SSL Labs Report, чтобы посмотреть оценку конфигурации вашего сервера:

# Наберите в браузере: https://www.ssllabs.com/ssltest/analyze.html?d=example.com

Такая настройка SSL должна показать рейтинг A+.

Шаг 6. Настраиваем автоматическое обновление

Сертификаты от Let’s Encrypt действуют только в течение 90 дней. Это побуждает пользователей к автоматизации процесса обновления. Нам понадобится создать регулярно запускающуюся команду для проверки и автоматического обновления сертификатов, срок которых истекает.

Для запуска проверки ежедневных обновлений мы будем использовать Cron — стандартный системный сервис для запуска повторяющихся задач. Задачи Cron указываются в файле под названием crontab:

sudo crontab -e

Вставьте следующую строчку в конец файла, затем сохраните и закройте его:

. . .  15 3 * * * /usr/bin/certbot renew --quiet --renew-hook "/bin/systemctl reload nginx" 

Часть строчки 15 3 * * * означает «запускай следующую команду в 3:15 ночи ежедневно». Вы можете выбрать любое время.

Команда renew для Certbot проверит все сертификаты, установленные в системе, и обновит каждый, срок использования которого истекает менее, чем через 30 дней. Ключ --quiet говорит Certbot’у ничего не выводить и не ждать ввода от пользователя. --renew-hook "/bin/systemctl reload nginx" перезагрузит Nginx, чтобы он использовал новые файлы сертификата, но только в случае, если произошло обновление.

Cron будет запускать эту команду каждый день. Все установленные сертификаты будут автоматически обновлены и подгружены, когда останется меньше 30 дней до истечения срока их действия.

tproger.ru

Самоподписанный сертификат

Начнем мы с так называемых самоподписаных сертификатов. Заключаются они в том, что администратор сайта сам выдает себе SSL-сертификат через панель управления хостингом. В принципе, этого сертификата достаточно для того, что бы передача данных осуществлялась по протоколу HTTPS.

Однако, у данного сертификата есть один очень большой минус. Дело в том, что браузеры не знают что это за сертификат, для них он является неизвестным, неподтвержденным и т.д., и когда посетитель попадает на ваш сайт, то ему высвечивается сообщение о том, что данный сертификат не подтвержден, неправильно настроен, неизвестный сертификат и тому подобное.

Для того чтобы попасть на сайт, посетителю приходится вручную добавлять исключения для данного сертификата и только после этого у него откроется ваш сайт. Естественно, это все отпугивает посетителей. Поэтому, данный вариант сразу отпадает.

Как получить бесплатно SSL сертификат для сайта?

Следующий способ получения сертификата – это воспользоваться услугами компаний предоставляющих данный сертификат бесплатно. Если вы поищете в интернете, то на различных форумах и сайтах найдете очень много упоминаний и рекомендаций о бесплатных сертификатах от компаний WoSign и StartSSL.

Однако данная информация является уже устаревшей.

Поэтому, естественно, вариант получать бесплатно SSL сертификаты у этих компаний отпадает.

Следующая компания, которая занимается бесплатной выдачей SSL сертификат это компания CAcert. Честно говоря их сайт не вызывает у меня особого доверия.

Тут ничего не понятно, ни каких гарантий не дается, о том, что эти сертификаты являются безопасными. К тому же мой браузер ругался на какой то зашифрованный трафик и предлагал его блокировать.

Поэтому я думаю, что все-таки не стоит отдавать свое предпочтение данной компании.

Получить бесплатно SSL сертификат от Let’s Encrypt

Следующая организация, занимающаяся выдачей бесплатных сертификатов, называется Let’s Encrypt.

В принципе, на сегодняшний день это довольно таки не плохой вариант получения бесплатного SSL-сертификата. Потому, как он практически не уступает платным сертификатам за исключением некоторых недостатков.

Самый основной такой недостаток заключается в том, что сертификат выдается сроком до 90 дней. То есть, по истечении трех месяцев вам нужно будет этот сертификат продлять. Для продления у вас есть три способа:

  1. 1.Продлять его вручную. Минус этого способа заключается в том, что вы можете просто забыть или пропустить, или по каким-то техническим причинам у вас не получится продлить данный сертификат и в итоге посетители, попадая на ваш сайт, будут получать уведомления о том, что сайт имеет не подтвержденный сертификат и т.д.
  2. 2.Автоматическое продление сертификата с использованием крон. Кроны представляют собой так называемые планировщики, которые есть в операционных системах на базе Linux и суть их использования заключается в том, что администратор сервера создает такой крон, который включает в себя определенный скрипт, благодаря которому осуществляется замена старого сертификата новым. Основной минус данного способа в том, что он несет в себе определенные технические сложности, так как далеко не каждый человек сможет себе создать такой крон у себя на сервере. Поэтому этот способ подойдет далеко не для всех.
  3. 3.Принять автоматические настройки центра сертификации Let’s Encrypt. В этом случае сертификат должен будет продляться автоматически. Однако, приняв автоматические настройки Let’s Encrypt вы фактически даете им право вносить изменения в конфигурацию вашего сервера и программного обеспечения в целом. В принципе, из всех трех вариантов этот не такой уж и плохой, однако имеет определённую негативную строну.

Вторым недостатком сертификата выданного Let’s Encrypt является то, что они не дают ни каких гарантий. То есть, если вы, к примеру, получаете платный сертификат от каких-то известных компаний, таких как Comodo, GeoTrust и т.д., то они предоставляют определенные гарантии на то, что их шифрование является безопасным. И в случае если передаваемая по их сертификату информация будет перехвачена и расшифрована, и пользователь понесет впоследствии убытки, то данная компания может выдать своего рода страховку в качестве компенсации за понесенные убытки.

Let’s Encrypt является не коммерческой организацией, поэтому предоставлять такого рода гарантии она не может, и в данном случае все убытки будут нести сами пользователи.

Так же, обращаю ваше внимание на то, что сертификаты Let’s Encrypt на сегодняшний день находятся в состоянии beta-тестирования. Поэтому возможны возникновения определенных проблем, в особенности со старыми версиями браузеров.

Бесплатный SSL сертификат для сайта от хостинга

Так же, обращаю ваше внимание на то, что на сегодняшний день многие хостинги предлагают в рамках своих услуг бесплатное предоставление SSL-сертификата от Let’s Encrypt.

При этом настройку автоматического сертификата они берут на себя. Поэтому, если вы все-таки решите получить для своего сайта сертификат Let’s Encrypt, первое, что я вам советую сделать – это обратится в техподдержку вашего хостинга и узнать, выдают ли они такие сертификаты. Если же нет, то возможно они смогут вам помочь с установкой такого сертификата или дать ссылку на какую-то инструкцию по установке такого сертификата именно на вашем хостинге.

Акционные предложения по получению SSL сертификата бесплатно

Следующий способ бесплатно получить SSL сертификат для сайта – это воспользоваться акциями на различных регистраторах доменных имен либо хостинг-провайдеров. К примеру, компания REG.RU проводит акцию по выдаче бесплатных сертификатов сроком на один год. Единственное условие – ваш домен должен быть зарегистрирован в компании REG.RU.

Скорее всего, подвох здесь будет заключаться в том, что на следующий год, когда вам придётся этот сертификат продлять, то стоимость его будет значительно выше чем у конкурентов, но, тем не менее, никто вам не мешает по пользоваться год этим сертификатом бесплатно, а затем получить новый у какой-то другой компании, где он будет стоить дешевле.

Вот ссылка на страницу акции.

Так же, на некоторых хостингах, при заказе, скажем, домена и хостинга, вам могут предложить SSL сертификат бесплатно или же по каким-то выгодным условиям.

Еще вы можете встретить предложение такого рода, когда вам предлагается заказать SSL-сертификат с бесплатным тестовым периодом на 90 дней. После истечения этого срока вам нужно будет этот сертификат оплачивать.

При этом вы должны понимать, что за эти 90 дней тестового периода вы особо там ни чего не протестируете. Поэтому, прежде чем соглашаться на такое предложение, лучше сразу узнать какова будет стоимость SSL сертификата после истечения этих 90 дней.

Платные SSL сертификаты для сайта

Для того чтобы лучше понять что почём давайте сравним цены на SSL сертификат с валидацией домена на 1 год у разных компаний.

Регистратор доменных имен REG.RU предлагает нам приобрести SSL сертификат за 1499 рублей. То есть если ваш домен заказан у данного регистратора, то вы можете воспользоваться акцией и получить его бесплатно. Если же вы заказывали домен не у них, то для вас покупка такого сертификата обойдется в 1499 рублей в год.

EMAROSSL.ru предлагает нам SSL-сертификаты для одного домена от 621 рубля в год, что значительно дешевле чем на REG.RU.

А на firstssl.ru вы можете приобрести такой сертификат за 470 рублей в год, но при условии, если вы оплачиваете сразу за три года. Если же вы будете оплачивать за один год, то стоимость выйдет 564 рубля.

Итак, как видите, цены отличаются, но перед тем как вы определитесь, у кого же покупать этот сертификат я бы вам советовала посмотреть на сайте вашего хостинга, чтобы узнать предоставляют ли они услугу выдачи SSL-сертификатов, и сколько она будет стоить у них.

Например, на хостинге, который использую я, Link-Host.net сертификат от компании Comodo сроком на один год стоит 5,85$, что по текущему курсу составляет 378 рублей.

То есть, для меня это самый дешевый и самый удобный вариант. Потому, что покупая такой сертификат у своего хостинга, вы можете рассчитывать на то, что их техподдержка может вам помочь с установкой данного сертификата на ваш сайт.

Видеоинструкция

На этом я, пожалуй, остановлюсь. В следующей статье я покажу уже сам процесс получения такого сертификата и расскажу, что и на каком этапе нужно будет сделать. Поэтому, не забудьте подписаться на рассылку, если вы еще этого не сделали. Спасибо вам за то, что посетили мой сайт и до встречи в следующей статье!

С уважением Юлия Гусарь

impuls-web.ru

Бесплатные сертификаты: почему не стоит их использовать

Бесплатные SSL-сертификаты – казалось бы, очень выгодный и удобный способ защиты своего сайта. Действительно, зачем что-то покупать, когда все это можно получить совершенно бесплатно в различных Центрах Сертификации? Бесплатные сертификаты привлекают владельцев бизнеса, однако в конечном счете они приводят к убыткам. Почему? Давайте посмотрим далее.

Бесплатным SSL-сертификатам редко доверяют крупные компании

Чтобы крупные корпорации включили корневой ключ центра сертификации в свои продукты, этот центр сертификации должен отвечать многочисленным условиям, реализация которых требует значительных финансовых инвестиций. Привлечь такие инвестиции без предложения платных продуктов практически невозможно. Именно по этой причине центры сертификации, предоставляющие бесплатные сертификаты, нередко имеют в своей линейке продуктов платные решения, которые отличаются дополнительными преимуществами: быстротой выпуска, возможностью включения субдоменов, расширенной аутентификацией и т.д.

Бесплатные сертификаты не подходят для сайтов с приемом платежей

Бесплатные SSL-сертификаты редко используют для защиты интернет-магазинов, сайтов банков, микрофинансовых организаций, а также любых других сайтов, принимающих платежи, поскольку становится непонятно, кто является владельцем таких сайтов. Пользователи меньше доверяют сайтам с бесплатными SSL-сертификатами, что негативно отражается на продажах. К тому же стоит учитывать, что многие бесплатные SSL-сертификаты (к примеру, StartSSL) нельзя использовать в коммерческих целях.

Бесплатные SSL-сертификаты поставляются в основном только в виде DV (Domain Validation)

Бесплатные сертификаты чаще всего выпускаются только с проверкой по домену. Такие сертификаты недоступны для Code Signing, EV и т.д., что значительно ограничивает их использование.

Перевыпуск бесплатных сертификатов является платным

Несмотря на общую доступность бесплатных сертификатов, за некоторые услуги все же взимается определенная плата. К примеру, в StartSSL услуга перевыпуска бесплатного SSL-сертификата является платной (за отзыв сертификата придется заплатить 24$). Процедура перевыпуска необходима для внесения каких-либо изменений в сертификат.

Сравнение SSL-сертификатов по брендам

www.leaderssl.ru

SSL-сертификат: зачем он вам?

При попытке доступа к вашему ресурсу он может быть подменён злоумышленниками. Современные SSL исключают возможности такой подмены. Кроме того, они позволяют пользователю проверить, кто является владельцем ресурса. Это значит, что убедиться в том, что подмены не было, может каждый.

Пользователи увидем «https», который стоит перед адресом поймут, что ваш адрес прошел проверку в удовтоверяющему центре будут более доверительно относиться к вашему ресурсу.

Кроме того, SSL-сертификаты необходимы для шифрования интернет-соединения. Благодаря этому сокращаются риски хищения конфиденциальных данных. С помощью данной услуги можно надёжно защитить не только пароли, но и номера банковских карт.

Не стоит думать, что предлагаемые нами сертификаты (бесплатные) не справятся с поставленными задачами! Их получение убедит вас в обратном! Даже полученный в рамках акции сертификат позволит вам надёжно защитить свой бизнес и завоевать доверие посетителей.

Кто может пользоваться сертификатом?

Сертификат, удостоверяющий только доменное имя, может быть использован юридическими и физическими лицами. Использование сертификата, удостоверяющего доменное имя и организацию, может быть заказано только юридическим лицом.

Остались вопросы? Хотите воспользоваться услугой его получения? Нужен бесплатный? Обращайтесь! Использование сертификата позволит быстро решить сразу несколько задач. Платить не придётся! Сертификат по акции будет выдан на безвозмездной основе.

www.reg.ru

SSL сертификаты, которые добавляют в адресную строку сайта зелёный замочек и за которые просят довольно много денег (в зависимости от набора опций), можно получить абсолютно бесплатно. Правда, всего на 3 месяца. Правда, продлевать можно неограниченное количество раз.

В этой инструкции я покажу как получить бесплатный SSL сертификат COMODO на 90 дней. Я буду использовать Linux, поскольку некоторые необходимые программы работают только в этой операционной системе. Если для вас это слишком сложно, то есть и ещё один вариант: сейчас многие хостеры имеют услугу подключения бесплатных SSL сертификатов – обычно ограниченное количество, которое зависит от тарифного плана. (и хостинг там хороший). Причём, это даже удобнее чем с платным сертификатом, который нужно продлевать каждый год – бесплатный продлевается автоматически каждые 3 месяца, после подключения от вас больше никогда никаких действий не требуется.

Чтобы облегчить процесс генерации необходимых файлов, я буду использовать программу . Кстати, если у вас VPS, то вы можете получить SSL прямо в консоли, выполним несколько команд. Подробности об этом здесь.

Сейчас же я исхожу из того, что ваш сайт размещён на виртуальном хостинге и вам нужно получить для него бесплатный SSL сертификат.

Устанавливаем acme-tiny:

  git clone https://github.com/diafygi/acme-tiny.git  cd acme-tiny/

Теперь нам нужно сгенерировать два файла:

  • CSR запрос – требуется на сайте COMODO для получения сертификата
  • приватный ключ, который требуется для создания CSR запроса.

Начинаем с генерации приватного ключа:

  openssl genrsa 4096 > site.domain.key

Просмотреть его можно так:

  cat site.domain.key

Обязательно сохраните этот ключ – он понадобиться во время подключения сертификата на веб-сервере!

Теперь выполните команду:

  openssl req -new -sha256 -key site.domain.key -subj "/CN=domain.ru" > site.domain.csr

В этой команде обязательно нужно заменить domain.ru на ваш домен, для которого вы получите сертификат. Остальное можно не менять. К примеру, я хочу получить сертификат для сайта asus-gl703ge.ru, тогда моя команда следующая:

  openssl req -new -sha256 -key site.domain.key -subj "/CN=asus-gl703ge.ru" > site.domain.csr

Скопируйте свой CSR запрос – он понадобиться только один раз:

  cat site.domain.csr

Переходим на сайт COMODO и заполняем форму для получения бесплатного SSL сертификата. Для этого начала зайдите на страницу , и там кликните на большую зелёную кнопку «GET Free SSL».

На новой странице в поле «1. Copy and paste your CSR into this box:» скопируйте ваш CSR тзапрос.

В поле «2. Select the server software used to generate the CSR:» выберите «OTHER».

В поле «3. Select the subscription period for your certificate:» нельзя ничего поменять

В других полях выберите опции на ваше усмотрение.

Бесплатный сертификат

Нажимаем Next.

Теперь нам нужно доказать, что это действительно наш сайт. Один из вариантов – это отправка письма на почту, варианты почтовых ящиков приведены:

Бесплатный сертификат

Я заранее создал почтовый ящик вида admin@site.ru (то есть admin@asus-gl703ge.ru). Нажимаем Continue.

Заполняем большую форму, обязательны только поля, отмеченные красным:

Бесплатный сертификат

Когда всё готово, нажимаем Next.

На следующей странице примите условия и нажмите на To Payment Information:

Бесплатный сертификат

На следующей странице сказано, что нужно подтвердить через почту.

Бесплатный сертификат

Зайдите в свой почтовый ящик – в течении нескольких минут должно прийти письмо.

Бесплатный сертификат

В этом письме содержится ссылка на страницу для подтверждения и строка, которую туда нужно ввести:

Бесплатный сертификат

Вводим и нажимаем Next.

Теперь просто ждём нового письма с сертификатом:

В полученном архиве будет 4 файла.

У хостера в поле «Секретный ключ:» введите тот ключ, который мы сгенерировали самой первой командой и который я просил вас сохранить. В поле «Сертификат на домен:» введите содержимое файла ваш_сайт.crt (например, у меня это asus-gl703ge_ru.crt), этот файл в присланном архиве. В поле «Промежуточный сертификат:» последовательно введите содержимое файлов COMODORSADomainValidationSecureServerCA.crt и COMODORSAAddTrustCA.crt. Последнее поле «Корневой сертификат:» оставьте пустым.

Должно получиться примерно так:

Бесплатный сертификат

Дождитесь, когда изменения вступят в силу – обычно на это требуется несколько минут. После этого попробуйте открыть ваш сайт по протоколу HTTPS.

Если описанный процесс для вас слишком сложный, то у этого .

zalinux.ru

Так ли нужен сертификат сайту?

Наличие сертификата это всегда здорово, особенно если это сертификат, например, типа EV стоимостью несколько тысяч рублей в год. Если на Вашем сайте установить такой сертификат, то в адресной строке рядом с адресом Вашего сайта поселится название Вашей организации:

Бесплатный сертификат

Но такой сертификат могут получить только юридические лица после длительной проверки организации. Но мы то хотим халявы!

Одним из популярных центров, которые которые раздают халявные бесплатные сертификаты, является StartSSL. Долгое время люди переводили свои сайты на эти сертификаты, писали кучи статей о том, как получить бесплатный сертификат. Затем всем известные WoSogn со своими сертификатами на 3 года. Вот и я повелся на халяву прикрутив себе халявный сертификат от наших китайских друзей. Был ли от этого явный прирост посещаемости? Вряд ли. Во всяком случае прирост был не больше чем погрешность ибо динамика роста практически осталась той же какой была и до установки сертификата.

Все шло замечательно пока Opera, которой я пользуюсь в качестве основного браузера, не показала мне интересное сообщение при очередном посещении моего сайта:

Бесплатный сертификат

«Твою же ж мать….» — прозвучало в моей голове, а потом я пошел проверять как сайт открывается в других браузерах, как оказалось на тот момент только Opera послала нафик сертификат от WoSogn. К слову сказать на тот момент основным зеркалом сайта был домен с www, мне бы дураку свалить по тихой с этого SSL, но дурная голова, как понимаете, не дает покоя. В итоге был взят халявный сертификат от хостера на 1 год и вот тут меня ждала западня, поскольку данный сертификат был типа «1d», то есть сертификат выдается только на домен site.ru, а на www.site.ru сертификата нет. Вот и получилось что я своими руками обвалил трафик своего сайта.

Вероятные проблемы с сайтом

Обратите внимание на то, что даже платные сертификаты могут не поддерживаться некоторыми браузерами, по этой причине перед тем, как выбрать центр сертификации обратите внимание на то, какие браузеры поддерживают корневые сертификаты этого центра.

В случае с бесплатными сертификатами, центр, который выдал Вам сертификат, не несет перед Вами ответственности и ничего не гарантирует и в случае если сертификаты будут отозваны или их перестанут поддерживать основные браузеры, то у Вас, точнее у Вашего сайта возникнут проблемы в виде такоо сообщения:

Бесплатный сертификат

Как видите я не могу зайти на такой сайт даже при большом желании, браузер мне этого в принципе не дает. В конечном итоге от бесплатного сертификата пользы Вы не получите, а вот проблем от непредвиденных обстоятельств Вы наверняка огребете.

А вот собственно дополнение спустя несколько месяцев. Привожу статистику посещаемости. Проблемы с бесплатным сертификатом, а точнее проблемы вызванные с отказом поддержки сертификатов браузерами, привели к падению трафика, которое сайт отыграл только в августе (см. фото).

Бесплатный сертификат

Как видите вместо роста в апреле был спад, учитывая что рост должен был составить примерно 13%, то из-за, простите, сраного сертификата, я не досчитался нескольких тысяч посетителей.

Какие типы сертификатов бывают

Новичкам, которые решили приобрести себе сертификат для своего сайта на первых порах достаточно трудно разобраться в их обозначении и предназначении, а их, этих типов, достаточно много и у каждого не только свое предназначение, но и стоимость существенно отличается.

По типу верификации сертификаты делятся на три типа:

  1. EV SSL — это сертификаты не только повышенной надежности, но и стоимости и выдается только организациям. Перед выпуском сертификата проверяется право владения доменом, а организация, которая запросила сертификат, подвергается тщательной проверке.
  2. OV SSL — аналогичен сертификату EV, но с той лишь разницей что доступен как юридическим лицам, так и физическим лицам. Организация или физическое лицо, которые запросили сертификат, подвергается не такой серьезной проверке.
  3. DV SSL — этот тип сертификата подразумевает только проверку владения доменом и выпускается автоматически. Это самый дешевый сертификат.

Сертификаты делятся по поддержке доменов на три типа:

  1. 1d — данный тип сертификат выдается только для одного домена и если Вы хотите сертификаты для домена с www и без него, то придется купить два сертификата.
  2. 1d+www — этот тип сертификата позволяет использовать домен как с www, так и без него. Если хотите использовать адрес www.site.ru, то Вам необходимо приобрести сертификат именно этого типа. Заказывать необходимо на домен с www.
  3. w.card — самый дорогой тип сертификата поскольку выдается на домен и все поддомены включая www. Такой тип сертификатов нужен разве что крупным проектам.

Конечно же бесплатные сертификаты не имеют подобной типизации поскольку Вам дают возможность выпустить кучу сертификатов на каждый домен, то есть один сертификат на site.ru, второй на www.site.ru, третий на blog.site.ru и т.д.

Но если углубиться в тему сильнее, то типов сертификатов несколько больше:

  1. Esential SSL — самый простой и дешевый тип сертификатов, которые выдается на 1 домен. Выдается как правило очень быстро и проверяется только владение доменом. Бесплатные сертификаты все без исключения именно этого типа.
  2. Instant SSL — данный тип сертификатов выдается на 1 домен и доступен как физическим так и юридическим лицам. Проверяется владение доменом и регистрационные данные компании или личности физического лица.
  3. SGC — тип сертификатов аналогичный Instant SSL, но с поддержкой повышения уровня шифрования. Актуально для тех, кому необходима поддержка старых браузеров с 40 и 56 битовым шифрованием. На вскидку, на ум приходят только банки или большие корпорации с кучей старого железа.
  4. Wildcard — как и писалось выше, данный тип сертификатов выдается для домена и все его поддомены. Если вдруг решите купить такой сертификат, то есть смысл посчитать количество поддоменов и прикинуть что дешевле, один сертификат на каждый поддомен или w.card-сертификат.
  5. SAN — полезен тем, кто хочет использовать один сертификат на нескольких разных доменов, которые размещены на одном сервере. Насколько мне известно данный сертификат обычно выдается на 5 доменов и увеличение происходит на 5. То есть если Вам нужен сертификат на 7 разных доменов, то скорее всего придется прикупить сертификат на 10 доменов.
  6. EV (Extended Validation) — этот тип сертификатов выдается только юридическим лицам, коммерческим, некоммерческим или государственным организациям и подразумевает глубокую проверку организации. На выпуск сертификата уходит от 10 до 14 дней.
  7. EV Wildcard — аналогично Wildcard но с расширенной проверкой и доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям.
  8. EV SGC — аналогично SGC но с расширенной проверкой и доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям.

Сертификаты c поддержкой IDN

IDN (англ. Internationalized Domain Names) — доменные имена, которые содержат символы национального алфавита, например сайт.рф.

Не все центры сертификации указывают наличия поддержки IDN-доменов, но и далеко не все имеют эту поддержку и вот список некоторых из центров, которые поддерживают такие домены:

  • Thawte SSL123 Certificate
  • Thawte SSL Web Server
  • Symantec Secure Site
  • Thawte SGC SuperCerts
  • Thawte SSL Web Server Wildcard
  • Thawte SSL Web Server with EV
  • Symantec Secure Site Pro
  • Symantec Secure Site with EV
  • Symantec Secure Site Pro with EV

Где и как получить сертификат

Поскольку я категорически не советую Вам использовать бесплатный сертификат, то вариантов у нас в принципе не так уж и много. Что бы не заморачиваться нюансами процесса выпуска сертификата с последующей установкой, то есть смысл рассмотреть переезд к хостеру, который сделает все за Вас, Вам останется всего лишь это оплатить.

Поэтому вместо того, что бы заморачиваться изучением темы SSL-сертификатов, лучше заморочиться хостером, который сделает все за Вас. Из всего великого множества хостинов могу посоветовать следующие:

Хостинг от СпейсВеб

Услугами этого хостера я пользуюсь достаточно давно и претензий к его работ нет в принципе. Перед нами достаточно богатый выбор, начиная от бесплатного, заканчивая EV:

Бесплатный сертификат

Как мы видим нам дают возможность получить бесплатный сертификат (на 1 год, после завершения срока действия сертификата необходимо будет приобрести платный), а так же приобрести более расширенный. На данный момент представлено всего три центра сертификации:

  • Thawte
  • GeoTrust
  • Symantec

Ссылка на сайт хостера: https://sweb.ru/

Если вдруг решитесь заказать там хостинг, то укажите промокод: UMMIAZED

Хостинг от REG.RU

Тут к нашему вниманию сертификаты только от GlobalSign, во всяком случае на странице приведены сертификаты только от этого центра.

  • https://www.reg.ru/ssl-certificate/

Самый дешевый сертификат AlphaSSL за 1499 рублей:

Бесплатный сертификат

Но кроме всего прочего REG.RU обещает бесплатный сертификат на год, того же GlobalSign при заказе услуги хостинга. Стоит отметить тот факт, что в отличии от СпейсВеб, который предлагает бесплатный SSL-сертификат на год только 1d без www, то REG.RU предлагает сертификат 1d+www. Собственно ссылка на новость: https://www.reg.ru/company/promotions/5063

Хостинг от Majordomo

Ничего не могу сказать по поводу данного хостинга, привожу его в пример лишь по причине его популярности. Данный хостинг предлагает нам сертификаты от Comodo и за самый простой просит 990 рублей.

Бесплатный сертификат

Акций с бесплатными сертификатами у этого хостера нет, во всяком случае я таковых там не обнаружил.

Собственно ссылка на страницу с перечнем SSL-сертификатов: https://www.majordomo.ru/ssl

UPD. ЛидерТелеком

На просторах сети попался мне данный сервис. Чем он привлек мое внимание, так это принципом подбора сертификата. Производится он простеньким опросом, где Вы выбираете нужные пункты, которые характеризуют Вашу ситуацию и в конечном итоге Вам предлагается подходящий вариант за умеренную цену.

Для подбора сертификата достаточно пройти на страницу сервиса и потыкать  варианты.

Выводы

Для себя я окончательно решил, бесплатные SSL-сертификаты — категорическое «нет». Пользы практически никакой, а проблемы, в случае отказа в поддержке таких сертификатов, будут серьезные. На данный момент (Апрель 2017) у меня установлен бесплатный сертификат Symantec Site Starter на один год, по истечении этого года мне придется купить другой сертификат, но у меня есть время подумать перейти ли мне на http или отдать три тысячи за нормальный сертификат.

Не то, что бы я стремаюсь http, скорее мне лень перелопачивать свои статьи в поисках ресурсов подгружаемых через https. Если бы такая статья была написана ранее и попалась бы мне на глаза до того как я решил приобрести себе бесплатный сертификат от WoSign, то я бы отказался в принципе от перехода на https. Решился бы на него только тогда, когда в этом появилась бы жизненная необходимость.

Если на Вашем сайте ничего не продается и не принимаются платежи, то на данный момент нет особого смысла заморачиваться переходом на https, что бы Вам не говорили различные сеошники о том, что https — это фактор ранжирования. Вот только фактор этот на данный момент ничтожен, изменится ли его значимость в будущем? Поживем увидим.

  • Как увеличить посещаемость сайта решая «проблемы» аудитории

dampi.ru


You May Also Like

About the Author: admind

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.