Как сделать сертификат безопасности для сайта

Сегодня получить бесплатный SSL сертификат для сайта достаточно
простая задача, позволяющая быстро и без лишних затрат перейти на безопасный
протокол HTTPS.

До 2014 года протокол HTTPS на сайтах встречался редко. Сегодня же это обязательный элемент сайта, влияющий как на ранжирование в поисковых системах, так и на доверие пользователей. В этой статье поговорим о протоколе HTTPS и расскажем, чем отличается HTTP от HTTPS и как перейти на сайт с HTTPS.

Что такое SSL-сертификат

SSL/TLS-сертификат — это цифровой документ, который содержит информацию о владельце и подлинности ресурса. Наличие SSL-сертификата на сайте гарантирует:

• целостность передаваемой информации. При обмене данными между сервером сайта и браузером информация останется в неизменном виде.
• безопасность данных. Шифровка информации при передаче защищает от доступа злоумышленников.

В статье мы расскажем о том, как установить SSL-сертификат на хостинг. Эта инструкция подойдет вам, если вы используете хостинг SpaceWeb и хотите установить сертификат вручную.

Что такое протокол HTTPS

HTTPS (HyperText Transfer Protocol Secure) — это протокол передачи данных, который поддерживает шифрование с помощью криптографических протоколов SSL и TLS.
В чем отличие протокола SSL от TLS? Протокол SSL был создан компанией Netscape в 90-х годах. Однако в нем часто обнаруживались уязвимости в части безопасности: по этой причине было выпущено три версии этого протокола. В 1999 году Netscape совместно с Consensus Development усовершенствовали SSL и дали ему новое название — TLS. Другими словами TLS — это современная версия SSL. Несмотря на то, что в официальной документации криптографический протокол называется TLS, в повседневной жизни можно использовать обозначение SSL.
Чтобы ваш сайт начал работу по защищенному протоколу HTTPS с поддержкой криптографии, потребуется наличие SSL-сертификата.

Однако стоимость их, мягко говоря, завышена. Чтобы создать самоподписанный сертификат, понадобится минут 5 времени, из которых 99% — это ввод данных о домене. Понятно, что компании хотят кушать и поэтому продают их. Бесплатно можно получить лишь при регистрации домена на первый год, это вроде как сыра в мышеловке.

Указанный ниже способ работает, если у вас есть доступ к SSH. Если его нет, то Let’s Encrypt предоставляет бесплатный сертификат только на 3 месяца и придется заморачиваться этим каждый раз.

Let`s Encrupt рекомендует использовать утилиту Certbot. Переходим на сайт утилиты.

К примеру, на моем проекте Электронная сервисная книжка авто веб-сервер Nginx и операционная система Debian 9. Поэтому я выбрал их и далее откроется детальная инструкция по дальнейшим шагам. Если у вас другой веб-сервер или ОС, дальнейшие примеры будут немного отличаться, но шаги будут примерно одинаковыми.

Что такое HTTPS

Для того, чтобы объяснить, что такое HTTPS, обратимся к истокам.

Большая часть запросов в интернете проходит по протоколу HTTP. Его придумали еще в 90-х годах для передачи текстов с гиперссылками (документы, в которых вшиты ссылки для перехода к другим документам). Аббревиатура HTTP расшифровывается как HyperText Transfer Protocol.

Сайт — это по сути своей документ, который состоит из файлов: текста, картинок, видео и так далее. При помощи HTTP браузер просит сервер отправить данные разного формата для отображения страницы.

Для того, чтобы его открыть, протокол HTTP подходил идеально. За исключением одного «но» — его использование не подразумевает шифрование данных. То есть, пока запрос идет от клиента (вас) к серверу и обратно, к информации о вас и о вашем запросе могут иметь доступ посторонние, например, интернет-провайдер или злоумышленники.

В целях повышения безопасности в интернете компания Netscape Communications в 2000-м году выпустила расширение протокола HTTP — HTTPS (HyperText Transfer Protocol Secure). При использовании HTTPS данные передаются поверх криптографических протоколов SSL или TLS и зашифровываются. Для того, чтобы сайт мог работать по протоколу HTTPS, на домен должен быть выпущен и установлен SSL-сертификат.

Что такое SSL/TLS

Перейдем к понятию SSL/TLS. SSL — это сертификат, который подтверждает подлинность веб-сайта. Аббревиатура переводится как Secure Sockets Layer.

SSL-сертификат подтверждает ваш домен или организации и позволяет установить безопасное соединение. Он содержит индивидуальный ключ вашего домена, с помощью которого информация между сервером и клиентом (вами) зашифровывается.

Протокол SSL был выпущен более 25 лет назад компанией NetScape в нескольких версиях, но ни одна из них не могла полностью обеспечить безопасность данных пользователей. Поэтому в 1999 году компания IEFT создала новую версию сертификата — TLS (Transport Layer Security), которая смогла решить проблемы предшественника. Первые версии протокола сейчас не актуальны, но TLS-соединение 2008 и 2018 года все еще используются в наши дни.

Интересно, что компания IEFT не могла использовать в названии аббревиатуру SSL по юридическим причинам (права на имя принадлежали NetScape), но в обиходе мы до сих пор чаще используем именно название первого протокола.

Правильная настройка работы на вашем сайте SSL-сертификата — это гарантия, что данные между пользователем и веб-сайтом или двумя системами зашифрованы. К таким данным относятся имена, адреса, номера телефонов, номера банковских карт и другая информация. SSL не позволяет сторонним пользователям, в том числе и злоумышленники, воспользоваться ими.

Что такое HTTPS и чем он отличается от HTTP

Для начала давайте разберемся, зачем нужны протоколы передачи данных и в чем разница между HTTP и HTTPS.

Любой вбитый в поисковую строку запрос проходит путь от пользователя к серверу и обратно. Такая коммуникация возможна благодаря работе протокола HTTP (Hypertext Transfer Protocol).

Но у HTTP есть один недостаток — он не шифрует данные. Это означает, что злоумышленники смогут в любой момент перехватить реквизиты банковских карт, номера телефонов, email-адреса и другую личную информацию пользователей.

Чтобы уберечь эти данные от хакеров, был внедрен протокол HTTPS — это HyperText Transfer Protocol Secure, в переводе «защищенный протокол». В этом случае передача данных осуществляется по такому же принципу, что и в HTTP, но с криптографическим шифрованием, о чем говорит дополнительная буква «S».

Работает HTTPS протокол благодаря SSL/TLS-сертификату — это цифровая подпись сайта, подтверждающая подлинность ресурса.

То есть в довесок к халявному сертификату вы ещё получите кучу других полезных плюшек, в том числе и ускорение загрузки, что является одним из факторов ранжирования, существенным или нет — это уже вопрос другой.

SSL-сертификат можно установить, не делая ничего. Некоторые хостинг-провайдеры предоставляют SSL-сертификаты и обещают автоматическую установку. Проверю, так ли всё просто, и расскажу, что необходимо для самостоятельной установки SSL-сертификата, если никто не обещает сделать это за вас.

1. Автоматическая установка

Например, у меня есть домен для будущего блога, но еще нет хостинга и нет SSL-сертификата, соответственно. Я хочу проверить возможности виртуального сервера, поэтому беру тестовый вариант хостинга RU-CENTER. Для него SSL-сертификат выпускается бесплатно. Как правило, такие подарки действуют в течение года, потом нужно будет выбрать платный SSL. Поэтому проверьте сначала, устраивают ли вас цены платного SSL-сертификата от продавца.

Заполняю простую форму.

Долго ждать не пришлось. Сертификат был выпущен через час с небольшим.

Перехожу по ссылке для получения сертификата в личный кабинет.

SSL-сертификат автоматически устанавливается на хостинг, как об этом и сообщал хостер. Проверяю сайт в браузере.

Сертификат установлен, но можно проверить еще в удостоверяющем центре DigiCert (digicert.com/help/).

«Congratulations! This certificate is correctly installed!» Всё ок. Теперь я могу установить CMS в личном кабинете хостинга и начать настройку сайта.

Сегодня SSL-сертификат — обязательный атрибут серьезных сайтов. Расскажем, как установить бесплатный SSL-сертификат на сайт.

SSL-сертификат — это цифровой сертификат, позволяющий подтвердить подлинность сайта и использовать зашифрованное соединение. Зашифрованное соединение нужно для защиты от считывания и изменения информации между пользователем и сайтом. Благодаря SSL-сертификату злоумышленники не смогут вклиниться в это взаимодействие и что-либо изменить. Так, наличие SSL-сертификата крайне желательно в случае, если пользователь оставляет на сайте свою контактную информацию и данные банковской карты.

Что необходимо для выпуска SSL-сертификата

Для выпуска SSL-сертификата нужно воспользоваться услугами Центра сертификации (ЦС). Центров сертификации довольно много: например, Comodo, GlobalSign — они выпускают платные сертификаты. Стоимость сертификата зависит от разных параметров и может составлять от 3000 до 80000+ рублей в год.

При этом большинству сайтов достаточно проверки по доменному имени или компании. А с технической точки зрения обычный пользователь никогда не ощутит разницы между платным и бесплатным сертификатом.

Сейчас вы научитесь выпускать SSL-сертификат, используя бесплатный Центр сертификации Let’s Encrypt — за 0 рублей.

Как добавить сертификат на сервере

Рассмотрим установку сертификата на примере операционной системы Centos.

Наша команда INDEXIS занимается разработкой веб-проектов с продуктовым подходом и в основном использует технологию «1С-Битрикс». «1С-Битрикс» чаще всего устанавливают на сервер с операционной системой Centos. Этим обусловлен выбор ОС Centos в качестве примера.

Чтобы выпустить бесплатный SSL-letsencrypt сертификат, нужно:

1. Установить certbot и использовать команду: yum install certbot. Это команда для установки софта от ЦС Let’s encrypt, который поможет выпускать и перевыпускать сертификаты.

2. Выпустить сертификат. Есть тонкости при выпуске сертификатов для доменов разного уровня:

2.1. Для конкретного доменного имени (предположим, доменное имя: domain.ru) нужно использовать команду: certbot certonly -d domain.ru -d www.domain.ru. Такой сертификат позволит подключить SSL по двум адресам: domain.ru и www.domain.ru.

2.2. Для поддоменов 3-го уровня, например, dev.domain.ru, есть 2 варианта:

2.2.1. Выпустить по той же команде, но с добавлением адреса конкретного поддомена (в следующей команде используется в качестве примера dev.domain.ry): certbot certonly -d domain.ru -d www.domain.ru -d dev.domain.ru -d www.dev.domain.ru

2.2.2. Выпустить wild-сертификат, который позволит подключить SSL сразу по большому количеству поддоменов без их прямого указания при выпуске сертификата, по команде: certbot certonly -d domain.ru -d *.domain.ru --manual --preferred-challenges dns. В данном случае необходимо подтвердить возможность управления доменным именем с помощью добавления dns-записей у регистратора вашего доменного имени.

После выполнения команды для конкретного случая certbot запросит указать пути расположения сайтов. Это необходимо для проверки возможности управления доменным именем.

Certbot во время проверки положит по указанным вами путям к папке с сайтом свои временные файлы и проверит их. Если файлы доступны внешне по указанным доменным именам, то выпустит сертификат.

3. После выпуска сертификата его нужно применить к софту, который обрабатывает принятие соединений на вашем сервере. На этом этапе лучше воспользоваться помощью вашего системного инженера. Также можно использовать руководство по подключению certbot на официальном сайте.

Читать также:  Сертификат соответствия тр тс 019 2011 о безопасности средств индивидуальной защиты скачать

Выпущенные бесплатные сертификаты действуют 90 суток. По истечении этого срока нужно будет их перевыпустить. Для этого необходимо вновь выполнить описанный выше алгоритм.

При выпуске сертификата есть возможность включить получение уведомлений на почту об истечении срока действия документа. Когда останется менее 30 суток до окончания действия сертификата, вы получите письмо о необходимости продления.

Особенности использования бесплатного SSL-сертификата

• Расходы владельца сайта на установку SSL-сертификата равны 0.
• Выпущенные сертификаты действуют 90 суток. Системному инженеру каждые 90 дней будет необходимо перевыпускать сертификат (или чаще, если нужно расширить сертификат на новые поддомены).
• Сертификат обеспечивает среднюю глубину проверки сайта. Сайт получает хорошую защиту, которая не уступает платным аналогам.

Если у вас есть вопросы по установке бесплатного SSL-сертификата, пишите в комментариях.

Где лучше приобрести SSL-сертификат?

Поясню еще, почему важно иметь дело с проверенными поставщиками SSL-услуг. Браузер проверяет, выдан ли сертификат известным ему центром сертификации. Если доверия нет, то он покажет на главной странице вашего сайта надпись: «Сертификат безопасности сайта не является доверенным!». В таком случае пользователи будут уходить с сайта.

Такие крупные поставщики SSL-услуг как Symantec, DigiCert, Thawte и Comodo имеют корневые сертификаты во всех современных браузерах. Их сертификаты можно приобрести у известных хостинг-провайдеров, и это даже может быть дешевле, чем напрямую, потому что из-за крупных объемов продаж цены у провайдеров ниже.

Отличия от других серитификатов

Не совсем корректное сравнение, но тем не менее. Сам по себе сертификат не сильно отличается от того же бесплатного Let’s Encrypt. Ключевым отличием является то, что HTPPS, в случае с сертификатом от Let’s Encrypt, начинает работать сразу же после его установки на сервер и отсутствуют незащищенные участки. Но на этом кончаются преимущества и начинаются проблемы, поскольку сертификат от Let’s Encrypt выдается всего на 3 месяца и необходимо изобретать костыли для автоматического обновления. К слову сказать в ISPmanager уже заложена такая функция и сертификат обновляется автоматически за 7 дней до окончания срока действия.

Платный SSL-сертификат

Если вы создаете интернет-магазин, представляете юридическое лицо или планируете собирать данные пользователей, то вы можете установить платный SSL.

Платные сертификаты бывают трех видов (DV, OV, EV).

Их основное преимущество — более высокий уровень защиты данных пользователей и гарантия сертифицированного центра. В случае, если сессионный ключ сертификата будет взломан, то центры обязуются выплатить гарантийную сумму пользователю. При возникновении проблем с сертификатом вы всегда сможете обратиться в техническую поддержку центров, чтобы решить проблему.

Сертифицированные центры (CA)

Итак, если вы решили выпустить SSL-сертификат на ваш сайт, то вы можете обратиться к доверенным сертифицированным центрам (CA, Certification authority). Вот неполный список проверенных центров:

• Let’s Encrypt. Проверенная и надежная организация, которая выдает бесплатные SSL. Проект поддерживают материально многие крупные IT-компании, чтобы интернет стал безопаснее.
• GlobalSign by GMO. Один из самых крупных сертифицированных центров. GlobalSign выпускают SSL-сертификаты с 1996 года. Центру доверяют такие компании, как Microsoft, Netflix, Airbnb.
• Sectigo (бывший Comodo). Также один из самых авторитетных центров для получения сертификата. К сожалению, в данный момент не работает на территории РФ.
• Symantec. Компания выпускает большое количество продуктов для IT-сферы, которые признают по всему миру, уже около 30 лет. Не выдают сертификаты пользователям из РФ.

При выборе сертифицированного центра важно обращать внимание на его достоверность. Популярные браузеры регулярно проверяют качество сертификатов от разных сервисов. В случае нарушения правил безопасности, сертификаты от некоторых компаний становятся несовместимыми с браузером.

Как перевести сайт на HTTPS

Переезд сайта на другой протокол выполняется за несколько шагов.

• Шаг 1. Выберите нужный тип SSL-сертификата
• Шаг 2. Активируйте сертификат
• Шаг 3. Установите SSL
• Шаг 4. Измените внутренние ссылки на относительные
• Шаг 5. Настройте редирект на HTTPS
• Шаг 6. Оповестите поисковые системы о смене протокола
• Шаг 7. Проверяем правильность установки SSL-сертификата

Шаг 1. Выберите нужный тип SSL-сертификата

Для начала определитесь с типом SSL, который подойдет вашему сайту.
Сертификаты подразделяются по типу проверки данных:

• DV (Domain Validation) — базовый уровень сертификата, который обеспечивает только шифрование данных, но не подтверждает существование организации. Такие бюджетные сертификаты подойдут физическим и юридическим лицам.
• OV (Organization Validation) — обеспечивает не только шифрование данных, но и подтверждает существование организации. Такие сертификаты доступны только для юридических лиц.
• EV (Extended Validation) — это решение с самым высоким классом защиты, которое активно применяется в онлайн-бизнесе. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:

• WildCard — защищает соединение с доменом и всеми его поддоменами.
• SAN — защищает домены по списку, указанному при получении SSL-сертификата.

Выбор сертификата безопасности зависит от ваших потребностей. Для начала подумайте, какое количество поддоменов нужно защитить и какая степень проверки требуется для вашей компании. От этого и будет зависеть тип SSL.

Шаг 2. Активируйте сертификат

После покупки сертификат появится в списке услуг в личном кабинете.
Как же включить SSL:

• Если вы выбрали базовый сертификат (DV), делать что-то дополнительно не придется, потому что SSL активируется автоматически в течение 2-3 часов после покупки.
• Если вы приобрели OV и EV-сертификаты, подходящие только для юридических лиц, подождите от 3 до 7 дней. Процесс занимает большее количество времени, потому что Центр сертификации обязан проверить сведения о вашей организации или запросить их, если чего-то не хватает. Всё потому, что в случае с OV и EV компания подтверждает факт существования и все официальные каналы связи с ней, а ее владельцы — свои полномочия.

Шаг 3. Установите SSL

Когда вы получили на контактный email данные об активации SSL, можно переходить к установке сертификата.

Если вы приобрели сертификат не в SpaceWeb:

1. Откройте Панель управления.
2. Перейдите в SSL и нажмите Установить.
3. Далее в открывшемся списке выберите нужный IP-адрес, на который хотите установить сертификат.
4. Вставьте скопированный файл сертификата (подписанный публичный ключ) в первое поле, а приватный ключ — во второе.
5. Если сертификат подписан не напрямую, укажите файл с сертификатами промежуточных центров сертификации в последнем поле.

Если вы приобрели сертификат в SpaceWeb:

1. Откройте Панель управления.
2. После активации сертификата, перейдите в раздел SSL.
3. Привяжите его к IP-адресу, к которому привязан нужный домен.

Шаг 4. Измените внутренние ссылки на относительные

Внимание! Перед настройкой внутренних ссылок обязательно сделайте резервную копию.

Внутренние ссылки — страницы, с помощью которых вы перенаправляете пользователя на другие страницы вашего сайта. Например, https://sweb.ru/ — это основная ссылка, а https://sweb.ru/example/ — внутренняя.

После подключения SSL-сертификата внутри сайта могут остаться ссылки на внутренние страницы и файлы, например, картинки или стили шрифтов, которые продолжают работать по HTTP. Если не поправить внутренние ссылки, поисковые системы продолжат считать ваш сайт небезопасным.

Чтобы избежать потери трафика, измените ссылки на относительные — это ссылки, которые не содержат протокола и адреса сайта. Вместо них браузер подставляет адрес и протокол сайта, на котором находится пользователь. Например, https://sweb.ru/example/ — абсолютная ссылка (т.е. полный URL страницы), а /example/ — относительная.

Если вы используете WordPress, то изменить поправить ссылки можно с помощью плагинов, например, Search Regex и Easy HTTPS Redirection.

Плагин Search Regex:

1. Скачайте и установите плагин.
2. Перейдите в рубрику Инструменты ― Search Regex.
3. Для замены ссылок в строке поиска (Search) напишите старый URL с http://. В строку замены (Replace) введите новый URL с https://.
4. Чтобы проверить файлы сайта, в строке Source выберите нужные виды файлов.
5. Нажмите на Search.
6. Готово.

Плагин Easy HTTPS Redirection:

1. Скачайте и установите плагин.
2. Перейдите в раздел настроек и выберите HTTPS Redirection.
3. Поставьте галочку рядом с Enable automatic redirection to the «HTTPS».
4. В графе «Apply HTTPS redirection on» выберите The whole domain.
5. Поставьте галочку напротив Force resources to use HTTPS URL.
6. Готово.

Как только все файлы сайта будут работать по протоколу HTTPS, переходите к следующему шагу.

Шаг 5. Настройте редирект на HTTPS

Важно перенаправить все версии страниц с HTTP и HTTPS с помощью редиректа. Чтобы «связка» двух адресов работала правильно, используйте 301-й (постоянный) редирект. Он сообщает поисковым роботам, что страница перемещена на новый адрес, а старый сайт с HTTP можно перестать индексировать.

О том, как настроить редирект на HTTPS через .htaccess, читайте в этой инструкции.

Шаг 6. Оповестите поисковые системы о смене протокола

В этом шаге нужно будет работать со сторонними инструментами, такими как  Яндекс.Вебмастер или Google Search Console. Процедура перехода на HTTPS может занять от 2 до 4 недель. Если это критично для клиентов вашего бизнеса, выберите подходящее время.

Для настройки в Яндекс.Вебмастере:

1. Авторизуйтесь в Яндекс.Вебмастере.
2. Нажмите на плюс и добавьте новую версию сайта с HTTPS.

3. Если до этого вы использовали Яндекс.Вебмастер, подтвердите права на данный адрес любым предложенным способом. Нажмите Проверить:
4. После этого начните переезд сайта на HTTPS. Для этого перейдите в старое зеркало сайта. В разделе «Индексирование» ― «Переезд сайта» поставьте галочку Добавить HTTPS. Нажмите Сохранить.

Если вы подписаны на email-рассылку, Яндекс отправит письмо о том, что склейка зеркал сайта прошла успешно.

Для настройки в Search Console:

1. Авторизуйтесь в Google-аккаунте и добавьте ваш новый адрес с HTTPS.

2. Если до этого вы использовали инструмент, подтвердите право собственности на домен, добавив в их зону TXT-запись. Нажмите Подтвердить.
3. Добавьте новую карту сайта.
4. Если у вас есть отклоненные ссылки в Disavow Tool, то загрузите их заново.

Шаг 7. Проверяем правильность установки SSL-сертификата

Ошибки или проблемы могут всплыть в течение первых нескольких дней после смены протокола. Чтобы быстрее проверить сертификат, узнать и исправить все эти неприятные моменты, нужно:

1. Ввести новый адрес с HTTPS в поисковой строке. Если страница загружается, а в адресной строке появился замочек, значит, сайт стал доступен по HTTPS.
2. Воспользоваться специальными сервисами, например, sslshopper или globalsign.ssllabs. Если результат после проверки окажется положительным, значит, переезд сайта на HTTPS сделан правильно.

Готово! Вы разобрались, что такое HTTPS, в чем отличие HTTP от HTTPS, и узнали, как настроить переадресацию и перенести сайт на HTTPS.

Как я это делаю

Какими бывают SSL-сертификаты

ССЛ сертификаты отличаются между собой по нескольким критериям. Первый критерий — это поддержка поддоменов (Wildcard). Такие сертификаты защищают не только основной домен и поддомен www, но и все поддомены следующего уровня. Второй критерий — это глубина проверки. В зависимости от типа сертификата проверка может включать в себя как валидацию домена, так и организации. 
Некоторые типы SSL-сертификатов могут сочетать в себе оба признака: например, сертификат с валидацией организации может поддерживать Wildcard.
Ниже мы детально рассмотрим каждый критерий.

Поддержка поддоменов (Wildcard)

Стандартный SSL-сертификат защищает тот домен, для которого заказан: он не распространяется на поддомены (кроме www). Если вам нужен SSL-сертификат для поддоменов, рекомендуем выбрать вариант с поддержкой Wildcard.
Wildcard SSL — это сертификат, который защищает основной домен и все его поддомены. 
Предположим, ваш домен — test.ru. Стандартный SSL-сертификат для него действует на следующие домены:

• test.ru,

В случае, если для test.ru заказан Wildcard-сертификат, он действителен для его поддоменов третьего уровня. Например:

• menu.test.ru,
• shop.test.ru и др.

SSL с поддержкой поддоменов можно заказать и для домена третьего уровня — тогда сертификат защитит все поддомены четвертого уровня. Например, если сертификат куплен для subdomain.test.ru, он распространяется на:

• menu.subdomain.test.ru,
• shop.subdomain.test.ru и др.

Эта схема действует для доменов любого уровня: сертификат для домена четвертого уровня защищает поддомены на пятом уровне, для пятого уровня — поддомены на шестом и т.д. 

SSL-сертификаты можно классифицировать по глубине проверки. Они делятся на следующие группы:

• Domain Validation (DV) — проверка домена. Сертификат с таким уровнем проверки доступен физическим и юридическим лицам. При заказе этого типа сертификата, подтвердить выпуск нужно с помощью DNS-записи. Как правило, сертификационный центр присылает значение записи TXT, которую нужно добавить в зону доменного имени. Срок выдачи такого сертификата — 1 сутки.
• Organization Validation (OV) — проверка организации. Сертификат с таким уровнем проверки доступен только юридическим лицам. Первый этап валидации идентичен DV. На следующем этапе сертификационный центр запрашивает документ, который подтверждает факт существования организации. Срок выдачи такого сертификата — около 10 дней.
• Extended Validation (EV) — расширенная проверка. Сертификат с таким уровнем проверки доступен только юридическим лицам. Она включает в себя все этапы выше, однако проверка существования организации проводится глубже: сертификационный центр изучает правовую и операционную деятельность организации. Срок выпуска такого сертификата может составлять 14 дней.

Как включить SSL-сертификат на сайте

Чтобы ваш сайт открывался по протоколу HTTPS, необходимо настроить редирект с HTTP на HTTPS. Для этого:
1. Откройте файл .htaccess в корневой директории сайта.
2. Добавьте строки из инструкции.

Если способ с перенаправлением в .htaccess вам не подходит и сайт открывается по небезопасному протоколу, рекомендуем настроить редирект по инструкции.

После этого в адресной строке браузера введите доменное имя сайта. Если установка завершилась корректно, в адресной строке вы увидите знак замка:

Готово, вы установили SSL-сертификат.
 

Получение бесплатного SSL-сертификата через хостинг-провайдера

Если хостинг-провайдер предоставляет бесплатный SSL-сертификат, то можно
воспользоваться им. Так его предоставляют:

• Reg.ru;
• Timeweb;
• SprintHost;
• SpaceWeb;
• Beget;
• Многие другие.

Например, в случае с Timeweb достаточно посетить
административную панель после чего перейти во вкладку «SSL-сертификаты» и нажимаем на
«Заказать».

Теперь выбираем «Let’s Encrypt»
(бесплатный) и домен, которому он будет применен.

Важно! Для того, чтобы воспользоваться данным методом
необходимо делегировать сайт под управление компании хостинга при помощи А-записи.

Самостоятельная установка SSL-сертификата

Если автоматическая установка сертификата не предусмотрена или SSL и хостинг куплены в разных местах, то вы можете самостоятельно установить сертификат после покупки.

Для установки понадобится:

• Приватный ключ
• Корневой сертификат
• Промежуточный (=ые) сертификат(ы)
• Сертификат домена
• Доступ к хостингу для установки сертификата на сервер

Продавец сертификата дает подробную инструкцию по установке. Например, у моего хостера она находится в разделе help. В ней всё логично и понятно, я не стану приводить ее здесь. Если у вас один из этих серверов — Apache, Microsoft IIS 5.x / 6.x, Microsoft IIS 7.x, Microsoft IIS 8.0, для Nginx и Tomcat — то в хэлпе RU-CENTER тоже можете найти подходящий мануал для установки SSL-сертификата. Ну или обратитесь к своему продавцу сертификата.

На получение сертификата необходима генерация CSR.

Как заказать SSL-сертификат для сайта

После выпуска SSL, его необходимо установить на хостинг. Если вы используете хостинг SpaceWeb, то сертификат установится автоматически. Ваше участие не потребуется.

• сертификат,
• цепочка сертификатов, которая состоит из промежуточного и корневого сертификатов.

После того как вы получили файлы сертификата, используйте одну из инструкций ниже.

Выпуск SSL-сертификата через хостинг

Другой способ выпустить сертификат – обратиться к своему хостинг-провайдеру. Обычно хостинг-провайдеры становятся партнерами с сертифицированными центрами.

Выпуск сертификата у вашего провайдера значительно упрощает процесс, ведь вы можете заказать, установить и настроить его в одном окне.

• Скорее всего у вашего хостинг-провайдера есть отдельная вкладка или кнопка для выпуска SSL-сертификата. В Beget вы можете найти ее в разделе «Домены и поддомены». Напротив домена вы увидите щит «SSL».

Кликнув на иконку щита, вы перейдете на страницу для выпуска или установки сертификата.

• Чтобы выпустить бесплатный сертификат достаточно выбрать его тип: обычный (может включать до 39 доменов) или Wildcard (сможет охватить неограниченное количество доменов).

• Для заказа платного сертификата вам нужно выполнить немного больше действий: выбрать тип сертификата (DV, OV или EV) и ввести данные владельца домена. Срок выпуска платного сертификата занимает от 2 дней.

• В последней вкладке «Установка SSL сертификата» вы можете ввести номер и приватный ключ уже имеющегося сертификата, а также выбрать домен, на который вы его устанавливаете.

Важно, что SSL-сертификат выпускается со стороны сервера, на котором он находится. Поэтому для выпуска SSL вам нужно обращаться к хостингу, на котором расположены файлы вашего сайта.

Вот и все!

Несколько простых шагов и на вашем сайте установлен SSL-сертификат.

Автоматическое продление сертификата

Certbot будет автоматически продлевать сертификат через задания cron или таймер systemd.

Чтобы выполнить тестовый запуск с симуляцией продления выполните команду

sudo certbot renew —dry-run

На этом всё. После этих действий Certbot будет автоматически продлевать сертификат на каждые 3 месяца. А сейчас можно зайти на свой сайт и убедиться, что сертификат уже действует!

На примере odo24.ru заходим на сайт (в моем случае Chrome), нажимаем возле адреса сайта замочек и выбираем пункт Сертификат

Настройка редиректа на HTTPS

Для того, чтобы ваш сайт работал только по безопасному соединению, вам необходимо настроить редирект страниц вашего сайта на HTTPS. Инструкции по его установке вы можете узнать у своего хостинг-провайдера. Например, в Beget в большинстве случаев вы можете настроить редирект на HTTPS одной кнопкой в Панели управления.

Если же ваш сайт работает через популярные CMS, такие как WordPress, Joomla или Bitrix, то настройка редиректа займет немного больше времени. Вам на помощь придут плагины и дополнительные инструкции.

2. Также вы можете воспользоваться этой инструкцией;

Такие инструкции существуют для всех популярных CMS. Найти вы их сможете в Google или Яндекс по запросу «mixed content» или «смешанное содержимое» с добавлением названия вашей CMS.

Мы считаем, что обеспечить безопасность данных пользователей — важная задача для тех, у кого есть собственные онлайн-ресурсы. Надеемся, эта статья помогла вам разобраться в том, что такое SSL-сертификат, и интернет станет безопаснее

Устанавливаем Certbot

sudo apt-get install certbot python-certbot-nginx

Выбираем, как хотим запустить Certbot

Если хотим, чтобы бот автоматически установил сертификат и отредактировал конфиг Nginx (прописал пути до полученных сертификатов), выполним команду

sudo certbot —nginx

Если же хотим только установить сертификат, а конфиг потом отредактируете самостоятельно, то выполняем

sudo certbot certonly —nginx

Для доменов. ru и

В первую очередь переходим на страницу:

После регистрируем на сайте нажав на «Sing up».

Вводим почту и пароль которые будем использовать.

Добавляем сайт через кнопку «Add site».

Выбираем бесплатный тарифный план.

Ожидаем проверки DNS.

Копируем выданные NS сервера.

Открываем хостинг, где переходим в «Домены»-«Мои домены» и открываем настройки DNS сайта.

Переходим в редактирование NS.

Вводим выданные значения и сохраняем их.

Начинаем настройки подключения.

Включаем функцию выдачи бесплатного SSL-сертификата.

Включаем функцию автоматического редиректа с http на https.

Лучше не включать функцию сжатия если Вы не знаете как работает Ваша CMS. Оставляем все галочки пустыми.

Включаем функцию Brotli.

Нажимаем на «Check nameservers» для проверки системы.

Через несколько часов на почту придет уведомление о подключении, а в личном кабинете увидите следующее.

Теперь сайт сразу начнет открываться и работать с SSL-сертификатом.

Все готово, теперь продление не потребуется и сайт будет автоматически работать всегда на https.

Для доменов кроме .ru и .рф

Теперь вписываем адрес сайта (Важно! Если выдается сертификат для поддомена, то необходимо ввести его адрес, например, poddomen.site.ru) и нажимаем на «Create Free SSL Certificate».

В появившемся окне «ZeroSSL» выбираем «New Certificate».

Вводим домен, например, «seopulses.ru».

Выбираем 90 дней.

Важно! Бесплатно можно получить только на 90 дней!

Оставляем все без изменений и переходим на следующий шаг через кнопку «Next Step».

Теперь нам предлагается 3 способа подтверждения:

1. Через почту;
2. DNS;
3. Загрузку HTTP файла.

О каждом из этих способов указано ниже.

Подтверждение по почте

В этом случае система предложит написать на одну из почт:

• admin@
• administrator@
• hostmaster@
• postmaster@
• webmaster@

В этом случае будет отправлено письмо с кодом на указанный электронный адрес, через которое можно будет подтвердить информацию.

В этом случае лучше всего:

• Подключиться доменную почту на сервере;
• Подключиться к Яндекс.Коннекту (есть бесплатный тариф);
• Mail.ru для бизнеса (есть бесплатный тариф);
• GSuite (От 5,4$ за пользователя).

Если указанной почты нет среди аккаунтов, то следует ее создать, например, в интерфейсе Яндекс.Коннекта это выглядит так:

Отправляем письмо для проверки.

В системе видно, что сообщение отправлено.

Далее приходит письмо на почту, где нужно скопировать проверочный код и перейти на страницу верификации.

На проверочной странице вводим ключи и нажимаем на «Next».

В ZeroSSL обновляем статус заявки.

Видим, что все прошло успешно и кликаем на «Install Certificate».

Скачиваем бесплатный SSL-сертификат через кнопку «Download Certificate (.zip).

При необходимости можно сказать в разных форматах, например, для:

• Apache;
• AWS;
• cPanel
• NGINX;
• Ubuntu;
• И многих других.

Далее переходим к установке его на сервер.

Важно! Одни аккаунт может иметь до трех доменов с сертификатами бесплатно.

Подтверждение бесплатного SSL-сертификата через DNS

На этапе выбора подтверждения кликаем на «DNS», где получаем нужные данные для ввода.

На следующем шаге видим, что система мониторит записи для подтверждения.

Переходим к хостинг-провайдеру (или другой интерфейс, куда через NS был делегирован домен) и переходим к редактированию DNS.

Добавляем новую TXT-запись.

Вводим выданные нам значения.

Важно! Name содержит запись для поддомена (111.site.ru), следует вводить только указанный только до домена код.

Важно! Во многих системах интерфейс может быть различных, например, на примере в Timeweb не требуется ввод TTL, поэтому это опускаем.

Все готово, можно переходить к его установке.

Подтверждение бесплатного SSL через HTTP-файл

Выбираем пункт для подтверждения «HTTP File Upload» и скачиваем файл.

Система начинаем проверку.

Далее переходим в панель управления сервером или FTP-аккаунт, где в корневой папке сайта (как правило, public_html) создаем папку «.well-known».

В ней аналогично создаем еще одну папку «pki-validation».

Загружаем файл, скачанный в самом начале инструкции.

Все готово подтверждаем информацию (аналогично почте) и получаем сертификат.

Как установить SSL-сертификат на выделенный IP-адрес

• Сертификат для домена — открытый ключ,
• Приватный ключ — закрытый ключ,
• Цепочку сертификатов — дополнительный шифр от сертификационного центра.

3. После этого кликните Установить:

Установка бесплатного сертификата на хостинг

Установка SSL-сертификата на сервер

В первую очередь распаковываем архив с сертификатом и видим, что он состоит из:

• certificate.crt (сертификат);
• private.key (приватный ключ);
• ca_bundle.crt (промежуточный сертификат).

Данный пункт необходим тем, кто не смог получить его у хостера и приобрел его не у своего провайдера. Для этого посещаем раздел «SSL», где выбираем пункт «Установить».

Вводим в соответствующие поля свой файл и завершаем установку.

Важно! Если не имеется навыка работы с интерфейсом хостинг компании (у некоторых провайдеров отсутствует возможность загружать сертификат самостоятельно в интерфейсе) рекомендуется загрузить архив с сертификатом на сервер и написать в поддержку с просьбой об установке.

Важно! Срок действия сертификата 3 месяца, после чего его потребуется
обновиться, выполнив инструкцию еще раз.

Важно! Если сертификат выдается на поддомен, то потребуется
подтвердить лишь основной домен (соответственно загрузить лишь 1 файл или
установить 1 TXT-запись).

Через ISPmanager

Следует посетить раздел «WWW»-«SSL-сертификаты»,
после чего кликнуть на «Создать».

Выбираем пункт «Существующий».

Ставим данные из файлов в нужные поля и даем имя
сертификату.

Важно! Если не получается воспользоваться ни первым ни
вторым способом или данного раздела (SSL) нет в административной панели (как, например, в SprintHost), то Вы можете
загрузить сертификаты на свой сервер и создать тикет хостинг-провайдеру для
установки.

Установка SSL-сертификата на сайт без выделенного IP-адреса

Этот способ подойдет в случае, если ваш домен добавлен на хостинг SpaceWeb обычным способом, без привязки к выделенному IP.
Для установки SSL:
1. В панели управления перейдите в раздел Установка SSL-сертификата.
2. Выберите вариант Без IP из выпадающего списка. Затем приложите файлы, нажав кнопку Выбрать файл в соответствующем поле:

• Сертификат для домена — открытый ключ,
• Приватный ключ — закрытый ключ,
• Цепочку сертификатов — дополнительный шифр от сертификационного центра.

3. После этого кликните Установить:

Как получить CRS

CRS (Certificate Signing Request) — это запрос с данными о компании в зашифрованном виде, представляет собой текстовый документ, содержащий закодированную информацию об админе домена и ключ.

В сети пишут, что приватный ключ и CRS можно сгенерировать в любом стороннем онлайн-генераторе. Лучше этого не делать. Отдавать ключ третьему лицу — небезопасно. К тому же сервер, на котором будет установлен сертификат, может отказаться принять его, если CSR создан не на основе его закрытого ключа.

Лучше делать всё на стороне вашего веб-сервера, чтобы потом не было проблем с установкой. Там достаточно заполнить поля для выпуска сертификата.

Вот как выглядят CSR-запрос и RSA-ключ (конечно, я изменил и сократил тексты в файлах, так как эти данные нельзя светить):

——BEGIN CERTIFICATE REQUEST——

——END CERTIFICATE REQUEST——

——BEGIN PRIVATE KEY——

——END PRIVATE KEY——

Важно! Храните ключ в надежном месте. Без него невозможно установить и восстановить SSL. А если кто-то получит к нему доступ, то сможет расшифровать любую информацию, переданную на сервер.

Зачем нужен SSL

SSL играет роль и в SEO-оптимизации. Google и Яндекс учитывают наличие валидного сертификата и работу сайта по HTTPS как один из факторов ранжирования сайта в поисковой выдаче.

Если ваш сайт работает по HTTP, то рядом с адресной строкой браузеры выводят предупреждение «Не защищено», а значит пользователи будут меньше доверять вашему ресурсу.

Бесплатный SSL-сертификат от Let’s Encrypt

Еще совсем недавно SSL-сертификат можно было либо купить, либо установить самоподписной. Это вызывало ряд проблем: либо его устанавливали на сервера крупный бизнес и сайты с большим потоком посетителей, либо сертификаты не считались браузерами валидными. Это привело к тому, что к большей части сайтов в интернете можно было подключиться только по незащищенному соединению.

Со временем ситуация изменилась. Появилась некоммерческая организация Let’s Encrypt, которая выпускает бесплатные SSL-сертификаты на сайты. Они подходят для небольших информационных сайтов, которые не собирают данные пользователей.

Бесплатный сертификат относится к типу DV (Domain Validation).

Сертификаты Let’s Encrypt отвечают современным стандартам качества: используется 256-битное шифрование симметричным ключом, центр Let’s Encrypt никогда не хранит закрытые ключи на своих серверах, а информация о сертификатах находится в публичном доступе.

Основной минус сертификата от Let’s Encrypt — его действие рассчитано на срок не более 90 дней. Затем его нужно перевыпускать. Сделать это можно как вручную, так и автоматически через планировщик задач Cron. Например у нас можно настроить автоматический перевыпуск сразу в панели. Если вам интересно, вы можете почитать об этом в нашей статье на сайте Beget.

Виды сертификатов

DV — Domain Validation — для подтверждения домена. Это значит, что сертификат подтверждает именно домен сайта, а не его владельца. Он показывает, что подключение защищено, и клиент обменивается зашифрованной информацией с сервером.

OV — Organization Validation — для подтверждения организации и домена. Он позволяет проверить не только домен, но и его владельца. Этот сертификат могут получить как физические, так и юридические лица. OV отлично подойдет для социальных сетей, форумов, интернет-магазинов или других ресурсов с приемом платежей.

EV — Extended Validation — для расширенного подтверждения организации и домена. Сертификат с самым высоким уровнем защиты. Рассмотрение его получения на ресурс самый длительный — сертификационная организация проверяет не только владельца, но и регистрационные данные владельца. Предназначен только для юридических лиц. Его могут заказать финансовые организации, страховые компании, корпоративные сайты и другой крупный бизнес.

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером.

Видеоинструкция

https://youtube.com/watch?v=mqWKuIzsZzQ%3Ffeature%3Doembed

Как работает SSL

SSL-сертификат позволяет установить TLS-соединение с сервером, которое работает по следующей схеме:

Все шаги для подключения по безопасному соединению занимают миллисекунды.

Сценарий подключения по TLS-соединению возможен, если сервер воспринимает ваш сертификат как действительный. Если же ваш сертификат невалиден, то вы не сможете подключиться к сайту по безопасному соединению. Невалидным может считаться сертификат, срок действия которого истек. Ошибку также может вызвать самоподписной сертификат. Браузеры принимают только сертификаты, которые были выпущены у сертифицированных центров.

Чтобы проверить валидность сертификата вы можете воспользоваться онлайн-ресурсами. Например, с помощью инструмента «Проверка SSL» от 2IP.

Зачем переводить сайт на HTTPS

Здесь можно выделить несколько причин.

1. Безопасность. Как вы уже поняли, основная цель использования протокола HTTPS – защита персональных данных. Но отметим, что использование SSL-сертификата — не лекарство от всех бед. Учтите, что злоумышленники могут перехватить данные до момента передачи их на сервер, если компьютер или устройство клиента было заражено. Но всё же использование протокола шифрования — значительный вклад в снижение уязвимости сайта.
2. Доверие клиентов. Пользователи просто привыкли, что на сайтах крупных компаний можно увидеть надпись «защищено» или замок в адресной строке. Кроме того, посетитель страницы может кликнуть на иконку замка и узнать:

• доменное имя, на которое оформлен SSL-сертификат;
• юридическое лицо, которое владеет сертификатом;
• физическое местонахождение его владельца (город, страна);
• срок действия сертификата;
• реквизиты компании-поставщика SSL.

3. SEO-продвижение. Поддержка HTTPS-протокола — один из факторов ранжирования для многих поисковых систем. Об этом не раз писали Google и Яндекс. Если хотите активно заниматься продвижением в поисковиках, установка SSL-сертификата на сайт добавит вам несколько SEO-очков для сайта.
4. Дополнительные инструменты. Некоторые сервисы, например, Яндекс.Деньги, голосовой помощник Google Chrome или Google AdWords, можно подключить только к сайтам с сертификатом безопасности.
5. Закон. Существует федеральный закон №152 «О персональных данных». Согласно нему, если на вашем сайте собирается минимальная информация о клиентах (ФИО, email и др.), то он становится оператором персональных данных. Согласно закону, такие сайты должны соблюдать множество правил по защите данных своих клиентов, и переход на HTTPS — одно из них.

Теперь поговорим том, как перейти на защищенное соединение и настроить редирект с HTTP на HTTPS.

Минусы

Третий минус является следствием второго, поскольку при таком принципе возникают проблемы в работе WordPress, он утопает в бесконечных редиректах, от которых спасает плагин. За другие CMS ничего не могу сказать, не проверял и не изучал этот вопрос подробно.