Я сам долгое время не понимал, что такое SSL сертификат, и почему мне так срочно нужно переносить свой сайт с http на https. Но все вокруг твердили, что переезжать надо обязательно, иначе – каюк.
Тогда я решил самостоятельно разобраться, что же это такое, и зачем оно нужно. Результаты моих исследований вы найдете ниже.
И знаете что? SSL сертификаты – это одна из главных веб-мистификаций последних лет. И вполне серьезная угроза для всех интернет-пользователей.
Что такое SSL сертификат самыми простыми словами
Вспомните, как часто происходит дело в шпионских детективах. Нам нужно отправить послание сообщнику в другую страну, и нам очень не хочется, чтобы враги перехватили наше послание и прочитали его.
Поэтому мы с сообщником условились о специальном шифре. У меня есть книга (допустим «Пикник на обочине» Стругацких), и у него есть такая же книга. Я пишу письмо сначала простыми человеческими словами, а потом каждое слово заменяю на цифру. Например, цифра «137» будет обозначать, что данное слово находится на первой странице книги, на третьей строчке, седьмое слово по счету.
Мой сообщник получает письмо с цифрами «137-536-9978», берет свой томик Стругацких, и в обратной последовательности расшифровывает мое послание. Понятно, что даже если письмо будет перехвачено по дороге – никто не поймет, что там написано, потому что только мы с сообщником знаем, какую именно книгу мы используем для шифрования.
Вот и SSL протокол работает схожим образом. Только вы с сообщником каждого нового письма используете новую книгу. Кроме того, ваши книги – уникальны. То есть, нигде в мире больше нет ни одного экземпляра этой книги – только у вас и у сообщника.
Ну и, плюс ко всему, письмо вы отправляете не «Почтой России», а привязываете его к лапе самого быстрого ястреба, который летит от вас прямо по нужному адресу, и скорее погибнет, чем даст кому-то забрать у него ваше письмо.
Вы – это ваш сайт. Ваш сообщник – это ваш хостер-провайдер. Сообщение, которое вы передаете – это любая информация, которую пользователи вводят у вас на сайте – номера банковских карточек, пароли, емейлы и прочее. Быстрый ястреб-камикадзе – это прямой цифровой туннель для сообщения между вашим сайтом и сервером.
Такая работа через «уникальные книги» называется «SSL протоколом». А чтобы иметь возможность работать через этот протокол – вам надо сначала получить SSL сертификат. Это своеобразное удостоверение личности вашего сайта в интернете.
Можно ли взломать SSL протокол?
Теоретически, взломать можно даже эту сложную систему шифрования. То и дело на разных конференциях зачитываются доклады о том, как можно перехватывать сообщения по SSL, и как можно их расшифровывать.
Но на практике все эти способы либо очень сложные, либо очень долгие. То есть на расшифровку одной «буквы» послания может уйти до 2-3 часов времени. Естественно, такая «расшифровка» не сможет применяться для реального воровства ваших данных. И до сих пор SSL протокол считается «невзламываемым».
Но вот другой вопрос. Означает ли это, что ваш сайт и ваши данные в безопасности? Как ни удивительно, но вовсе не означает.
В чем главная опасность SSL сертификата?
То, что вы используете уникальные книги для шифрования, не значит, что злоумышленник не может притаиться где-нибудь на втором этаже вашего дома. В бинокль он увидит все, что вы пишите на листочке бумаги, и ему не придется даже ничего расшифровывать – он считает сообщение еще до того, как оно будет хитро зашифровано.
Точно так же и с сайтами. Наличие «https» у сайта не гарантирует, что на этом сайте нет вирусов или вредоносных программ. Такие программы могут считывать все, что вы вводите в поля платежной формы.
Кроме того, получить SSL сертификат сегодня очень просто. Самый распространенный вариант – это сертификат для подтверждения домена (так называемые DV – Domain Validation). То есть для его получения достаточно подтвердить, что у вас есть доступ к емейлу, на который зарегистрирован домен, вот и все. Никто не проверяет, что это за сайт, какой деятельностью он занимается, нет ли на нем вирусов.
Соответственно, любой хакер может сделать сайт, купить для него SSL (или даже взять бесплатный, их сейчас хватает) – и собирать ваши данные себе в копилку. Да, на его сервер они попадут в безопасности. Но куда они отправятся оттуда? Вопрос открытый.
И главной опасностью всей этой истории с SSL я считаю то, что у рядовых пользователей возникает ложное ощущение безопасности (либо наоборот — опасности), когда они видят, что сайт на https-протоколе (либо наоборот – на обычном «http»).
А масла в огонь подливает мой любимый Гугл.
Мол, и сайты-то без «https» мы будем помечать как «небезопасные» (читай – «мошеннические» с точки зрения пользователей), и как сигнал для SEO-ранжирования это включим. И все вебмастера в срочном порядке бросились переходить на SSL. Вот тут-то и открылась вся страшная правда.
Далеко не для всех сайтов SSL одинаково полезен. А во многих случаях даже вреден.
Нужен ли SSL сертификат для вашего сайта?
Если вы собираете важные личные данные посетителей сайта – такие как номера банковских карточек – то однозначно да. Вам обязательно нужно установить SSL протокол на свой сайт. Вы обязаны максимально обеспечить безопасностей людей на вашем ресурсе, иначе вы станете невольным пособником злоумышленников.
Вопрос в другом – надо ли вам заморачиваться со всеми этими сертификатами, если у вас не интернет-магазин, а обычный блог или информационный сайт? Принесет это вам какую-то пользу или наоборот? Да, к сожалению, может быть и наоборот.
Давайте я приведу здесь ТОП-3 мифов про SSL-сертификаты, которые распространены среди веб-мастеров.
Миф #1 – Гугл пометит мой сайт страшным красным значком, и все посетители с него убегут
На самом деле, Гугл давно стращает веб-мастеров тем, что в новой версии браузера Google Chrome все сайты без https будут помечаться как «небезопасные». Сначала они хотели ввести это в 53 версии своего браузера, потом в 58, потом в 62… Сейчас у меня установлена уже 63 версия Гугл Хром, и вот, что я вижу, когда открываю через него свой сайт (который работает на обычном «http»).
Вместо обещанного страшного красного значка висит круглый значок «i», который означает, что тут можно прочитать какую-то информацию. И если кликнуть по этому значку, тогда открывается сообщение, что подключение к сайту не защищено, и тут не надо оставлять личные данные.
То есть ничего страшного не показывается. А вдруг они начнут показывать «страшное» чуть позже, в 64 или 164 версии Хрома? Не начнут. Я в этом уверен по следующим причинам:
- Гугл Хром помечает красными значками только те страницы, на которых есть реальные формы для ввода каких-то данных, а эти страницы не защищена SSL;
- Гугл Хром показывает предупреждение «Не защищено», только когда вы начинаете вводить свои данные в форму. До этого момента она висит безо всяких предупреждений;
- Если Гугл вдруг разом начнет запугивать посетителей обычных сайтов, то они на самом деле разбегутся. То есть Гугл потеряет всю свою поисковую выдачу, которую любовно выстраивал в течение многих лет. Это однозначно негативно скажется на качестве поисковой выдачи, и тогда пользователи разбегутся уже от самого Гугла (подтверждение моих слов смотрите чуть ниже).
То есть, другими словами, пока вы не собираете важные личные данные людей – Хрому нет никакого дела до того, на каком протоколе вы работаете.
Миф #2 – Гугл ставит выше в поиске сайты на https
Именно благодаря этому мифу во многом SSL-протокол получил такое широкое распространение. Веб-мастера вообще любят простые решения. Им сразу понравилась идея, что можно просто переехать на защищенный протокол, и тогда их сайты сразу «попрут» в гору. Не надо работать над качеством ресурса, не надо создавать ценный контент. Здорово же.
На самом деле, https нисколько не влияет на поисковую выдачу (по крайней мере в положительную сторону). Если отбросить весь треп, который стоит вокруг этой темы, и обратиться к первоисточнику (то есть к самому Гуглу), то мы увидим следующее.
В 2014 году Гугл потряс сообщество веб-мастеров сообщением о том, что теперь SSL будет учитываться как сигнал ранжирования. То есть буквально – сайты с SSL будут иметь приоритет при прочих равных.
Однако, влияние данного фактора будет очень незначительным – менее 1% от совокупности всех факторов ранжирования (а их у Гугла уже тысячи). Конечно, они пообещали, что далее вес данного фактора будет только увеличиваться и… замолкли на целых три года.
Официальных сообщений на эту тему больше не поступало. Сайты переезжали на https и дружно со свистом вылетали из индекса, а потом с большим трудом туда возвращались (хорошо, если вообще удавалось вернуть все свои позиции). А Гугл молчал.
В конце концов, в апреле 2017 году он объявил, что не намерен увеличивать вес данного фактора ранжирования. Перевод переписки между сотрудником Moz и представителем поиска Гугла на скриншоте ниже:
— Сейчас по нашим данным почти 50% сайтов в ТОПе Гугла используют SSL. Планируете ли вы дальше усиливать ранжирование в пользу защищенных сайтов?»
— Нет, мы рассмотрели эту идею несколько месяцев назад, и решили отказаться от неё»
Иначе говоря, для Гугла это был эксперимент – улучшится ли качество поисковой выдачи благодаря влиянию https или нет. Не улучшилась (и в самом деле, с чего бы?) Соответственно, от эксперимента отказались.
В качестве еще одного доказательства своей точки зрения я могу привести вам пример выдачи гугла по запросу «контент план».
Как вы видите сами, в ТОП-5 выдачи только один сайт имеет https протокол. И стоит он только на 4 месте. Все остальные сайты (включая мой на второй позиции) работают на обычном http, что нисколько им не мешает продвигаться.
При чем, обратите внимание, на https работает очень крупный и известный ресурс в нашей нише — Texterra. У этого сайта намного больше страниц, чем у меня, над ним трудится целая армия авторов и контент-менеджеров (а я пишу один), и этот сайт почти в два раза старше моего. То есть тут даже не «прочие равные». И если «https» — такой крутой фактор ранжирования, так поставьте его на первое место.
Но такого почему-то не происходит. Наверное, потому что для выхода на первые места одного SSL все-таки недостаточно.
Миф #3 – Переезд на SSL – это быстро и безопасно
На самом деле, это очень опасно и совсем не быстро. Если вы переезжаете с «http» на «https», то с точки зрения поисковых систем появляется абсолютно новый сайт. Вся его история обнуляется, все страницы надо заново индексировать, и выбирать им место в поиске.
А поисковые системы очень не любят, когда что-то так резко меняется на сайте. Гугл приводит список «best practice» переездов на https (то есть список кейсов, где переезд закончился удачнее всего). И знаете, какой результат считается самым успешным? Когда в течение 2-3 месяцев удается вернуть себе весь или почти весь трафик, который был до переезда.
То есть ни о каком качественном прорыве речи даже не идет. И никакой пользы в плане выдачи вы не получите.
А вот навредить своему сайту и себе можете очень даже запросто. Дело в том, что переезд на SSL – дело довольно тонкое. Если вы настроите что-то немножко не так, то ваш сайт вообще полностью вылетит из индекса очень надолго.
Например, вы можете неправильно настроить работу двух версий сайта – http и https, и тогда абсолютно на всех страницах будет выскакивать огромное предупреждение во весь экран – «Этот сайт небезопасен! Не удалось проверить сертификат! Немедленно уходим!»
Или вы можете «забыть» переделать ваши внутренние ссылки на сайте. Ведь после переезда они перестанут работать, соответственно вес сайта будет распределяться неправильно.
Или могут заблокировать организацию, которая выдала вам SSL сертификат. Тут уже не будет никакой вашей вины. Заблокировать сертификатора может даже Роскомнадзор за какую-нибудь провинность. И тогда ваш сертификат «обнулится», и опять «на дворе мочало – начинай с начала».
Резюмируем так: если у вас обычный блог или информационный сайт, то переезд на SSL ТОЧНО не принесет вам никакой пользы и выгоды, и ТОЧНО нанесет вам временный ущерб (а в половине случаев – постоянный ущерб).
Отсюда еще один интересный вопрос, чтобы закончить тему. Если SSL – это такая мутная штука, которая непонятно как выстрелит – почему тогда вокруг столько шума о необходимости немедленного переезда на https?
Кому выгодно, чтобы у вас был SSL?
Как всегда, если какая-то мистификация получает широкое распространение – значит есть те, кому это выгодно.
В нашем случае это многочисленные хостер-провайдеры, которые сразу почуяли запах денег. Одно дело – брать с вас деньги каждый год только за хостинг, а другое – еще и за SSL сертификат. Естественно они будут уверять всех и вся, что SSL – это жизненная необходимость. Вон, мол, сам Гугл это подтверждает.
Мне часто пишут вебмастера с вопросами про этот SSL. И говорят, что впали в паническое состояние после какой-нибудь веб-конференции, где им рассказывали про преимущества SSL. После пары вопросов всегда выясняется, что данный доклад делали представители компании, которая как раз занимается продажами SSL-сертификатов. Кто бы мог подумать.
Тут я не могу удержаться и не показать вам одно видео от компании, занимающейся продажами SSL. Это просто шедевр трэш-контента = ) И по этому видео прекрасно видно, как такие хостинг-провайдеры относятся к своим клиентам – как к безмозглым животным ))
Заключение
Конечно, только вам решать, нужен вам SSL сертификат или нет. Я могу только кратко резюмировать:
- SSL – действительно хороший способ шифрования, который пока на практике никому не удалось взломать;
- Наличие SSL сертификата не гарантирует, что сайт безопасен. На нем могут быть вирусы и вредоносные программы, которые перехватывают данные до отправки на сервер;
- Если вы занимаетесь электронной коммерцией, то вам обязательно надо ставить SSL сертификат (либо для совершения транзакций отправлять посетителей на сторонний защищенный ресурс платежной системы, как это делаю, например, я);
- Гугл не помечает сайт без SSL как «небезопасные», и не будет этого делать, потому что так он навредит сам себе;
- Наличие SSL никак не влияет на положение в поисковой выдаче вашего сайта;
- При переезде с «http» на «https» очень высока вероятность где-нибудь ошибиться, и тогда ваш сайт может вообще никогда до конца не восстановить свои позиции;
- Больше всего паники среди вебмастеров наводят хостер-провайдеры, потому что они зарабатывают деньги на продаже SSL-сертификатов.
Другими словами – если у вас новый сайт и вам нечего терять, то вы можете спокойно сразу сделать его на https. Главное купите его у надежного провайдера. А то поставщиков разных бесплатных SSL скорее заблокируют, и вам тогда будет очень плохо.
А если у вас ресурс уже раскручен и вы не принимаете платежи непосредственно на сайте – скорее всего он вам и даром не нужен. Пишите статьи и выходите в ТОП без него. А можете просто использовать отдельный сайт на «https» для приема платежей.
Надеюсь, статья была для вас полезной. Не забудьте скачать мою книгу «Автостопом к миллиону». Там я показываю вам самый быстрый путь с нуля до первого миллиона в интернете (выжимка из личного опыта за 10 лет = )
До скорого!
Ваш Дмитрий Новосёлов
novoseloff.tv
SSL-сертификат (Secure Sockets Layer Certificate) — это не абстрактное понятие, а файл определённого формата, который содержит публичный ключ, подпись центра сертификации и описание свойств сертификата. Для работы сертификата, его владелец должен установить на свой сервер секретный ключ, которому соответствует публичный ключ, содержащийся в файле сертификата и подтверждающий владельца сайта. Секретный ключ должен хранится в безопасном месте, чтобы не быть скомпрометированным.
В свойствах сертификата описываются его основные параметры: имя защищаемого домена, владелец домена (организация или физическое лицо), срок действия и другие параметры.
Перед покупкой SSL-сертификата, мы рекомендуем узнать какой формат файла подходит для вашего web-сервера. Наиболее распространены следующие форматы: .pfx, .cer, .crt, .pem, .der, pkcs, в случае необходимости можно осуществить конвертацию одного типа в другой.
Если ваш сайт использует кириллический домен в зоне «рф», то подбирая для него ссл сертификат следует проверить, осуществляет ли поддержку этой зоны выбранный центр сертификации, так как данная возможность поддерживается не всеми организациями.
После успешной установки SSL-сертификата для сайта, все популярные браузеры, установив соединение, будут отображать в строке состояния надпись: «Защищено SSL», это подтверждает пользователю легитимность данного сайта, в противном случае работа с ресурсом не защищена и передача на него любой конфиденциальной информации: логины, пароли, номера карт и другие персональные данные, может быть небезопасной.
Купив SSL-сертификат у пользователя появляется возможность шифровать передаваемую информацию с помощью общедоступных криптографических алгоритмов, генерация такой защиты производится самостоятельно и реализуется с помощью протокола HTTPS. Но для официальной привязки сертификата к вашему домену требуется SSL Trusted Certificate, который заверяется электронной подписью центра сертификации.
1cloud.ru
Виды SSL сертификатов
Сертификатов SSL для сайтов существует несколько видов.
Cамоподписной сертификат
Самый простой и бесплатный — это самоподписной сертификат (self-signed), который можно сгенерировать прямо на веб-сервере. Минус этого сертификата в том, что на такой сертификат все браузеры будут выдавать предупреждение, что сайт не проверен.
Для служебных целей и для внутреннего использования такие сертификаты подходят, а вот для публичных сайтов, а тем более для сайтов, которые продают услуги, такие сертификаты нежелательны. Посудите сами, хотели бы вы, чтобы ваш клиент при заказе услуги увидел вот такую ошибку на весь экран? Как показывает практика, большинство посетителей такая страничка отпугивает и отбивает желание продолжать заказ дальше.
Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV)
Это самые простые сертификаты, это ваш выбор если сертификат вам нужен срочно, так как выпускаются они автоматически и моментально. При проверке такого сертификата отсылается письмо со специальной ссылкой, по которой нужно кликнуть, чтобы подтвердить выпуск сертификата.
Сертификаты, которые подтверждают домен и организацию (Organization Validation — OV)
В таком сертификате уже будет указано название организации. Такой сертификат частное лицо получить не может. Срок выдачи таких сертификатов как правило от 3 до 10 рабочих дней, зависит от центра сертификации.
Сертификаты, с расширенной проверкой (Extendet Validation — EV)
Это самые дорогие сертификаты и получить их сложнее всего. В таких сертификатах есть так называемый «green bar» — то есть при входе не сайт, где установлен такой сертификат в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат. Пожалуй это самый заветный сертификат для владельца сайта.
Типы SSL сертификатов по своим свойствам
Wildcard. Сертификаты, которые выдаются на все поддомены одного домена. Если у вас много региональных или других поддоменов, то обязательно нужно брать wildcard-сертификат.
С поддержкой IDN. Не все сертификаты поддерживаются для кириллических доменов. Если у вас кириллический домен, то нужно искать сертификаты с поддержкой IDN.
SGC сертификаты — это сертификаты с поддержкой повышения уровня шифрования. Актуально для очень старых браузеров, которые поддерживали только 40 или 56 бит шифрование.
Какой сертификат выбрать для сайта
Для частных лиц владельцев сайтов (блогов) доступен только один вид сертификатов: Domain Validation — DV. К счастью он самый дешевый, а дальше я расскажу где можно получить его бесплатно на срок от одного до трех лет.
Где взять SSL сертификат для сайта бесплатно
Мир не без добрых людей. В сети есть несколько ресурсов, которые раздают SSL сертификаты совершенно бесплатно.
CAcert
Центр сертификации CACert выдает сертификаты совершенно бесплатно сроком на один год.
StartSSL
StartSSL — это наше все! Выдают сертификаты на один год. Нормально работают во всех браузерах.
WoSing
Китайские товарищи WoSing, как всегда в плане бесплатности впереди планеты всей. И выдают бесплатные сертификаты аж не три года.
Браузеры от Google и Mozilla перестали доверять сертификатам wosign и StartSSL. Сначала выпущенным после 21 октября 2016 года. А с недавних пор это касается всех сертификатов, выпущенных этими сертификационными центрами. Поэтому если вам нужен бесплатный SSL сертификат, то следует обратить внимание на letsencrypt.org. Автоматического получение и продление сертификатов этого центра реализовано в популярных панелях управления хостингом VestaCP и ISPManager.
Mozilla
В сентябре 2015 года Mozilla обещают сделать бесплатную выдачу сертификатов.
Переход на использование HTTPS
Сначала необходимо получить SSL сертификат. Я рекомендую StartSSL. В сети полно информации как это сделать.
Затем вам необходимо настроить веб-сервер, установив SSL сертификат. Здесь многое зависит от типа сервера и используемой панели управления. В частности в VestaCP все настройки можно сделать прямо в окне браузера.
На втором этапе необходимо настроить ваш сайт. В частности переделать все прямые ссылки с HTTP на HTTPS. Подробнее читайте у Сергея Кокшарова. Он написал замечательную инструкцию по переходу на HTTPS.
Чтобы использовать HTTPS протокол необходим выделенный IP адрес. Который есть по-умолчанию у владельцев виртуальных и выделенных серверов. Пользователи обычного шаред хостинга так же могут получить выделенный адрес, но не на всех хостингах это возможно. Поэтому на мой взгляд лучше сразу переходить на виртуальный или выделенный сервер, благо у меня есть что выбрать.
Как и где проверить выданный и настроенный сертификат
Ресурсы для проверки корректности выданного сертификата:
- https://www.sslshopper.com/ssl-checker.html
- https://www.digicert.com/help/?rid=011592
Выводы о получении SSL сертификата
Я получил сертификаты от трех вышеперечисленных компаний. Все сертификаты получены менее чем за сутки и совершенно бесплатно.
В сентябре хочу проверить обещания Mozilla о бесплатной выдаче сертификатов.
Сейчас на сервере я использую сертификат от StartSSL.
Для проверки протокола HTTPS на моем блоге посетите эту же страницу, но уже по адресу https://moonback.ru/page/free-ssl
moonback.ru
От автора: Если вы пользуетесь Chrome 56 и выше, то могли замечать, что некоторые HTTP страницы помечены, как незащищенные. Эта функция была представлена в январе 2017, но только для страниц, собирающих пароли и данные о кредитных картах. Функция является частью плана Google по переходу на более безопасный интернет. В итоге, они хотят пометить все HTTP страницы как «незащищенные» и сменить индикатор HTTP защищенности на красный треугольник, который используется для отключенных HTTPS соединений.
Переключение на HTTPS может стоить больших усилий. Но как же активировать это защищенное соединение? В чем его преимущества? Давайте разбираться.
Что такое HTTPS?
HTTPS расшифровывается как HyperText Transfer Protocol Secure или безопасный протокол передачи гипертекста. Самое очевидное различие с HTTP – это слово «безопасный». Соединение зашифровано, что предотвращает считывание данные при перехвате.
Чтобы безопасное соединение заработало, отправитель и получатель должны использовать код для шифрования и дешифрования сообщения. Процесс шифрования осуществляется с помощью SSL сертификата.
Что такое SSL сертификаты
SSL сертификаты основаны на шифровании с открытым ключом.
Эта техника шифрования использует два ключа: закрытый и открытый ключ (оба являются набором случайных чисел). Открытый ключ доступен всем. Если Джон хочет послать сообщение Кэрол, он может взять ее открытый ключ и зашифровать им сообщение. Расшифровать сообщение можно только с помощью закрытого ключа Кэрол. Если хакер перехватит сообщение, он не сможет его прочитать, потому что у него нет закрытого ключа Кэрол.
Типы SSL сертификатов
На данный момент существует три типа SSL сертификатов:
Сертификаты с проверкой доменного имени самые обычные. Они проверяют, имеет ли владелец SSL сертификата права на определенный домен. С таким сертификатом относительно легко работать, и оформляется он не так долго.
Сертификаты с подтверждением домена и организации берут за основу первый сертификат и добавляют к нему проверку организаций. Посмотреть эту информацию можно, нажав на иконку замка в адресной строке браузера.
Сертификаты с расширенной проверкой обеспечивают максимальную безопасность. Проверка сертификата этого типа очень тщательная (по строгим правилам EV) и включает:
Что выбрать, решать вам. Для маленького бизнеса достаточно будет сертификата с подтверждением домена. Но если вы обслуживаете большой интернет-магазин, сертификат с расширенной проверкой будет хорошим вложением. Почему? Потому что этот сертификат добавляет иконку зеленого замка в адресной строке браузера, где будет отображаться название вашей компании, что повысит доверие пользователей к вашему сайту.
Стоимость SSL сертификатов
SSL сертификаты можно купить у разных поставщиков (центров сертификации), например у Symantec. Цена варьируется от $150 в год до $1000+ в год. Все зависит от типа сертификата и гарантий.
Но есть и бесплатный SSL сертификат от Let’s Encrypt.
Let’s Encrypt – автоматизированный и открытый центр сертификации, работающий на благо общественности. Их спонсорами выступают крупные бренды типа Mozilla, Cisco, Google и Facebook, что позволяет им выдавать людям цифровые сертификаты для активации HTTPS совершенно бесплатно.
Как установить SSL сертификат
Если вы удачливый, то у вашего хостинг провайдера есть помощник по установке SSL (или еще лучше – установщик в один клик). Это поможет развернуть защищенное соединение за считанные минуты. С набором популярности HTTPS соединения все больше хостинг провайдеров будут включать эту услугу в свои тарифы.
Если у вашего провайдера нет такой возможности, придется установить SSL сертификат вручную. Процесс может занять довольно много времени. К счастью для нас, Mitchell Anicas с сайта Digital Ocean написал подробнейшее руководство по установке SSL сертификата.
Преимущества HTTPS/SSL
HTTPS обладает следующими преимуществами:
Что необходимо учесть при переходе на HTTPS
Внедрение SSL сертификата – это не легкая задача. Прежде нужно учесть несколько вещей. Например, время, необходимое на внедрение. Также SSL сертификат действует ограниченное время. То есть время от времени его придется обновлять.
Также нужно учесть его стоимость. Конечно, Let’s Encrypt предлагает бесплатные сертификаты, но это самая простая версия. Если необходимо подтверждение организации или расширенная проверка, придется заплатить.
Переключение с HTTP на HTTPS может вызвать ряд SEO проблем, в основном из-за битых ссылок. Решить проблему можно с помощью 301 редиректа через файл .htaccess:
Заключение
Нет никаких сомнений в том, что HTTPS будет набирать популярность в будущем. Безопасность и доверие пользователей – главные преимущества, но давайте не забывать и про небольшой прирост скорости загрузки страниц, а также о повышении рейтинга в поисковиках.
Можно получить бесплатный SSL сертификат. Однако проверка организаций и расширенная проверка все еще стоят очень дорого. Более того, развертывание может занять много времени и вызвать различные проблемы.
webformyself.com
Привет, друзья. Многие из вас знают, что я в последнее время занимаюсь в основном подготовкой сервиса CheckTrust.ru к запуску. Кстати, запуск должен состояться уже очень скоро и вас ждут приятные сюрпризы, но вы и сейчас можете регистрироваться и полноценно пользоваться сервисом.
Так вот на прошлой неделе случился очередной ключевой этап подготовки к запуску – получение специального SSL сертификата и переключение сервиса на защищенное соединение https://.
Что это, зачем это и почему это так важно?
Позвольте процитировать несколько строк из Википедии:
HTTPS (HyperText Transfer Protocol Secure) — расширение протокола HTTP, поддерживающее шифрование. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения, при условии, что будут использоваться шифрующие средства, и сертификат сервера проверен и ему доверяют.
Чтобы подготовить веб-сервер для обработки https-соединений, администратор должен получить и установить в систему сертификат для этого веб-сервера.
Центр сертификации, при подписывании проверяет клиента, что позволяет ему гарантировать, что держатель сертификата является тем, за кого себя выдаёт (обычно это платная услуга).
Проще говоря, когда вы заходите на сайт с https то все данные, передаваемые в браузере, шифруются, и даже если их перехватит злоумышленник, расшифровать их никогда не сможет, не имея секретного ключа, который известен только мне (владельцу сертификата).
Пользуясь каким-либо сайтом, который хранит и использует личные данные, а тем более, которой подразумевает оплату и другие финансовые операции, вы доверяете ему свою информацию и хотите, чтобы она была в безопасности.
Сайту вы можете доверять, но если пользуетесь интернетом в общественном месте (аэропорт, кафе или любая другая бесплатная wi-fi точка доступа) уверены ли вы в том, что соединение никто не прослушивает? Кстати, прослушивать могут и домашний интернет, если есть физический доступ к роутеру. Привет халявный соседский wi-fi?!
Но даже здесь владельцы сайта могут вас спасти. Разумеется, при помощи защищенного https-соединения. Я, как один из основателей сервиса CheckTrust, забочусь о вас, друзья, и хочу, чтобы вы чувствовали себя спокойно. И мы сделаем все возможное для этого!
Но хватит лирики. Как вы уже поняли, чтобы сделать возможным https соединение, необходимо иметь специальный SSL сертификат и установить его на сервер, где расположен сайт. Вот именно этим мне и предстояло заняться пару дней назад. А так как я даже понятия не имел, что собой представляет SSL сертификат, где его взять, сколько это стоит и как его активировать, я стал разбираться.
Занял этот процесс целый рабочий день, а потом еще целый день на устранение неожиданных ошибок. Я решил, что это стоит того, чтобы рассказать вам.
Итак, первым делом, я решил узнать, что же это за сертификаты и с чем их едят. Никого не удивлю, если скажу, что просто ввел в Яндексе запрос «ssl сертификат». Когда я увидел слова «виды», «разновидность», «как выбрать», «сравнение», стало ясно, что все не так просто. Прочитав несколько статей на Хабре, я узнал, что бывает 3 типа сертификатов, что их выдают специальные центры сертификации и какие из них самые крупные.
Определиться с типом SSL было не так просто, т.к. помимо верификации только домена я хотел немного большего – подтверждение данных владельца (хоть компании у меня нет, зато у меня есть я, и при определенных условиях можно подтвердить личность вместо организации).
До этого, я разговаривал с Саньком (руководитель отдела разработки CheckTrust, заметили, да, у нас тут кругом одни «Саньки»!), и он сказал, что в Ярославле видел какую-то контору. И так совпало, что в выдаче был единственный сайт, продающий сертификаты и как раз из Ярославля. Судьба, видимо, подумал я, и перешел на их сайт. Походил, посмотрел, но ответа на свой вопрос, как получить SSL сертификат с проверкой данных физического лица так и не нашел, потому решил обратиться в техподдержку.
Меня интересует ssl сертификат. Прочитал, что есть разные виды сертификатов с разным уровнем проверки. Есть самые простые с проверкой только домена. А есть с проверкой организации и других данных.
Хотелось бы что-то «посильнее» чем просто проверка домена. Но организации у меня нет, но я готов подтвердить любые необходимые данные физлица, т.е. меня. Это возможно или мне подойдет только верификация домена и самый простой сертификат?
Довольно быстро я получил развернутый ответ:
Разница между этими сертификатами состоит вот в чем:
Простые (Domain Validation, DV) – в сертификате указан только домен.
С проверкой компании (Organization Validation, OV) – указан домен и название компании.
С расширенной проверкой (Extended Validation, EV) – зеленая адресная строка браузера, название компании в ней, в сертификате также домен и название компании.
При этом в силе шифрования разницы нет.Сертификаты EV физическим лицам в принципе не выдаются. Процесс проверки даже для компаний довольно сложный.
Для сертификатов OV возможно, но процесс валидации намного сложнее, чем у юрлиц. Описание процесса, например, на сайте Comodo. По ссылке находится документ с описанием (на английском) — нужно заполнить его (форма на 3 странице), заверить у нотариуса и отправить по е-мейлу.Кроме того, в файле есть перечень документов, которые они принимают.
1) Паспорт
2) Документ из финансового учреждения:
— международная пластиковая карта или дебетовая карта, если на них указан срок действия и он еще не истек, или
— выписка из банковского счёта не старше 6 месяцев
3) Нефинансовый документ:
— счет за коммунальные услуги или
— заверенная копия свидетельства о рождении или
— налоговая декларация за последний год или
— заверенная копия судового документа, например свидетельство о разводе, судебное постановление о признании брака недействительным или бумаги об усыновлении.То есть если Вы решите заниматься этими документы, возникнут дополнительные траты на нотариуса. При этом центры сертификации не гарантируют, что сертификат будет выдан. Кроме того на сайте сертификат не будет отличаться от простого, разница только в названии компании внутри сертификата, а, к сожалению, не все пользователи знают, где это просмотреть.
Поэтому лучше всего заказать сертификат с проверкой только домена, а для того, чтобы посетители видели, что сайт защищен, дополнительно добавить печать защиты.
Тем не менее, среди простых сертификатов также есть разница.
Например, Thawte считается более высоким классом, так как более серьезно проверяет заказчика, чем Comodo. В то же время Comodo более популярен, так как значительно дешевле.
Решив, что волокита с документами и лишние затраты мне нафиг не нужны, я остановился на единственном доступном для физического лица варианте – простой SSL сертификат с подтверждением домена.
В процессе подготовки и покупки у меня возникали различные сложности и вопросы, к счастью, в конце письма из тех.поддержки был скайп замечательной девушки Юлии, которая согласилась мне помочь и терпеливо отвечала на все мои вопросы и помогала решать проблемы. А после покупки даже помогла проверить валидность установки сертификата, в результате чего была обнаружена серьёзная проблема, но об этом позже. Короче говоря, мне очень понравилось наше общение и я предложил Юлии поучаствовать в написании данного поста.
Поэтому не буду тянуть и передаю слово Юле, она вам расскажет о том, для чего используются SSL сертификаты, как проходит процесс проверки для разных типов SSL и в каких случаях их лучше применять.
Дорогие читатели, буду рада, если предоставленная ниже информация окажется Вам полезной и поможет определиться с SSL сертификатом, когда появится такая задача. Тем более, когда в свете последних событий (а именно после обнаружения уязвимости Heartbleed) начали ходить слухи о том, что в будущем наличие SSL сертификатов на коммерческих сайтах войдет в список факторов ранжирования и будет позитивно оцениваться в поиске Google. Официального заявления компания не делала, хотя на конференции SMX West 2014 Мэтт Каттс высказал свое пожелание видеть зашифрованное соединение частью нового алгоритма (прим. публикация об том на серче). Нам же остается пока следить за новостями.
Начать хочу с того, что SSL сертификаты используются для защиты передаваемой информации в разнообразнейших областях: при взаимодействии с клиентами (регистрация и авторизация на сайте, передача данных от клиента на сервер, оплата кредитными картами), передача конфиденциальных данных в интранете, обеспечение безопасной коммуникации между сотрудниками, работающими удаленно, защита приложений и почтовых серверов. Кроме защитной функции следует обратить внимание на то, что наличие SSL сертификата на сайте позитивно влияет на доверие посетителей и может дополнительно мотивировать посетителя совершить определенное действие на странице (например, зарегистрироваться или завершить покупку).
Как Александр заметил в начале статьи, действительно существует огромное количество сертификатов, поэтому мы их разделили на подкатегории, чтобы было проще сориентироваться.
С одной стороны мы разделяем SSL сертификаты в зависимости от количества защищаемых доменов:
- 1 домен – защищает соединение с одним доменным именем, например, вы можете заказать его для домена my-site.ru или для поддомена pay.my-site.ru, и защищен будет именно тот, что указан во время заказа. Используется для простых веб-сайтов или отдельных разделов веб-ресурсов.
- Домен и все его поддомены – SSL сертификаты типа Wildcard, которые защищают доменное имя и все поддомены уровнем ниже. Заказывая такой SSL сертификат, важно указать название сайта в формате *.my-site.ru, тогда на месте звездочки сможет оказаться любой существующий и будущий поддомен Вашего веб-сайта.
- Несколько доменов – мультидоменный SSL сертификат способен сэкономить Ваше время для заказа, установки и управления, так как включает все указанные во время оформления домены и/или поддомены. Чаще всего применяется на почтовых серверах или же владельцами нескольких доменов.
С другой стороны существуют разные типы валидации заказчика для получения того или иного сертификата SSL, которые впоследствии определяют уровни «престижа» сертификатов:
- Валидация домена – подходит для физических и юридических лиц и заключается в подтверждении заказа по административной электронной почте или с помощью http-запроса.
Лучше всего подходит для небольших сайтов без онлайн оплаты, для внутреннего пользования, для защиты iframe приложений, то есть в тех случаях, когда важно обеспечить безопасную передачу данных, но пользователю не обязательно знать, какой компании принадлежит защищенный сайт. - Проверка компании – выдается юридическим лицам без проблем, для этого нужно, кроме подтверждения по электронной почте, пройти валидацию по телефону. Особых сложностей данный процесс не представляет, когда в заказе, в данных о домене и в телефонном справочнике совпадает название и адрес компании. Физическим лицам такие SSL сертификаты теоретически также выдаются, но практически процедура достаточно сложная, так как требуется ряд документов, заверенных нотариусом.
SSL сертификат с проверкой компании содержит название фирмы и используется в тех случаях, когда необходимо не только защитить соединение, но и указать, кто является владельцем сертификата. Например, это очень важно в случае сертификатов разработчика для подписи программного кода, а также когда SSL сертификат выдается на IP адрес, или же когда владелец веб-сайта желает дать возможность посетителям проверить принадлежность сайта своей компании (для этого нужно кликнуть на замок в адресной строке и просмотреть свойства SSL сертификата). - Расширенная проверка компании, помимо вышеперечисленных методов валидации по электронной почте и телефону, подразумевает проверку юридических документов компании и требует официальное заявление и соглашение с центром сертификации о выпуске данного SSL сертификата. Выдаются SSL сертификаты EV (от Extended Validation – расширенная валидация) исключительно юридическим лицам.
Особенностью SSL сертификатов с EV является окрашивание адресной строки браузера в зеленый цвет, кроме того в ней появляется название компании. Эти характеристики выделяют сайт среди конкурентов и привлекают внимание посетителей, поэтому такой тип SSL сертификатов идеально использовать для онлайн-магазинов, финансовых учреждений, платежных систем, то есть в тех случаях, где доверие клиентов имеет первостепенное значение.
Для SEO-блога было бы также логично затронуть вопрос о том, как переход на https:// влияет на ранжирование сайта. Первым делом хочу заметить, что еще в апреле 2013 года Джон Мюллер (Google) сообщил, что страницы, защищенные SSL сертификатом, ранжируются точно так же, как и простые страницы http://. Тем не менее, чтобы не возникло проблем с поисковыми системами, при установке SSL сертификата необходимо учесть следующие факторы:
- Скорость загрузки.
Хостинг, на котором расположен Ваш сайт, должен справляться с дополнительной нагрузкой при SSL соединении, так как скорость загрузки является одним из факторов ранжирования в поисковых системах. Защищенный SSL сертификатом сайт требует больше ресурсов нежели обычный, так как соединение по протоколу https шифруется. Поэтому важно учесть это явление при установке SSL сертификата. - 301 редирект.
Поисковые системы ценят уникальный контент на веб-сайте, поэтому важно убедиться, что все содержимое сайта на http:// перенаправляется с использованием простого 301-го редиректа на эквивалентную страницу с https://. Если упустить этот момент и не настроить переадресацию, это может негативно сказаться на отношении поисковых систем к сайту, так как эти страницы распознаются как два разных веб-сайта с одинаковым контентом. - Инструменты для веб-мастеров.
По той же причине следует вносить в инструменты веб-мастеров версию сайта на https:// отдельно в качестве нового сайта.
Пожалуй, это была основная информация, которая может понадобиться при выборе и дальнейшем использовании SSL сертификата. Конечно же, бывает множество нюансов и индивидуальных требований, таких как защита версий сайта с www. и без, использование одного сертификата на нескольких физических серверах или поддержка высокого уровня шифрования устаревшими браузерами, но их лучше рассматривать в каждом индивидуальном случае, так же, как и вопросы установки и устранения ошибок. Поэтому я и мои сотрудники будем рады ответить на любые вопросы читателей этого замечательного блога.
alaev.info
Google настаивает на HTTPS
HTTPS был внесен в стандарты интернета в 2000 году. Но пик интереса к теме пришелся на конец 2013 – начало 2014 годов. Тогда появились новости о намерении Google учитывать HTTPS в поисковой выдаче. В августе 2014-го компания подтвердила слухи, опубликовав статью в блоге вебмастеров. В ней был четкий посыл: HTTPS – фактор ранжирования, потому что обеспечивает безопасность передачи данных.
Для сообщества вебмастеров и владельцев сайтов новость от Google должна была стать сигналом: хочешь быть в топе выдачи – подключай защищенное соединение. Но были оговорки: пока фактор учитывается в менее чем 1 % всех запросов и даже там имеет меньший вес, чем, например, уникальность контента. Хотя и было сказано, что со временем фактору могут придать большее значение, массового перехода на HTTPS не случилось.
Позже компания стала действовать через Google Chrome.
- С января 2017 года браузер начал помечать HTTP-страницы, которые собирают пароли и данные кредитных карт, как небезопасные.
- В октябре 2017 года вышел Chrome 62, который считает небезопасными HTTP-страницы, собирающие любые данные – адреса почты, логины и др. А в режиме «Инкогнито» – вообще все сайты без SSL.
- В июле 2018 года выйдет Chrome 68, который будет отмечать все HTTP-сайты как ненадежные. Исследования показали, что люди не замечают, что знака нет или вовсе «слепнут» к подобным предупреждениям. С июля маркировка будет выглядеть следующим образом:
В целом движение за переход на HTTPS исходит от CA/Browser Forum, куда входят центры сертификации, производители браузеров и других приложений, работающих с SSL/TLS.
Формальность или необходимость
Google Chrome используют 55 % пользователей рунета, поэтому веб-мастерам приходится считаться с мнением Google. При этом многие из них не согласны с IT-гигантом.
Основные аргументы «против»:
- не все страницы в интернете содержат или собирают чувствительные данные, перехват которых может быть болезнен для посетителей;
- влияние HTTPS на ранжирование страниц в поиске, судя по всему, несущественно;
- подключение HTTPS требует покупки SSL/TLS-сертификата, что некоторых людей наводит на мысли об очередном вымогательстве денег.
Поэтому многие веб-мастеры просто игнорируют рекомендации компании.
Аргументы от Google
Считать HTTPS необходимым только для сайтов, которые обрабатывают конфиденциальные данные – заблуждение. Так думают в Google. Вот главные аргументы.
Безопасность
Опасен перехват любых данных. Каждый незащищенный HTTP-запрос может раскрывать информацию об интересах и поведении пользователей. Агрегируя действия на разных сайтах, злоумышленники делают выводы об их поведении и намерениях, а также раскрывают личности.
Еще один момент. Внедрившись в соединение между сайтом и пользователем, злоумышленник может не только украсть, но и подменить информацию. Это как если бы почтальон открывал письма и переписывал их. Хакеры добавляют на HTTP-страницы вирусы, рекламу порно-сайтов или нелегальных товаров. Пользователь думает, что это и есть ваш сайт. HTTPS защищает от подобных историй.
Следование трендам
Протокол нужен для «прогрессивных веб-приложений» – сайтов, которые на десктопе работают как стандартные веб-страницы, а на мобильном или планшете – как приложения. Они надежны, быстро загружаются, работают офлайн.
Поэтому в Google уверены, что HTTPS – будущее интернета. С 2015 года его можно обеспечить бесплатно с помощью Let’s Encrypt – центра сертификации, спонсируемого Google и другими компаниями.
Выводы
SSL нужен, если вы:
- собираете конфиденциальные данные пользователей (пароли, данные банковских карт);
- хотите снять часть возражений покупателей перед покупкой;
- не хотите, чтобы незащищенностью вашего сайта воспользовались мошенники;
- работаете над SEO и для вас важны все, даже минимальные факторы повышения в выдаче.
Как выбрать SSL-сертификат
Существует несколько видов SSL-сертификатов. Подробнее о них уже писали, поэтому пройдемся тезисно. Выбор зависит от того, владеет сайтом физ- или юрлицо, а также от количества сайтов и поддоменов.
Владелец сайта
От владельца зависит уровень проверки, который необходимо пройти сайту для получения SSL-сертификата.
Физическое лицо
Если ресурсом владеет физическое лицо, то на него можно установить только сертификат вида Domain Validation (DV). Этот сертификат подтверждает право владения доменом и больше ничего. Для проверки нужна почта на домене сайта. Бесплатные DV-сертификаты выдает доверенный центр Let’s Encrypt.
Организация
Если сайтом владеет компания, может быть несколько вариантов:
- Сайт-визитка компании или организации. На сайте не собирают никакие платежные данные. Существует только для информирования. В таком случае подойдет сертификат с уровнем проверки Domain Validation. Он шифрует данные, избавляет от заглушки с надписью «небезопасно» в браузере, и – все.
- Сайты банков, платежных систем, сетевых гипермаркетов или СМИ. На сайте собирают деньги или данные, которые дают доступ к деньгам. Чтобы получить доступ к деньгам, мошенники могут его скопировать. Поэтому нужен сертификат с проверкой организации – Extended Validation (EV). Его может получить только реальная организация-владелец сайта, ее название и вид деятельности будет указан в сертификате. В строке браузера появится зеленая полоска с названием компании.
- Небольшой интернет-магазин, сайт благотворительного фонда, форум. Сайт неинтересен мошенникам, но клиенты могут пожелать удостовериться в существовании организации. Здесь нужен сертификат с проверкой организации – Organization Validation (OV). Название организации будет отражено в сертификате, в строке браузера появится зеленый замочек.
Наличие SSL-сертификатов показывает не только Google Chrome. Его отображают также «Яндекс.Браузер», Microsoft Edge, Firefox, Safari, Opera.
Число сайтов и поддоменов
- Один сайт и несколько поддоменов (Wildcard, WC) – *bestsite.ru, *forum. bestsite.ru, *blog.bestsite.ru и др.
- Несколько сайтов (Multi Domain, MD) – *bestsite.ru, *bestsite.com, *perfectsite.ru. Если сайтов два или три, бывает выгоднее купить несколько SSL с поддержкой одного домена: сложнее устанавливать и продлевать, зато в несколько раз дешевле.
Цена SSL зависит от его типа. Самые дешевые сертификаты (от 1 тыс. рублей) – DV с поддержкой одного домена. Самые дорогие (от 22 тыс. рублей) – мультидоменные с расширенной проверкой организации.
Как выбрать удостоверяющий центр
Вы прошлись по пунктам выше и получилось, что вам нужен мультидоменный SSL-сертификат с уровнем проверки OV. Осталось выбрать, где его купить. SSL выдают удостоверяющие центры (УЦ). Они подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи.
Список всех доверенных удостоверяющих центров опубликован на сайте CA/Browser Forum. Топ-10 центров выдачи SSL можно посмотреть на сайте w3tech.com. С точки зрения пользователя существенное различие между удостоверяющими центрами только одно – цена на SSL-сертификаты. Исходя из своего опыта можем сделать несколько замечаний, но они не подтверждены никакими исследованиями. Предупреждаем, это только наши мысли.
Цена не показатель
С SSL-сертификатами не так, как с хлебом или машиной: дороже не значит качественней. Все доверенные удостоверяющие центры выпускают SSL-сертификаты по установленным стандартам, поэтому смысла доплачивать за бренд нет. Большая разница в цене объясняется скорее маркетинговой политикой удостоверяющих центров: кто-то нацелен на корпоративных клиентов, кому-то интересны только западные рынки, а кто-то хочет продавать как можно больше и поэтому снижает цену до минимума. Поэтому выбирать по цене – разумно. Также разумно использовать для сравнения цен сайты посредников (вроде «ЛидерТелекома», FirstSSL или ISPsystem): нередко SSL-сертификаты там дешевле, чем у прямых продавцов.
Бренд не гарантирует надежность
Удостоверяющий центр может утратить доверие или просто развалиться. Так уже случалось. При этом именитое название ничего не гарантирует. Недавно доверие утратило подразделение Symantec, занимающееся выдачей SSL-сертификатов. При этом компания Symantec – один из лидеров в области производства ПО – продолжила существовать. Покупатели сертификатов от Symantec не потеряли деньги: с декабря 2017 года SSL группы Symantec выпускает DigiCert. Их по-прежнему можно покупать и устанавливать.
Замечание про Comodo
Еще одно замечание из нашего опыта. Сегодня Comodo является самым популярным удостоверяющим центром в мире. Этот УЦ выдает сертификаты быстро, здесь одни из самых дешевых сертификатов и быстрая выдача. При этом сертификаты с проверкой организации или расширенной проверкой выдаются только после покупки DUNS-номера. Из-за этого сертификат обходится в несколько раз дороже. У других УЦ подобного требования нет.
Возможно есть и другие особенности, которые нам неизвестны. Если есть что сказать о различиях удостоверяющих центров – пишите в комментариях, обсудим.
Как получить SSL-сертификат
Процесс получения зависит от места покупки. Универсальная история выглядит примерно так:
- Выбрать SSL на сайте посредника или в УЦ.
- Ввести необходимые данные. Обязательно: домен и адрес почты, телефон контактного лица. Для получения DV-сертификатов этого достаточно. Для OV или EV понадобятся сведения и документы, подтверждающие юридическое существование организации и соответствие деятельности заявленной (ИНН, выписка из ЕГРЮЛ, упоминание в общедоступных справочниках вроде nalog.ru или yellowpages.com и другие).
- Получить на почту письмо активации, проследовать по ссылке.
- Пройти проверку (от 20 минут до нескольких суток или даже недель, в зависимости от типа SSL). В это время УЦ может запросить дополнительные документы.
- Получить на почту файлы сертификата. Установить.
Как установить SSL
SSL-сертификат устанавливается в файлах конфигурации веб-сервера (Apache или Nginx). Инструкции по установке высылает центр сертификации. Процесс упрощается, если вы используете панель управления веб-сервером – ISPmanager, CPanel, Plesk и другие. Инструкции по установке найдете в документации разработчиков панелей.
После настройки SSL-сертификата необходимо разобраться с поисковиками. Сначала добавьте доступный по новому протоколу сайт в список своих сайтов в «Яндекс.Вебмастере» и настройте зеркало сайта, следуя рекомендациям «Яндекса». После добавьте новый адрес в Google Search Console, согласно рекомендациям Google. Настройте редирект с HTTP на HTTPS для домена в панели управления веб-сервером.
nuzhen-li-ssl-sertifikat-i-kak-ego-poluchit
texterra.ru
Как установить сертификат?
1. Зайдите в панель ISPmanager с правами супер-пользователя (root).
2. Перейдите в раздел Интеграция → Модули, установите бесплатный плагин Let’s Encrypt
3. Перейдите в Настройки web-сервера → SSL-сертификаты, выберите Let’s Encrypt
4. Выберите пользователя и домен, на который хотите установить сертификат. Домен должен быть делегирован, т.е. по нему должен открываться сайт — иначе сертификат не будет выдан. Заполните остальную форму.
5. Сертификат автоматически установится на сайт с выбранным доменом. Сначала на сайт устанавливается самоподписанный сертификат, который после завершения процесса заменяется полноценным. Дождитесь выпуска сертификата — тип должен смениться на «Существующий».
6. Готово! Ваш сайт защищен подписанным сертификатом Let’s Encrypt — в адресной строке должен быть зеленый замок. Сертификат действует бессрочно.
Для чего подходит?
Сертификаты Let’s Encrypt подходят для защиты веб-сайтов. Сертификат не получится использовать для подписи кода и шифрования email.
Какие типы проверки выполняются?
Только проверка домена (DV, domain validation). Поддержка проверок OV и EV отсутствует и не планируется.
Как быстро выпускается?
Сертификат Let’s Encrypt выпускается и начинает работать в течение нескольких минут. Главное условие — домен, к которому привязывается сертификат, должен быть делегирован. Проверить просто: напишите доменное имя сайта в адресной строке браузера и нажмите Enter. Если вы увидите свой сайт, то всё в порядке — можно приступать к получению сертификата.
Сколько действует сертификат?
Вечно, при наличии на сервере панели управления ISPmanager. При отсутствии панели сертификат продляться не будет! Почему так? Сертификаты Let’s Encrypt выпускаются на 3 месяца. Плагин ISPmanager обновляет сертификат автоматически за 7 дней до окончания очередного срока. Если удалить панель, то при окончании очередных 3-х месяцев сертификат не обновится и перестанет определяться браузерами — появится перечеркнутый значок HTTPS и предупреждение о небезопасном подключении. В этом случае обновлять сертификат придется вручную каждые 3 месяца, либо самостоятельно настроить авто-обновление с помощью стороннего ПО.
Будет ли сертификат определяться браузерами как доверенный?
Да, будет. Поддерживается большинство современных браузеров. Детальную информацию о совместимости можно найти на официальном форуме поддержки.
Можно ли использовать в коммерческих целях?
Да, можно. Именно для таких целей сертификат и создавался.
Поддерживаются ли национальные домены (IDN)?
Сертификаты Let’s Encrypt поддерживают IDN — доменные имена с использованием символов национальных алфавитов. Вы можете использовать сертификат для кириллических доменов вида мойсайт.рф.
Поддерживаются ли поддомены (wildcard)?
Сертификаты Let’s Encrypt поддерживают wildcard. Проверяются такие сертификаты только через DNS-записи.
Поддерживается ли мультидомен (SAN)?
Нет. Сам сертификат поддерживает SAN до 100 разных доменов, но автоматизированный процесс привязки в панели исключает использование этой возможности. Каждый домен придется настраивать отдельно.
Как настроить автоматический редирект на HTTPS?
Даже если на сайте установлен сертификат, посетитель может набрать в браузере адрес через http://..., либо перейти по старой ссылке в поисковой системе. В этом случае его подключение не будет безопасным, и он не узнает, что сайт использует SSL-сертификат для шифрования передаваемых данных. Чтобы все запросы посетителей сайта шифровались сертификатом, необходимо настроить редирект HTTP → HTTPS.
Редирект на связке Apache+Nginx
1. В панели управления ISPmanager перейдите в Домены → WWW-домены, выберите домен с сертификатом и нажмите Изменить.
2. В настройках установите галочку Перенаправлять HTTP-запросы в HTTPS и примените изменения.
3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.
Редирект на чистом Apache
1. В панели управления ISPmanager перейдите в Домены → WWW-домены, выберите домен с сертификатом и нажмите Конфиг.
2. В конце первого блока VirtualHost (перед первой строкой </VirtualHost>) добавьте код:
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.
firstvds.ru