Всё о ssl-сертификатах простыми словами: устройство, типы, выбор

Содержание:

Что такое SSL-сертификат и для чего он нужен

Безопасность и конфиденциальность в интернете — важнейший фактор для пользователей при посещении любого сайта. Согласитесь, никому не хочется лишиться пароля от банковской карты или другой конфиденциальной информации после невинного серфинга в сети. От того насколько защищен ваш сайт зависит доверие к нему со стороны пользователей и поисковиков.

SSL — это сертификат или своего рода «удостоверение», подтверждающее, что ваш сайт безопасен для пользователей. Без этого сертификата, данные, которые вы вводите на сайте, могут быть перехвачены злоумышленниками.

Если пользователь попадает на сайт без SSL, то видит вот такую ужасную картину (с Google):

Аналогично с Яндекса:

В адресной строке все не менее печально.

Как вы понимаете, увидев подобное предупреждение, пользователь тут же покинет сайт. Поэтому SSL нужен не только магазинам, но и вообще любому современному сайту, включая личные блоги.

Соответственно дело за малым — получить сертификат и установить его на сайт. Получить SSL  можно бесплатно и платно.

Это интересно: Обучение на аналитика данных

Влияние SSL-сертификата на SEO продвижение

Как мы выяснили, на данный момент сайты с HTTPS протоколом официально не имеют преимущества в ранжировании в поисковых системах, но могут выигрывать за счет улучшения поведения пользователей на страницах ресурса. Это также относится и к поведению пользователей на сайте в конкретном браузере. Например, Google Chrome, уже начал помечать сайты с HTTP протоколом, как незащищенные:

Это в свою очередь также может негативно сказываться на поведенческих факторах пользователей, что в свою очередь приводит к понижению ранжирования сайта в поисковиках.

Какие проблемы и негативные моменты по SEO могут возникнуть при установке SSL-сертификата? Самая основная проблема — это необходимость изменения главного зеркала сайта. Переезд сайта с HTTP протокола на HTTPS предполагает удаление всех старых страниц с поисковой выдачи, и добавление этих же страниц с новым протоколом. В этом случае поисковые системы не гарантируют не только сохранение текущих показателей посещаемости и позиций сайта, но и страниц в выдаче в целом.

Что говорит практика? Мы располагаем 2 примерами переезда сайтов на HTTPS протокол. Давайте рассмотрим их.

Переезд информационного сайта на HTTPS

Информационный сайт женской тематики:

По графику посещаемости из Яндекс.Метрики видна просадка трафика во время смены главного зеркала сайта и переобхода новых страниц роботами поисковых систем. Однако в дальнейшем показатели посещаемости не только восстановились, но и продолжили свой рост. Конечно, рост траффика обусловлен не переездом сайта на HTTPS протокол, а работой над контентом. Переезд на HTTPS был запланирован в одно время с переездом сайта на новый сервер, чтобы нивелировать возможные последствия от перебоев в работе сайта. График показывает подтверждает лишь тот факт, что потеря позиций и снижение трафика имеет лишь временный эффект.

На графике представлена посещаемость одного из топовых сайтов в нише пляжной одежды и купальников. Красными линиями выделен промежуток переезда сайта на HTTPS протокол

Обратите внимание, что переезд осуществляется в декабре, когда спрос на купальники и пляжную одежду был не такой высокий. Снижение трафика на фоне естественного снижения спроса в нише оказалось незначительным

После индексации новых страниц траффик и позиции ресурса быстро восстановились. Стоит отметить, что это возрастной и авторитетный ресурс. Отчасти поэтому переиндексация страниц прошла столь безболезненно.

Конечно, существуют и обратные примеры, когда переезд на HTTPS протокол прошел более болезненно для web-ресурсов, и 2 примера мало о чем свидетельствуют. Мы лишь хотим отметить, что при правильном переезде сайта с технической точки зрения, острые углы можно максимально сгладить.

Какие типы сертификатов бывают

Новичкам, которые решили приобрести себе сертификат для своего сайта на первых порах достаточно трудно разобраться в их обозначении и предназначении, а их, этих типов, достаточно много и у каждого не только свое предназначение, но и стоимость существенно отличается.

По типу верификации сертификаты делятся на три типа:

  1. EV SSL — это сертификаты не только повышенной надежности, но и стоимости и выдается только организациям. Перед выпуском сертификата проверяется право владения доменом, а организация, которая запросила сертификат, подвергается тщательной проверке.
  2. OV SSL — аналогичен сертификату EV, но с той лишь разницей что доступен как юридическим лицам, так и физическим лицам. Организация или физическое лицо, которые запросили сертификат, подвергается не такой серьезной проверке.
  3. DV SSL — этот тип сертификата подразумевает только проверку владения доменом и выпускается автоматически. Это самый дешевый сертификат.

Сертификаты делятся по поддержке доменов на три типа:

  1. 1d — данный тип сертификат выдается только для одного домена и если Вы хотите сертификаты для домена с www и без него, то придется купить два сертификата.
  2. 1d+www — этот тип сертификата позволяет использовать домен как с www, так и без него. Если хотите использовать адрес www.site.ru, то Вам необходимо приобрести сертификат именно этого типа. Заказывать необходимо на домен с www.
  3. w.card — самый дорогой тип сертификата поскольку выдается на домен и все поддомены включая www. Такой тип сертификатов нужен разве что крупным проектам.

Конечно же бесплатные сертификаты не имеют подобной типизации поскольку Вам дают возможность выпустить кучу сертификатов на каждый домен, то есть один сертификат на site.ru, второй на www.site.ru, третий на blog.site.ru и т.д.

Но если углубиться в тему сильнее, то типов сертификатов несколько больше:

  1. Esential SSL — самый простой и дешевый тип сертификатов, которые выдается на 1 домен. Выдается как правило очень быстро и проверяется только владение доменом. Бесплатные сертификаты все без исключения именно этого типа.
  2. Instant SSL — данный тип сертификатов выдается на 1 домен и доступен как физическим так и юридическим лицам. Проверяется владение доменом и регистрационные данные компании или личности физического лица.
  3. SGC — тип сертификатов аналогичный Instant SSL, но с поддержкой повышения уровня шифрования. Актуально для тех, кому необходима поддержка старых браузеров с 40 и 56 битовым шифрованием. На вскидку, на ум приходят только банки или большие корпорации с кучей старого железа.
  4. Wildcard — как и писалось выше, данный тип сертификатов выдается для домена и все его поддомены. Если вдруг решите купить такой сертификат, то есть смысл посчитать количество поддоменов и прикинуть что дешевле, один сертификат на каждый поддомен или w.card-сертификат.
  5. SAN — полезен тем, кто хочет использовать один сертификат на нескольких разных доменов, которые размещены на одном сервере. Насколько мне известно данный сертификат обычно выдается на 5 доменов и увеличение происходит на 5. То есть если Вам нужен сертификат на 7 разных доменов, то скорее всего придется прикупить сертификат на 10 доменов.
  6. EV (Extended Validation) — этот тип сертификатов выдается только юридическим лицам, коммерческим, некоммерческим или государственным организациям и подразумевает глубокую проверку организации. На выпуск сертификата уходит от 10 до 14 дней.
  7. EV Wildcard — аналогично Wildcard но с расширенной проверкой и доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям.
  8. EV SGC — аналогично SGC но с расширенной проверкой и доступен только юридическим лицам, коммерческим, некоммерческим или государственным организациям.

Сертификаты c поддержкой IDN

Не все центры сертификации указывают наличия поддержки IDN-доменов, но и далеко не все имеют эту поддержку и вот список некоторых из центров, которые поддерживают такие домены:

  • Thawte SSL123 Certificate
  • Thawte SSL Web Server
  • Symantec Secure Site
  • Thawte SGC SuperCerts
  • Thawte SSL Web Server Wildcard
  • Thawte SSL Web Server with EV
  • Symantec Secure Site Pro
  • Symantec Secure Site with EV
  • Symantec Secure Site Pro with EV

Где взять SSL-сертификат?

Обычно этими сертификатами приторговывают сами хостинги. Если вы используете один из них, то вам не придется ломать голову над тем, какой выбрать. Достаточно взглянуть на список предложенных и выбрать самый дешевый или наоборот подороже.

Сейчас популярен вариант от Let`s Encrypt. Они распространяются бесплатно, и многие хостеры поддерживают возможность быстрой установки и подключения.

Кроме этого, в интернете можно найти очень много компаний, которые как раз занимаются тем, что проверяют домены и выдают соответствующие полномочия для установки зашифрованного протокола.

Есть даже огромные сервисы, которые проводят персональную проверку, после чего выдают именной сертификат. От обычного он отличается тем, что прямо в адресной строке, возле зеленого замочка, будет видно название вашей компании. Подобный подход покажет вашим клиентам, что они имеют дело с серьезной организацией. Само собой, именная проверка стоит в несколько раз (а то и десятков) дороже.

Приведу вам список самых популярных сервисов, где вы сможете купить SSL:

  • Comodo
  • Thawte
  • Symantec
  • Geotrust
  • Trustwave

Вы можете поискать и другие компании самостоятельно. Достаточно просто ввести в поиск нужный запрос, вся необходимая информация будет как на ладони.

Ручная установка HTTPS

Административная панель также требует перехода, как сайт. Для этого сохраняется резервная копия и добавляются следующие строки в файл конфигурации wp-config.php:

  define( FORCE_SSL_ADMIN, true ) ;

Далее сменяется адрес сайта в общих параметрах. Следует зайти «Настройки – Общие», в строках с URL-адресом вместо http указать https. Для старых проектов существуют риски, что требует предварительной консультации со службой поддержки хостинга или использования указанного плагина.

Чтобы изменить ссылки имеющихся страниц и постов ресурса – устанавливают плагин Better Search Replace. После установки, в панели управления, указать «Search for – http://mysite.ru», в строке «Replace with – https://mysite.ru». Старые адреса изменятся. Следующий шаг – уведомить поисковики о переходе на другой протокол. Для этого в файл .htaccess помещается следующий код, выполняющий 301-редирект:

  <IfModule mod_rewrite.c>RewriteEngine OnRewriteCond %{SERVER_PORT} 80RewriteRule ^(.*)$ https://www.mysite.ru/$1 </IfModule>

В https://www.mysite.ru указывается свой сайт. Все страницы со старым протоколом будут перенаправлены. Проводится тестирование работоспособности ресурса и наличие вредоносного контента:

  • JitBit SSL-check – проверит наличие недобросовестных файлов и контента;
  • сервис SSL Labs предоставит полноценную информацию о конфигурации SSL;
  • серфинг по нескольким страницам ресурса и проверка их работоспособности;
  • проводится поиск ссылок в поисковой выдачи и проверяется их правильная индексация (с новым перенаправлением);
  • при наличии смешанного контента используется плагин SSL Insecure Content Fixer.

Использование плагина для автоматического перехода с HTTP на HTTPS значительно упрощает задачу, но знать о ручном методе – необходимо.

Основы создания сайта – “Записи и страницы: отличия в WordPress”

Виды SSL сертификатов

Сертификатов SSL для сайтов существует несколько видов.

Cамоподписной сертификат

Самый простой и бесплатный — это самоподписной сертификат (self-signed), который можно сгенерировать прямо на веб-сервере. Минус этого сертификата в том, что на такой сертификат все браузеры будут выдавать предупреждение, что сайт не проверен.

Сертификаты, которые подтверждают только доменное имя (Domain Validation — DV)

Это самые простые сертификаты, это ваш выбор если сертификат вам нужен срочно, так как выпускаются они автоматически и моментально. При проверке такого сертификата отсылается письмо со специальной ссылкой, по которой нужно кликнуть, чтобы подтвердить выпуск сертификата.

Сертификаты, которые подтверждают домен и организацию (Organization Validation — OV)

В таком сертификате уже будет указано название организации. Такой сертификат частное лицо получить не может. Срок выдачи таких сертификатов как правило от 3 до 10 рабочих дней, зависит от центра сертификации.

Сертификаты, с расширенной проверкой (Extendet Validation — EV)

Это самые дорогие сертификаты и получить их сложнее всего. В таких сертификатах есть так называемый «green bar» — то есть при входе не сайт, где установлен такой сертификат в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат. Пожалуй это самый заветный сертификат для владельца сайта.

Напоследок

Первое время сайт будет работать мимо Cloudflare и предпринимать какие-либо действия по переходу на HTTPS на стороне сайта нецелесообразно, да и в принципе бессмысленно. Дождитесь когда сайт начнет работать через HTTPS, это будет понятно когда вы увидите на своем сайте просто текст без оформления. В этот момент быстро идем на Cloudflare, заходим в раздел «DNS» и выключаем работу cloudflare кликнув переключатели в виде облаков, они должны стать серыми:

После чего можем производить работы с сайтом для перевода его на HTTPS и после завершения работ, нам потребуется включить все обратно и довольствоваться халявным сертификатом.

Вероятные проблемы с сайтом

Обратите внимание на то, что даже платные сертификаты могут не поддерживаться некоторыми браузерами, по этой причине перед тем, как выбрать центр сертификации обратите внимание на то, какие браузеры поддерживают корневые сертификаты этого центра. В случае с бесплатными сертификатами, центр, который выдал Вам сертификат, не несет перед Вами ответственности и ничего не гарантирует и в случае если сертификаты будут отозваны или их перестанут поддерживать основные браузеры, то у Вас, точнее у Вашего сайта возникнут проблемы в виде такоо сообщения:

В случае с бесплатными сертификатами, центр, который выдал Вам сертификат, не несет перед Вами ответственности и ничего не гарантирует и в случае если сертификаты будут отозваны или их перестанут поддерживать основные браузеры, то у Вас, точнее у Вашего сайта возникнут проблемы в виде такоо сообщения:

Как видите я не могу зайти на такой сайт даже при большом желании, браузер мне этого в принципе не дает. В конечном итоге от бесплатного сертификата пользы Вы не получите, а вот проблем от непредвиденных обстоятельств Вы наверняка огребете.

А вот собственно дополнение спустя несколько месяцев. Привожу статистику посещаемости. Проблемы с бесплатным сертификатом, а точнее проблемы вызванные с отказом поддержки сертификатов браузерами, привели к падению трафика, которое сайт отыграл только в августе (см. фото).

Как видите вместо роста в апреле был спад, учитывая что рост должен был составить примерно 13%, то из-за, простите, сраного сертификата, я не досчитался нескольких тысяч посетителей.

Бесплатные сертификаты SSL/TLS от Let’s Encrypt

Рекомендую воспользоваться сертификатами SSL/TLS от Let’s Encrypt, так как:

  1. Они бесплатные;
  2. Подойдут большинству проектов;
  3. Установка и настройка относительно несложные, и не займут много сил и времени.

Из минусов — сертификат актуален 90 дней, поэтому настроим его обновление на автомате.

Установка Certbot

Сам гайд по установке Let’s Encrypt советует делать всё через Certbot. Сработает, если есть доступ по SSH.

Установка Certbot в Debian 8 Jessie

Помощник Certbot в выборе версии сервера

Выбираем установку

apt-get install certbot -t jessie-backports
Как настроить поддержку Backports

Пишете в консоль (добавляет дополнительный источник для пакетов):

echo "deb http://ftp.debian.org/debian jessie-backports main contrib non-free" >> /etc/apt/sources.list

Потом обновляете список пакетов:

apt-get update

и снова пробуете установить Certbot:

apt-get install certbot -t jessie-backports

Затем проверяете, как вышло

certbot --help

Установка Certbot в CentOS 7

Установка происходит так:

  1. yum -y install yum-utils
  2. yum-config-manager --enable rhui-REGION-rhel-server-extras rhui-REGION-rhel-server-optional
  3. yum install certbot

Универсальная инструкция по установке Certbot

  1. Скачиваем Certbot:
    wget https://dl.eff.org/certbot-auto
  2. Даём права на исполнение с помощью chmod
    chmod a+x certbot-auto
  3. Перемещаем certbot-auto к остальным бинарным файлам, чтобы появилась возможность начинать команды с
    mv certbot-auto /usr/local/bin/certbot
  4. Проверяем, что получилось:
    certbot --help

    Должы увидеть что-то подобное:

Настройка Certbot

Теперь, когда certbot установлен (а вы можете убедиться в этом, задав команду), советую заглянуть в cron-задачи

cd /etc/cron.d

В директории должен появиться файл с примерно следующим содержанием

Самая последняя строчка — это правило cron, которое будет проверять сертификаты SSL, TLS дважды в день и обновлять устаревшие. К сожалению, он не перезагружает вебсервер, поэтому Вам нужно добавить правило вручную в конец строки.

В итоге, строка будет выглядеть примерно так:

0 */12 * * * root test -x /usr/bin/certbot && perl -e 'sleep int(rand(3600))' && certbot -q renew && /etc/init.d/nginx reload

Добавили, сохраняем.

Далее, подготовка, тестирование и установка сертификата для сайта.

Подготовка и тестирование конфигурации SSL, TLS

Перед тем, как получить сертификат SSL/TLS, хорошей практикой будет протестировать правильность настройки сервера. Дело в том, что если есть проблема, которая не даст получить или обновить сертификат: центр сертификации имеет жёсткие лимиты обращений к нему (10 в час). И если есть ошибка, которую никак не удаётся выявить, то можно очень быстро упереться в лимит. Чтобы избежать этой проблемы, можно воспользоваться Staging Environment от Let’s Encrypt. — это тестовая среда, полностью имитирующая общение с центром сертификации, и выдающая недоверенные сертификаты-пустышки. Однако, она имеет повышенные лимиты обращения к ней и служит исключительно для тестирования и настройки конфигурации сервера:

  • Выдача и обновление сертификата на 1 домен имеет лимит 30 000 в неделю.
  • Ошибка валидации имеет лимит 60 раз в час.

Чтобы воспользоваться тестовой окружающей средой, достаточно для certbot использовать ключ .
Например, так можно протестировать выдачу сертификата:

certbot certonly --webroot -w /var/www/example.com -d example.com -d www.example.com --email  --agree-tos --staging

Кстати, посмотреть, как происходит обновление сертификатов, но без реального обновления, просто проверить правильность конфигурации, можно командой:

certbot renew --dry-run

А обновить все сертификаты на сервере вручную можно командой

certbot renew

После перезагрузите NGINX

nginx -s reload

Установка сертификата SSL, TLS от Let’s Encrypt

Вводим команду в консоль Putty:

certbot certonly --webroot -w /var/www/example.com -d example.com -d www.example.com --email  --agree-tos
  • — путь до директории с файлами сайта
  • — прописываем имена доменов
  • — ваш email, куда можно будет восстановить доступ
  • — согласие с лицензионными требованиями

Если всё нормально, вам выдаст сообщение об успешном завершении создания сертификата

Итак, сертификат установлен в директорию

Бесплатный SSL-сертификат: как получить

Единственный достойный внимания бесплатный SSL-сертификат можно получить в Let’s Encrypt. Это некоммерческий проект с открытым центром сертификации. Именно этот вариант предлагают хостинги, когда “дарят” SSL-сертификат для своих клиентов. Подойдет для некоммерческих проектов: личных блогов, форумов, портфолио и посадочных страниц.

Преимущества Недостатки
+ Бесплатно – Не рекомендуется использовать, если принимаете платежи или запрашиваете любую персональную информацию
+ Возможно автоматическое продление – Выдается на 3 месяца, нужно регулярно обновлять файлы на сервере – Не дает возможности получить зеленую строку, а значит, не подходит корпорациям и финансовым организациям
+ Методы шифрования соответствуют всем международным стандартам – Нет никакой финансовой гарантии в случае взлома
– С 10 октября 2019 года периодически блокируется Роскомнадзором, могут возникнуть проблемы с приобретением и продлением
– Есть проблемы с совместимостью

Если вы понимаете возможные риски и имеете некоммерческий проект, мы готовы помочь с переводом сайта на HTTPS и установкой бесплатного SSL-сертификата, при условии, что его поддерживает ваш хостинг, который будет его автоматически обновлять каждые 3 месяца.

Что такое SSL-сертификат и для чего он нужен

SSL-сертификат представляет своего рода электронную подпись с зашифрованной в ней информацией о сайте и его владельце. Он обеспечивает защищённую передачу информации на сервер и препятствует её получению третьими лицами. SSL-сертификат для сайта повышает доверие пользователей к ресурсам, шифрует передаваемые данные и даже повышает позиции сайта в поисковых системах – в частности, Google отдаёт ресурсам с сертификатом приоритет в выдаче.

Также он обеспечивает доверительное отношение пользователей, которые справедливо опасаются хищения информации – это наиболее актуально для финансовых компаний, сайтов банковских структур, государственных ресурсов, сайтов средних и крупных компаний. Иными словами, пользователи получают явное подтверждение, что они попали туда, куда хотели – на официальный ресурс, а не на фишинговый. Сайты, на которых есть сертификаты, передают данные по протоколу HTTPS и подсвечиваются в браузере, что указывает на безопасность соединения.

Разновидности SSL-сертификатов

Мы можем получить SSL-сертификат бесплатно или купить его за деньги. Выделим три основные категории:

  • Начального уровня;
  • Для бизнеса;
  • С расширенной проверкой.

Рассмотрим их более подробно.

SSL-сертификаты начального уровня

Для физических лиц подойдут простые сертификаты, не требующие подтверждения бизнес-статуса. Их функция – обеспечение шифрованного соединения. Например, такой сертификат можно получить на хостинге Beget, причём за считанные минуты и бесплатно. Для этого достаточно зайти в панель управления хостингом, пройти в раздел с доменами и заказать сертификат. Установка SSL-сертификата происходит автоматически, после чего вам останется настроить свой сайт – прописать в CMS обновленный адрес, прописать аналогичный хост в файле robots.txt и настроить переадресацию в файле .htaccess. Там же производится установка сертификатов, купленных в других местах.

Получить SSL-сертификат можно в Cloudflare, причём совершенно бесплатно — в рамках опции Universal SSL. Также для физических лиц доступен самоподписанный SSL-сертификат (самозаверенный). Он генерируется самостоятельно, в nginx, совершенно бесплатно. Такой сертификат не является доверенным, но обеспечивает шифрованную передачу данных. Но проверить SSL-сертификат на то, что данный сайт действительно принадлежит той или иной компании, невозможно, так как он никем не проверен. Пользователи, заходящие на сайт, будут видеть, что «сертификат безопасности не является доверенным» — именно такое уведомление будет выдавать браузер.

Некоторые платные и недорогие SSL-сертификаты позволяют сделать соединение не только безопасным, но и доверенным – помните об этом, если планируете создавать сайт для бизнеса.

Сертификаты для бизнеса

SSL-сертификат для сайта магазина или сайта какой-либо компании должен обеспечивать не только шифрованную передачу данных, но и подтверждать статус юридического лица. Они выдаются Центрами сертификации и устанавливаются на сайты вебмастерами самостоятельно. Заходя на веб-ресурс с бизнес-сертификатом, пользователи смогут увидеть, кому именно он выдан – это станет гарантией высокого статуса вашего бизнеса. Их стоимость варьируется в пределах нескольких тысяч рублей в год.

Сертификаты с расширенной проверкой

SSL-сертификаты EV SSL ориентированы на крупные компании. Они обеспечивают высочайший уровень безопасности, препятствуя перехвату данных и фишинговым атакам. На наличие такого сертификата у той или иной компании свидетельствует зелёная подсветка браузерной адресной строки. Их стоимость может составлять десятки тысяч рублей в год. Например, такие сертификаты имеются у банков.

Wildcard-сертификаты

Отдельные компании строят свои сайты с использованием поддоменов. Например, они необходимы в том случае, если необходимо создать региональные представительства и наделить каждое из них персональным веб-сайтом. В этом случае на каждый поддомен пришлось бы купить отдельный SSL-сертификат. Данная проблема с лёгкостью решается Wildcard-сертификатами, которые могут защищать любое количество поддоменов.

Самоподписанный сертификат

Начнем мы с так называемых самоподписаных сертификатов. Заключаются они в том, что администратор сайта сам выдает себе SSL-сертификат через панель управления хостингом. В принципе, этого сертификата достаточно для того, что бы передача данных осуществлялась по протоколу HTTPS.

Однако, у данного сертификата есть один очень большой минус. Дело в том, что браузеры не знают что это за сертификат, для них он является неизвестным, неподтвержденным и т.д., и когда посетитель попадает на ваш сайт, то ему высвечивается сообщение о том, что данный сертификат не подтвержден, неправильно настроен, неизвестный сертификат и тому подобное.

Для того чтобы попасть на сайт, посетителю приходится вручную добавлять исключения для данного сертификата и только после этого у него откроется ваш сайт. Естественно, это все отпугивает посетителей. Поэтому, данный вариант сразу отпадает.

Как установить SSL-сертификат на Nginx

После активации сертификата вам будут доступны необходимые данные для его установки, подробнее в статье Где взять данные для установки SSL-сертификата.

Также вы можете использовать для установки сертификат, купленный в сторонней компании.

Рассмотрим, как выполняется установка и настройка Nginx SSL:

1.

Объедините три сертификата (сам SSL-сертификат, корневой и промежуточный сертификаты) в один файл. Для этого создайте на ПК новый текстовый документ с именем your_domain.crt (your_domain — доменное имя сайта, который вы хотите защитить). Создать его можно при помощи блокнота или другого текстового редактора.
Поочередно скопируйте и вставьте в созданный документ каждый сертификат

После вставки всех сертификатов файл должен иметь вид:

Обратите внимание: один сертификат идёт следом за другим, без пустых строк.

2.
Создайте файл your_domain.key и скопируйте в него содержание приватного ключа сертификата.

3.
Загрузите созданные файлы your_domain.crt и your_domain.key на сервер в директорию /etc/ssl/. Директория может быть иной, например /etc/nginx/ssl/your_domain.com.

4.

Откройте конфигурационный файл Nginx и отредактируйте виртуальный хост вашего сайта, который вы хотите защитить сертификатом

Выполните минимальную для работы настройку, добавив в файл следующие строки:

Где:
your_domain.com — домен сайта,
/etc/ssl/your_domain.crt — путь до созданного файла с тремя сертификатами,
/etc/ssl/your_domain.key — путь до файла с приватным ключом.
Минимальная установка и настройка выполнена. Далее вы можете добавить расширенные настройки конфигурационного файла либо сразу перейти к шагу 12.

5.

Если вы хотите, чтобы сайт работал не только по защищённому соединению (https://), но и по незащищенному (http://), то нужно создать единый HTTP/HTTPS сервер. Для этого в конфигурационном файле Nginx необходимо иметь две секции server{} для каждого типа соединения.
Добавьте в секцию server{}, которую вы создали на шаге 4, следующую строку:

6.

Также вы можете дополнительно оптимизировать работу Nginx HTTPS-сервера. SSL-операции задействуют дополнительные ресурсы сервера. Чтобы снизить количество операций, можно повторно использовать параметры SSL-сессий. Они хранятся в кеше SSL-сессий. Можно задать тип кеша (в примере это shared-кеш, разделяемый между всеми рабочими процессами) и его размер в байтах (в 1 Мб кеша помещается около 4000 сессий) с помощью директивы ssl_session_cache. Также можно увеличить таймаут кеша (время, в течение которого клиент повторно использует параметры сессии) директивой ssl_session_timeout: по умолчанию он равен 5 минутам. Можно настроить время работы одного keepalive-соединения с помощью директивы keepalive_timeout.
Добавьте в конфигурационном файле в секции server{} строки:

7.

Вы можете указать протоколы SSL, которые поддерживает сервер:

8.

Чтобы при использовании протоколов SSLv3 и TLS серверные шифры были более приоритетны, чем клиентские, добавьте следующую строку:

9.

Чтобы уменьшить время загрузки страниц у пользователей сайта, нужно разрешить серверу прикреплять OCSP-ответы для валидации сертификата. При этом необходимо указать путь к файлу корневого сертификата и DNS-сервер.
Создайте файл ca.crt и скопируйте в него содержимое корневого сертификата. Загрузите этот файл на сервер в директорию, где хранятся ранее созданные файлы. В нашем примере это /etc/ssl/.
Затем добавьте в конфигурационном файле в секции server{} строки:

Где:
/etc/ssl/ca.crt — путь до файла с корневым сертификатом,
8.8.8.8 — DNS-сервер.

10.
Сохраните и закройте конфигурационный файл Nginx.

11.

Если вы не остановились на шаге 4, то секция server{} в конфигурационном файле с расширенными настройками будет выглядеть так:

12.

Чтобы изменения вступили в силу, перезагрузите сервер Nginx:

Готово, вы установили SSL-сертификат на Nginx.

Ключевая особенность

В этой статье мы сначала сосредоточимся на ключевых особенностях ZeroSSL. Затем мы увидим, насколько легко или сложно получить сертификат SSL от ZeroSSL. И, наконец, мы перейдем к ценообразованию и доступности. Итак, давайте начнем с ключевых функций, не так ли?

1. Получите полную защиту

ZeroSSL обеспечивает полную защиту любого домена, веб-сайта или серверной части, выпуская бесплатные сертификаты SSL. Вы можете получить защиту SSL для своего сайта менее чем за пять минут.

2. Быстрая проверка

Одна из основных проблем с получением сертификата SSL — это может занять много времени. Это может нанести ущерб вашему бизнесу, если вы запускаете новый продукт и вам нужен защищенный домен SSL. ZeroSSL решает эту проблему, позволяя получить как новые, так и существующие сертификаты SSL, утвержденные в течение нескольких секунд, с помощью одноэтапной проверки электронной почты, загрузки с сервера или проверки CNAME.

3. SSL REST API

ZeroSSL также предлагает API REST SSL, который экономит время и деньги пользователей за счет автоматизации управления сертификатами SSL, поддержки выдачи сертификатов, проверки CSR и многого другого. Он позволяет автоматизировать любые задачи, обычно выполняемые вручную в консоли управления, включая создание новых сертификатов SSL, проверку, отмену, удаление и многое другое.

4. Интеграция среды автоматического управления сертификатами (ACME)

ZeroSSL сотрудничает с некоторыми крупнейшими поставщиками ACME, что позволяет пользователям управлять и обновлять существующие сертификаты, даже не отрывая пальца. Компания даже тестирует собственный сервер ACME (прямо сейчас в BETA), который выйдет в мае и сделает весь процесс еще более плавным.

5. Мониторинг SSL

Получение сертификата SSL для вашего домена или веб-сайта — это только первый шаг. Вы также должны убедиться, что ваши SSL-сертификаты работают правильно. ZeroSSL помогает в этой задаче, выполняя серию автоматических проверок работоспособности всех ваших сертификатов SSL. Проверки включают в себя мониторы состояния и срока действия, проверки соединений, поиск подстрок тела ответа и многое другое. Он также способен определять, возникают ли ошибки HTTP, когда пользователь пытается получить доступ к вашим сертификатам SSL.

Лучшие эмитенты бесплатных и недорогих сертификатов SSL

Если вам требуется более низкий уровень шифрования, следующие эмитенты выполнят свою работу:

1 HubSpot

Если у вас есть контент, размещенный на CMS HubSpot, вы можете защитить свой контент и данные лидов с помощью стандартного SSL. Это дает вашим посетителям спокойствие, а также увеличивает видимость в результатах поиска.

2 Давайте зашифровать

Let’s Encrypt был создан Linux Foundation, а спонсорами проекта выступили Mozilla, Site Ground, Cisco, Facebook, Akamai и другие ведущие технологические компании. Он предлагает сертификаты SSL бесплатно, но вы должны знать, что эти сертификаты действительны только в течение трех месяцев.

3 Удобно

Comodo предлагает 90-дневные бесплатные пробные версии для сертификатов SSL, и они признаются всеми основными браузерами. Вы можете покрыть до 100 доменов одним сертификатом.

Он специально разработан для серверов MS Exchange и Office. Comodo предлагает неограниченное количество серверных лицензий с приоритетной поддержкой по телефону. И, что самое главное, Comodo сертифицирован как лучший продавец SSL-сертификатов.

4 Cloudflare

Cloudflare известен своими продуктами, которые делают веб-сайты более быстрыми и безопасными. Это CDN и компания по обеспечению безопасности, которую используют многие популярные сайты, включая Reddit, Mozilla и Stack Overflow. Cloud Flare блокирует миллионы атак каждый день и обеспечивает круглосуточную поддержку.

5 SSL бесплатно

SSL For Free – это некоммерческий центр сертификации, работающий во всех основных браузерах. Сертификаты генерируются с помощью сервера ACME с использованием проверки домена. После создания документа закрытые ключи удаляются.

6 GoDaddy

Вы слышали о GoDaddy – с более чем 60 миллионами доменов, это регистратор имен №1 в мире. Если у вас есть проект с открытым исходным кодом, GoDaddy предоставит вам бесплатный сертификат SSL, действительный в течение года.

7 GeoTrust

GeoTrust предлагает сертификаты SSL совершенно бесплатно в течение 30 дней. Его особенности включают:

  • Автоматическая проверка доменного имени
  • Простая установка и оперативная выдача сертификатов
  • Совместимость со всеми ведущими браузерами
  • Совместимость со всеми смартфонами и мобильными браузерами

8 GoGetSSL

GoGetSSL – еще один публичный поставщик сертификатов SSL. Он дает вам 90-дневную бесплатную пробную версию для сертификатов SSL, и для проверки вашего домена требуется всего около пяти минут (не требуется обратный вызов или проверка лицом к лицу). Их сертификаты совместимы со всеми основными браузерами, такими как Chrome, Firefox, Opera, Safari и Internet Explorer.

9 Мгновенный SSL

Мгновенный SSL – еще один вариант, заслуживающий вашего внимания. Их бесплатные сертификаты действительны в течение 90 дней, и они также работают во всех основных браузерах.

10 Базовый SSL

Базовый SSL также предлагает 90-дневную пробную версию, прежде чем вы сделаете покупку. Процесс проверки также быстр и прост, поэтому вам не нужно тратить много времени на то, чтобы возиться с ним.

Источник записи: https://blog.hubspot.com

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector