Бесплатный ssl сертификат для сайта

Что такое SSL-сертификат простыми словами

Представьте, что вы участник захватывающей детективной истории со шпионским сюжетом. Вам нужно срочно и, конечно же, тайно (чтобы вражеская разведка не смогла заполучить и прочесть ваше сообщение) связаться с иностранным агентом.

На этот случай у вас с агентом есть специальный шифр, известный только вам двоим. Скажем, книга Яна Флеминга «Из России с любовью» – у каждого по экземпляру. Вы пишете агенту письмо с обычным текстом, затем меняете все слова на числа. Например, число 123 будет означать, что нужное слово расположено в ваших книгах на первой странице во второй строке третьим по счету.

Адресат, получив цифровое послание, расшифровывает его с помощью своего экземпляра книги Флеминга. Если вдруг посланием завладеет вражеская сторона, вряд ли она сможет его разгадать – никто ведь не знает, какую книгу вы с агентом условились использовать для тайной переписки.

Для каждого нового сообщения у вас есть новые книги, причем каждый раз уникальные, – на всем свете нет больше таких изданий – только два ваших образца.

К тому же доставку сообщения вы доверяете не «Почте России», а самому быстрому ястребу, прикрепив письмо к лапе, – он молнией мчится от вас напрямую к агенту и дорожит своей миссией больше, чем собственной жизнью, – ни единой душе не удастся похитить это послание.

Подобным образом действует и протокол SSL. Сайт – это вы в детективе, а ваш хостер-провайдер – это иностранный агент. Зашифрованное письмо – любая информация, которую оставляют у вас на сайте посетители: начиная от адреса электронной почты, заканчивая номером пластиковой банковской карты. Стремительный ястреб – не что иное, как прямой цифровой туннель для взаимодействия сайта и сервера.

Такая шпионская игра с «уникальными книгами» и есть протокол. А чтобы получить доступ к работе с ним, следует обзавестись SSL-сертификатом. Что это и зачем, легко понять, назвав сертификат своего рода удостоверением «личности» вашего сайта в Сети. 

Вас также может заинтересовать: Как перенести сайт на новый хостинг: 5 практичных шагов

Зачем вообще SSL?

1. Лучше выглядит в браузере

Браузеры, с недавних пор, очень не любят сайты без SSL. И они будут пытаться помешать вашим посетителям регистрироваться и оплачивать покупки.

Вот так выглядит сайт без SSL (обычная страница) в современных браузерах:

Chrome (Хром)

Firefox

Яндекс Браузер

Не так плохо, но веселье начинается если вы начнете вводить пароль или данные банковской карты. Будет вот так:

Chrome (Хром)

Firefox

Яндекс Браузер

Как думаете, отпугнет ли это часть ваших посетителей? Конечно да. И это еще не все, Firefox, когда ваш посетитель будет вводить свои данные, покажет ему вот такое окошко:

С SSL сертификатом же все выглядит намного лучше:

Chrome (Хром)

Firefox

Яндекс Браузер

2. Положительно сказывается (или будет) на позициях в поисковых системах

В Google сайты с SSL начали ранжироваться выше с 2014 года, но на очень ограниченном числе запросов. Сейчас это влияет все больше и больше.

Насчет Яндекса я не нашел информации по этому поводу, но, скорее всего, они тоже это учитывают как один из второстепенных параметров.

Минусы подобного решения

Особенно эта проблема ощущается в работе WordPress, при переводе его на HTTPS, он утопает в бесконечных редиректах. Происходит это как раз по причине конфликта, поскольку сервер работает по HTTP, а WordPress мы заставляем работать через HTTPS. Решается эта проблема установкой плагина CloudFlare Flexible SSL. Этот плагин не требует настройки и начинает работать сразу после активации. В случае с другими CMS вам потребуется искать решение этой проблемы самостоятельно.

Ещё один существенный минус заключается в том, что данное решение не начинает работать сразу. Это происходит по причине того, что требуется время на обновление DNS-серверов, поскольку мы у своего домена меняем записи касающиеся именно DNS. На этом все минусы кончаются и начинаются плюсы, а плюсов там полно.

Но все эти минусы теряют свою актуальность если вы заморочитесь о самподписном SSL-сертификате для вашего сайта, в таком случае все ништяк и проблем не будет в принципе.

Недостатки использования.

• Перевод сайта на HTTPS– что бы перевести сайт на работу по протоколу HTTPS потребуется тщательная проверка и возможно корректировка страниц сайта. Так же потребуется осуществить «переезд» сайта в поисковых системах, что может повлечь, кратковременное снижение и «выпадение» из поисковой выдачи. Ведь для поисковых систем сайт HTTP и HTTPS это два совершенно разных сайта. Но в течении некоторого времени, а точнее после переиндексации сайта, страницы в поиске будут восстановлены.
• Вам необходимо купить SSL-сертификат– если вы являетесь владельцем сайта на котором проводятся финансовые операции, интернет торговля т.е. требуется подтверждение бизнес-уровня;

Результаты работы Cloudflare

Поскольку изначально я заморочился настройкой Cloudflare из-за превышения нагрузки, которую создавали мои сайты, то само собой в качестве результата я ожидал снижение нагрузки. На момент настройки картина была вот такая:

Как видите налицо систематическое превышение, которое мне грозило блокировкой сайтов. Я не знаю по каким причинам, но SpasceWeb не спешило меня блокировать несмотря на то, что превышение допустимой нагрузки продолжалось недели две. В конце графика можно видеть пустой столбец, это результат настройки Cloudflare, нагрузка упала до значений, которые были когда мои сайты никто не посещал.

Самостоятельное получение бесплатного SSL-сертификата для сайта

Для того, чтобы получить бесплатный SSL-сертификат и перейти на https потребуется посетить сайт https://www.sslforfree.com/, где в первую очередь рекомендуется зарегистрироваться, кликнув на «Login».

Теперь вписываем адрес сайта (Важно! Если выдается сертификат для поддомена, то необходимо ввести его адрес, например, poddomen.site.ru) и нажимаем на «Create Free SSL Certificate»

В появившемся окне «ZeroSSL» выбираем «New Certificate».

Вводим домен, например, «seopulses.ru».

Выбираем 90 дней.

Важно! Бесплатно можно получить только на 90 дней!

Оставляем все без изменений и переходим на следующий шаг через кнопку «Next Step».

Теперь нам предлагается 3 способа подтверждения:

1. Через почту;
2. DNS;
3. Загрузку HTTP файла.

О каждом из этих способов указано ниже.

Подтверждение по почте

В этом случае система предложит написать на одну из почт:

• admin@
• administrator@
• hostmaster@
• postmaster@
• webmaster@

В этом случае будет отправлено письмо с кодом на указанный электронный адрес, через которое можно будет подтвердить информацию.

В этом случае лучше всего:

• Подключиться доменную почту на сервере;
• Подключиться к Яндекс.Коннекту (есть бесплатный тариф);
• Mail.ru для бизнеса (есть бесплатный тариф);
• GSuite (От 5,4$ за пользователя).

Если указанной почты нет среди аккаунтов, то следует ее создать, например, в интерфейсе Яндекс.Коннекта это выглядит так:

Отправляем письмо для проверки.

В системе видно, что сообщение отправлено.

Далее приходит письмо на почту, где нужно скопировать проверочный код и перейти на страницу верификации.

На проверочной странице вводим ключи и нажимаем на «Next».

Закрываем страницу.

В ZeroSSL обновляем статус заявки.

Видим, что все прошло успешно и кликаем на «Install Certificate».

Скачиваем бесплатный SSL-сертификат через кнопку «Download Certificate (.zip).

При необходимости можно сказать в разных форматах, например, для:

• Apache;
• AWS;
• cPanel
• NGINX;
• Ubuntu;
• И многих других.

Далее переходим к установке его на сервер.

Важно! Одни аккаунт может иметь до трех доменов с сертификатами бесплатно

Подтверждение бесплатного SSL-сертификата через DNS

На этапе выбора подтверждения кликаем на «DNS», где получаем нужные данные для ввода.

На следующем шаге видим, что система мониторит записи для подтверждения.

Переходим к хостинг-провайдеру (или другой интерфейс, куда через NS был делегирован домен) и переходим к редактированию DNS.

Добавляем новую TXT-запись.

Вводим выданные нам значения.

Важно! Name содержит запись для поддомена (111.site.ru), следует вводить только указанный только до домена код. Важно! Во многих системах интерфейс может быть различных, например, на примере в Timeweb не требуется ввод TTL, поэтому это опускаем

Важно! Во многих системах интерфейс может быть различных, например, на примере в Timeweb не требуется ввод TTL, поэтому это опускаем

Все готово, можно переходить к его установке.

Подтверждение бесплатного SSL через HTTP-файл

Выбираем пункт для подтверждения «HTTP File Upload» и скачиваем файл.

Система начинаем проверку.

Далее переходим в панель управления сервером или FTP-аккаунт, где в корневой папке сайта (как правило, public_html) создаем папку «.well-known».

В ней аналогично создаем еще одну папку «pki-validation».

Загружаем файл, скачанный в самом начале инструкции.

Все готово подтверждаем информацию (аналогично почте) и получаем сертификат.

Шаг 6. Настраиваем автоматическое обновление

Сертификаты от Let’s Encrypt действуют только в течение 90 дней. Это побуждает пользователей к автоматизации процесса обновления. Нам понадобится создать регулярно запускающуюся команду для проверки и автоматического обновления сертификатов, срок которых истекает.

Для запуска проверки ежедневных обновлений мы будем использовать Cron — стандартный системный сервис для запуска повторяющихся задач. Задачи Cron указываются в файле под названием :

Вставьте следующую строчку в конец файла, затем сохраните и закройте его:

Часть строчки означает «запускай следующую команду в 3:15 ночи ежедневно». Вы можете выбрать любое время.

Команда для Certbot проверит все сертификаты, установленные в системе, и обновит каждый, срок использования которого истекает менее, чем через 30 дней. Ключ говорит Certbot’у ничего не выводить и не ждать ввода от пользователя. перезагрузит Nginx, чтобы он использовал новые файлы сертификата, но только в случае, если произошло обновление.

Cron будет запускать эту команду каждый день. Все установленные сертификаты будут автоматически обновлены и подгружены, когда останется меньше 30 дней до истечения срока их действия.

Как установить

1. Зайдите в панель ISPmanager с правами супер-пользователя (root).

2. Перейдите в раздел Интеграция → Модули, установите бесплатный плагин Let’s Encrypt

3. Перейдите в Настройки web-сервера → SSL-сертификаты, выберите Let’s Encrypt

4. Выберите пользователя и домен, на который хотите установить сертификат. Домен должен быть делегирован, т.е. по нему должен открываться сайт — иначе сертификат не будет выдан. Заполните остальную форму.

5. Сертификат автоматически установится на сайт с выбранным доменом. Сначала на сайт устанавливается самоподписанный сертификат, который после завершения процесса заменяется полноценным. Дождитесь выпуска сертификата — тип должен смениться на «Существующий».

6. Готово! Ваш сайт защищен подписанным сертификатом Let’s Encrypt — в адресной строке должен появиться замок. Сертификат действует бессрочно.

Преимущества платных SSL-сертификатов

Когда вебмастер или владелец web-сайта покупает сертификаты SSL, он заполучает ряд существенных плюсов.

1. Удобно применять. Нет надобности постоянно проверять срок действия SSL-сертификата и регулярно (раз в 3 мес.) делать переоформление. Платный криптографический протокол нуждается в обновлении только раз в 12 мес.

2. Почти полное совмещение с браузерами – до 99%. Фактически этой цифрой обозначается спокойная работа большинства web-сайтов, на которых установлен платный SSL-сертификат. Браузерное предупреждение об опасности не появляется, трафик не падает, пользователи не опасаясь вводят данные, услуги и товары продаются.

3. Защита высокого уровня. У бесплатных сервисов ключи доступа обычно короткие, а у платных – длинные. Продолжительность комбинации сильно утяжеляет «работу» хакерам, поэтому частотность взломов предельно минимизируется.

4. Гарантированное предотвращение взломов. Платные SSL-сертификаты обеспечивают возможность страховки, размер которой обуславливается статусом регистрационного центра либо видом самого сертификата. Когда злоумышленникам удаётся взлом протокола, обязательно владельцу сайта будет компенсация.

5. Минимальный процент отказов. При оптимизации и SEO-продвижении данный фактор крайне значимый. Владельцы простых сертификатов здесь получают негативный эффект.

6. Абсолютно полноценная, профессиональная техподдержка через любой способ связи. Дополнительно могут предоставляться какие-то дополнительные премиум-материалы, инструкции, видеоуроки на нужном языке.

Во время проблем с продлением или выпуском сертификата SSL специалисты компании самостоятельно разрешают все нюансы с удостоверяющим центром.

Самоподписные SSL-сертификаты

Получение сертификата – процедура платная, а срок его действия ограничен. По этой причине многие пользуются так называемыми самоподписными SSL-сертификатами. Их можно свободно (без оплаты) сгенерировать с помощью панели управления хостингом прямо на веб-сервере. Но не всегда есть резон пользоваться самоподписными версиями.

Современные браузеры обязательно проверяют, каким удостоверяющим центром выдан сертификат, если незнакомым, то есть это случай самоподписного сертификата, то последует предупреждение об ошибке и на экране появится окно с сообщением: «Сертификат безопасности сайта не является доверенным!»

С подобными проблемами столкнется каждый, кто не беспокоится о безопасном https-соединении. Впрочем, самозаверенными сертификатами спокойно можно пользоваться внутри организации, если она небольшая, а сотрудники добавили сертификат в доверенные, потому что его происхождение известно. Кроме того, сертификаты подойдут для работы на сервере Apache при создании и тестировании приложений.

Вас также может заинтересовать: Шпаргалка по настройке 301 редиректа

Недостатки платных SSL-сертификатов

Отрицательных моментов крайне мало. Основные недостатки платных SSL-сертификатов:

1. Услуга платная – приходится ежегодно выплачивать суммы от 1 000 примерно до 16 000. Все виды платных SSL-сертификатов различаются свойствами и количеством защищаемых доменов, поэтому цены разные.

2. Случается затяжка оформления – каждый вариант характеризуется своими особенностями регистрации. Так, выпуск DV SSL почти моментальный в случае быстрого подтверждения клиентом своих данных.

3. Получения OV SSL нужно ждать до 2–3 суток, а EV SSL заказчик получает не ранее чемчерез 5 суток. Криптографический протокол для коммерческих web-сайтов требует подтверждения легальности бизнес-деятельности.

Разница между HTTP и HTTPS

HTTP – это протокол прикладного уровня, который используется для передачи данных в сети. Этот протокол дает возможность передавать запросы от клиента к серверу и получать от сервера ответы на эти запросы.

Что касается HTTPS, то это не другой отдельный протокол, а расширение протокола HTTP. Это можно понять уже по расшифровке аббревиатур:

• HTTP – HyperText Transfer Protocol (в переводе «протокол передачи гипертекста»);
• HTTPS – HyperText Transfer Protocol Secure (в переводе «защищенный протокол передачи гипертекста»).

​

Если по HTTP данные передаются в незащищенном виде, то HTTPS обеспечивает их криптографической защитой, то есть уберегает данные от несанкционированного доступа.

Онлайн-курсы программирования для детей

В современном мире профессии, которые связаны со сферами IT и
digital, пользуются огромной и заслуженной популярностью. Таким образом
программирование является необходимой дисциплиной как настоящего, так и будущего.
Лучше, чтобы дети овладели ею в самом молодом возрасте, чтобы в дальнейшем им было
легче разбираться с жизненными проблемами и рабочими задачами. Именно поэтому в
школе JunySchool для всех желающих открыт онлайн-курс программирования для
школьников.

Преимущества онлайн-обучения

С нами приятно иметь дело, потому что предоставляем:

• Бесплатный пробный урок для юных программистов, чтобы они остановили свой
  взгляд на самом подходящем направлении. Ваши дети будут введены в курс дела
  и узнают, чего смогут достичь в ходе интенсивного обучения.
• Специализированные занятия на основе «Майнкрафт» для новобранцев в Snap и
  для тинейджеров в Python.
• Грамотно поданные курс CSS и курс Javascript, после прохождения которых в
  режиме онлайн ребята станут намного лучше разбираться в веб-разработке!

К сведению, школа программирования располагает большим штатом
высококвалифицированных преподавателей, каждый из которых подходит к любимому делу с
душой. Занятия идут как в группах, так и на индивидуальной основе – выбор только за
вами! Урок проходит весьма эффективно, а студенты покидают дистанционные занятия
более эрудированными, чем ещё час назад. При этом не надо тратить деньги на
транспорт и выходить из дому – предлагаемые онлайн-курсы созданы для максимального
комфорта принимающей стороны!

Особенности курсов

Мы занимаемся обучением мальчишек и девчонок программированию на протяжении
нескольких лет, накопив богатейший и бесценный опыт

Всё, что необходимо – это
персональный компьютер, ноутбук или планшет с микрофоном и доступом во Всемирную
Паутину вкупе с горячим желанием узнать что-то новое и важное про HTML, SQL, PHP и
Minecraft.
Отлично понимая, – все дети уникальны и не похожи друг на друга, при составлении
курсов учитывается тот факт, что ученики обладают собственными и неповторимыми
скоростью поглощения данных, личными интересами и уровнем подготовки. Вот почему в
школе никогда не «загоняем» подрастающее поколение в узкие рамки, – напротив,
предоставляя определённую свободу действий во время занятий по программированию

Мы
действительно стремимся услышать ребят и добиться раскрытия их способностей. Таким
образом происходит планомерное развитие критического и творческого мышления,
коммуникабельности и командной работы.
Родители вправе решать самостоятельно, сколько часов в неделю будет обучаться
ребёнок и в какое время ему или ей удобно. Со своей стороны сотрудники «ДжуниСкул»
готовы составить индивидуальный график с учётом всех пожеланий. При этом
настоятельно рекомендуем проходить занятия по программированию для детей онлайн не
реже 1 раза в неделю.

Более 80% уроков – чистая практика. Учитель держит процесс обучения под неусыпным
контролем, способен наблюдать за происходящим на экране студента и давать правильные
указания.
По завершении курсов по программированию онлайн малыши и подростки обязательно
научатся разрабатывать веб-сайты и компьютерные игры, рисовать компьютерную графику
и анимацию, а также смогут писать приложения и узнают об основах кибербезопасности.

Мы успели зарекомендовать себя наилучшим образом – ведь у наши ученики впоследствии
есть все шансы стать истинными профессионалами. Запишите любимое чадо в JunySchool –
и увидите прекрасные плоды обоюдовыгодной сделки!

Где взять SSL-сертификат?

Обычно этими сертификатами приторговывают сами хостинги. Если вы используете один из них, то вам не придется ломать голову над тем, какой выбрать. Достаточно взглянуть на список предложенных и выбрать самый дешевый или наоборот подороже.

Сейчас популярен вариант от Let`s Encrypt. Они распространяются бесплатно, и многие хостеры поддерживают возможность быстрой установки и подключения.

Кроме этого, в интернете можно найти очень много компаний, которые как раз занимаются тем, что проверяют домены и выдают соответствующие полномочия для установки зашифрованного протокола.

Есть даже огромные сервисы, которые проводят персональную проверку, после чего выдают именной сертификат. От обычного он отличается тем, что прямо в адресной строке, возле зеленого замочка, будет видно название вашей компании. Подобный подход покажет вашим клиентам, что они имеют дело с серьезной организацией. Само собой, именная проверка стоит в несколько раз (а то и десятков) дороже.

Приведу вам список самых популярных сервисов, где вы сможете купить SSL:

• Comodo
• Thawte
• Symantec
• Geotrust
• Trustwave

Вы можете поискать и другие компании самостоятельно. Достаточно просто ввести в поиск нужный запрос, вся необходимая информация будет как на ладони.

Бесплатный SSL сертификат для сайта от хостинга

Так же, обращаю ваше внимание на то, что на сегодняшний день многие хостинги предлагают в рамках своих услуг бесплатное предоставление SSL-сертификата от Let’s Encrypt. При этом настройку автоматического сертификата они берут на себя

Поэтому, если вы все-таки решите получить для своего сайта сертификат Let’s Encrypt, первое, что я вам советую сделать – это обратится в техподдержку вашего хостинга и узнать, выдают ли они такие сертификаты. Если же нет, то возможно они смогут вам помочь с установкой такого сертификата или дать ссылку на какую-то инструкцию по установке такого сертификата именно на вашем хостинге

При этом настройку автоматического сертификата они берут на себя. Поэтому, если вы все-таки решите получить для своего сайта сертификат Let’s Encrypt, первое, что я вам советую сделать – это обратится в техподдержку вашего хостинга и узнать, выдают ли они такие сертификаты. Если же нет, то возможно они смогут вам помочь с установкой такого сертификата или дать ссылку на какую-то инструкцию по установке такого сертификата именно на вашем хостинге.

Виды SSL сертификатов.

Есть три вида SSL-сертификатов: сертификаты проверки домена (DV), организации (OV) и сертификаты высокой надежности (EV).

Строка с установленным SSL сертификатом и протоколом HTTPS внешне выглядит как на рисунке. У каждого вида браузера эта строка выглядит по разному, но общий отличительный признак наличия SSL сертификата и соединения по HTTPS является выделенные зеленые зоны.

ssl зеленая адресная строка

Чтобы понять, какой SSL-сертификат нужен для сайта, надо определить необходимый уровень подтверждения владельца домена. Если домен зарегистрирован на физическое лицо, то доступен один вид сертификата DV (Domain Validation). Этот сертификат самый простой и выпускается очень быстро. Для его выпуска достаточно подтвердить права владения доменом. Этого сертификата достаточно для большинства сайтов, блогов, персональных сайтов и разных сайтов информационного характера.

Для юридических лиц доступны все типы сертификатов и выбирать необходимый тип сертификата нужно будет в зависимости от потребностей сайта.

На рынке по выпуску SSL сертификатов основными являются компании Thawte, Comodo, GlobalSign, Symantec.

Так как в статье идет речь про бесплатный SSL сертификат, то таким сертификатом является сертификат вида DV с проверкой доменного имени, шифрованием всех передаваемых данных. Я использую бесплатный сертификат Let’s Encrypt.

В силу своей простоты сертификат Let’s Encrypt выпускается и активируется в течение нескольких минут. Для выпуска сертификата достаточно что бы домен для которого он выпускается, был делегирован. Для проверки напишите доменное имя в адресной строке web-браузера и нажмите Enter. Если вы увидите свой сайт, то всё нормально.

Типы SSL-сертификатов по своим свойствам

1. Обычные SSL-сертификаты – они подтверждают только домен, могут использоваться всеми сайтами, выпускаются автоматически.
2. SGC-сертификаты – поддерживают повышение уровня шифрования, актуальны для совсем старых браузеров с поддержкой шифрования только 40 или 56 бит, так как способствуют принудительному повышению уровня шифрования до 128 бит. Многие считают, что данные сертификаты не нужны никому, кроме больших корпораций, в которых осталось много устаревшей техники для внутреннего пользования.
3. Wildcard-сертификаты – используются, если вам нужно обеспечить шифрование не только основного домена, но и на всех его поддоменах. Допустим, имеется домен domain.com и необходимо такой же сертификат установить на support.domain.com, forum.domain.com и billing.domain.com. Впрочем, иногда выгодней приобрести несколько обычных SSL-сертификатов отдельно, для того чтобы понять выгоду, сначала посчитайте количество поддоменов, на которые нужны сертификаты.

• SAN-сертификаты – будут полезны, если вы намерены использовать один сертификат для разных доменов, которые размещены на одном сервере. В такой SSL-сертификат, как правило, включены 5 доменов, и количество их можно увеличивать кратно 5.
• Сертификаты c поддержкой IDN – обыкновенно не все центры сертификации указывают данную опцию в описании, но не все сертификаты могут работать с IDN-доменами.

Вас также может заинтересовать: Как зарегистрировать домен: советы и рекомендации

Так ли нужен сертификат сайту?

Наличие сертификата это всегда здорово, особенно если это сертификат, например, типа EV стоимостью несколько тысяч рублей в год. Если на Вашем сайте установить такой сертификат, то в адресной строке рядом с адресом Вашего сайта поселится название Вашей организации:

Но такой сертификат могут получить только юридические лица после длительной проверки организации. Но мы то хотим халявы!

Одним из популярных центров, которые которые раздают халявные бесплатные сертификаты, является StartSSL. Долгое время люди переводили свои сайты на эти сертификаты, писали кучи статей о том, как получить бесплатный сертификат. Затем всем известные WoSogn со своими сертификатами на 3 года. Вот и я повелся на халяву прикрутив себе халявный сертификат от наших китайских друзей. Был ли от этого явный прирост посещаемости? Вряд ли. Во всяком случае прирост был не больше чем погрешность ибо динамика роста практически осталась той же какой была и до установки сертификата.

Все шло замечательно пока Opera, которой я пользуюсь в качестве основного браузера, не показала мне интересное сообщение при очередном посещении моего сайта:

«Твою же ж мать….» — прозвучало в моей голове, а потом я пошел проверять как сайт открывается в других браузерах, как оказалось на тот момент только Opera послала нафик сертификат от WoSogn. К слову сказать на тот момент основным зеркалом сайта был домен с www, мне бы дураку свалить по тихой с этого SSL, но дурная голова, как понимаете, не дает покоя. В итоге был взят халявный сертификат от хостера на 1 год и вот тут меня ждала западня, поскольку данный сертификат был типа «1d», то есть сертификат выдается только на домен site.ru, а на www.site.ru сертификата нет. Вот и получилось что я своими руками обвалил трафик своего сайта.

Способы, как получить сертификат SSL

Разными хостинг-компаниями сейчас могут предлагаться отдельные услуги с неодинаковыми условиями, но получить сертификат SSL можно тремя путями.

Владельцы сайтов и вебмастера пользуются такими вариантами:

Самостоятельные действия. Этот способ целесообразнее задействовать при экспериментах, проводимых внутри ресурсов корпорации. Отдельным коммерческим сайтам, серьёзным бизнес-проектам и крупным порталам данный метод совсем неприемлемый. Нужно отказываться от него.

Получать бесплатный SSL-сертификат. Когда выполняется автоматическая установка, выходит некоторая экономия. Но здесь главный момент заключён в обеспечении невысокого уровня безопасности. Для сайтов это создаёт немалый риск.

Купить сертификат SSL. Это всестороннее обеспечение поддержки и вариантных гарантий. Подходит каждому web-сайту, онлайн-магазинам, платёжным сервисам и прочим проектам.

Sectigo

Sectigo Positive SSL — сертификат, выпуск которого занимает минимум времени, служит для обеспечения защищенного с помощью шифрования соединения. Работает только с одним именем и устанавливается только на домен или поддомен.

Sectigo Positive Wildcard SSL — этот вид сертификата будет работать на домене и всех поддоменах одного домена. Имеет упрощенную процедуру проверки при выпуске. Срок выпуска сертификата составляет несколько часов.

InstantSSL — при выпуске данного сертификата производится проверка организации со стороны Sectigo и могут быть запрошены дополнительные сведения. Работает только с одним именем и устанавливается только на домен или поддомен.

SSL Timeweb Pro — сертификат от центра сертификации Sectigo, обеспечивающий защиту для одного домена. При заказе этого сертификата мы обеспечим полную установку и настройку SSL, настроим работу сайта по https, устраним возможные ошибки, включая Mixed Content. Для SSL Timeweb Pro доступен бесплатный перевыпуск в течение всего срока действия сертификата.

EV SSL — при выпуске данного сертификата производится расширенная проверка организации со стороны Sectigo и могут быть запрошены дополнительные сведения. Срок выпуска сертификата составляет несколько дней.

Особенности данных сертификатов:

• Совместимость практически со всеми браузерами.
• Обеспечивают 128 или 256-битное шифрование.
• Поддержка национальных доменов (IDN).
• Поддержка стандартов TLS 1.2 и X.509v3.
• Длина ключа 2048 бит.
• После окончания срока действия сертификат можно продлить в течение 30 дней.

Особенности использования сертификата Sectigo Positive Wildcard SSL

Сертификаты SSL Wildcard, работающие на домене и всех его поддоменах, в рамках нашей системы устанавливаются на конкретную директорию. Соответственно, для корректной работы сайта при использовании такого типа сертификата необходимо выполнение следующих условий:

• все поддомены должны быть привязаны к директории, на которую установлен сертификат;

• файлы сайтов, размещенных на поддоменах, должны быть загружены в подпапки в основной директории сайта;

RewriteEngine on
RewriteBase /
RewriteCond %{HTTP_HOST} ^forum\.domain\.ru$
RewriteCond %{REQUEST_URI} !/forum/
RewriteRule ^(.*)$ /forum/$1 

Самоподписанный сертификат SSL

В понимании профессиональных IT-специалистов самоподписанный сертификат SSL представляет собой криптографический протокол, формируемый для отдельного IP-адреса либо персонального домена. Он также имеет альтернативные наименования – self-signed, самозаверенный, самоизданный.

Практически каждый самоподписанный сертификат SSL обладает следующими преимуществами:

1. Не требуется оплата.
2. Полная доступность. Получать бесплатный SSL-сертификат такого типа может всякий пользователь, владеющий зарегистрированным доменом.
3. Нет надобности в обращении к компании, поставляющей услуги. Никаких задержек с ответами техподдержки или консультациями в центре сертификации.
4. Быстрота процедуры. Вся последовательность действий нетрудная, когда известная специфика действий и есть навык использования особого софта. Также нужен опыт работы с SSL-библиотеками. К примеру, под Windows следует задействовать консоль PowerShell либо криптографическое хранилище OpenSSL.
5. Разрешается создавать самоизданный сертификат SSL в любых количествах.

Некоторым здесь кажется достаточным изучение особенностей self-signed сертификатов. Однако, должны непременно рассматриваться отрицательные моменты.

Недостатки такие:

1. Отсутствует надёжная защита. У браузеров нет доверия, поскольку самоподписанный сертификат SSL выдаются частниками или неизвестными юрлицами, а не специализированными центрами.
2. Присутствует опасность потери данных. Реально утратить как собственную информацию, так и персональные пользовательские данные. Они теряются непосредственно с web-сайта, имеющего бесплатный SLL-сертификат.
3. Посетители ресурса пугаются. Если человек, гуляющий по Всемирной паутине, заходит на интернет-страницу, где установлен самоизданный сертификат SSL, то видит браузерное предупреждение. Обязательно число посетителей сокращается, ведь готовность к совершению определённых действий логичным образом снижается. Все опасаются мошеннических ресурсов.
4. Реальность ошибок в процессах оформления, а также отображения SSL-сертификата. Они появляются при неправильном создании набора правил сетевого взаимодействия.

Когда требуется проведение тестирования внутренних ресурсов фирмы, но возможности или желания создавать доверенные сертификаты нет, возможно создавать самоподписанный сертификат SSL.

Хотя даже при этом обстоятельстве остаются риски. У крупной корпорации здесь будут значительные временные и трудовые затраты, так как следует качественно оптимизировать работу.

Сотрудникам нужно объяснять процедуры и схематику действий для адекватной реакции на браузерное предупреждение об опасности. При взвешенной оценке получается вывод – самоизданный сертификат SSL нежелательно применять на современных сайтах.

Установка сертификата от Cloudflare на сервер

Если вас не устраивает некоторые недочеты касаемо незащищенного канала между Cloudflare и вашим сайтом, а так же установкой всяческих костылей для обеспечения стабильной работы того же WordPress, то можно установить на сервер сертификат от Cloudflare. Этот сертификат не позволит обращаться к сайту напрямую по HTTPS, но защитит канал между сайтом и Cloudflare, поскольку данный сертификат по сути самоподписной и выпускается самим Cloudflare.

В Cloudflare мы получаем два ключа, но этого не всегда достаточно для установки на сервер. Для установки на сервер потребуется создать ещё один файл. Во всяком случае на моем хостинге требуется файл .crt или .ca_bundle. Файл .crt можно создать с помощью командной строки и OpenSSL. Сам по себе процесс создания довольно прост и состоит из двух команд. Но перед созданием надо получить ключи от Cloudflare.

Переходим на вкладку «Crypto».

Ищем секцию «Origin Certificates» и жмем кнопку «Create Certificate».

В появившемся окне ничего не меняем и жмем «Next» и видим вот такое окно:

В принципе инструкция видна на скриншоте. Для тех, кто не понял, содержимое поля «Origin Certificate» в файл с именем site.ru.pem, а содержимое «Private key» в файл с именем site.ru.key. Сохранили? Жмем «OK».

Теперь мы можем перейти к созданию нужного нам файла .crt. Все операции выполняются в системе Ubuntu Linux. Для этого наши файлы .key и .pem закидываем в домашнюю директорию, открываем терминал и выполняем две команды:

openssl req -new -key site.ru.key -out site.ru.csr

Естественно вместо site.ru.key подставляем имя своего файла. На вопрос «Common Name (e.g. server FQDN or YOUR name)» пишем имя домена сайта без www, на все остальное отвечаем релевантно или пропускаем, если нечего написать. После этого выполним вторую команду:

openssl x509 -req -days 365 -in site.ru.csr -signkey site.ru.key -out site.ru.crt

После этого у нас появится файл .crt, теперь необходимо загрузить все это дело на сервер. Я покажу это на примере моего хостера SpaceWeb. В разделе SSL я выбираю «Установка сертификата» и попадаю на страницу загрузки файлов:

В первом поле выбираю файл .crt, который создал с помощью команд, а во втором поле выбираю файл .key, полученный от Cloudflare, после чего жму кнопку «Установить». Все готово. После этого останется в разделе «Crypto»сменить Flexible на Full. Теперь Cloudflare будет обращаться к нашему сайту по HTTPS.