Secure Sockets Layer, в основном известный под аббревиатурой SSL, представляет собой протокол безопасности, который обеспечивает безопасность путем создания зашифрованной связи между веб-браузером и веб-сервером. Как правило, SSL гарантирует, что поток данных между веб-сервером и браузером является частным и конфиденциальным.
В расширении SSL-сертификат — это файл данных, который размещается на сервере веб-сайта для обеспечения покрытия SSL. Информация, содержащаяся в SSL-сертификате, включает в себя: доменное имя, открытый ключ, имя человека или название организации, цифровую подпись, дату выпуска, дату истечения срока действия и эмитента.
Печать SSL (замок) в браузере сообщает публике, что веб-сайт использует SSL. А SSL — это HTTPS, а не HTTP.
Замок показывает, что сайт использует SSL
Когда вы используете SSL, вы защищаете данные своих пользователей. Пользователи, скорее всего, не будут посещать ваш сайт, если будут знать, что их данные не защищены. Особенно, если вы управляете веб-сайтом электронной коммерции, пользователям которого может потребоваться предоставить конфиденциальную информацию, например данные кредитной карты. Пользователи серьезно относятся к безопасности, и вы тоже.
Поисковые системы обычно плохо относятся к веб-сайтам, которые не используют SSL.
Есть много преимуществ использования SSL, и вам не нужно иметь никаких денег, чтобы пользоваться покрытием SSL. В этой статье вы найдете лучших поставщиков бесплатных SSL-сертификатов. Независимо от того, используете ли вы WordPress, Magento, Joomla, Drupal или любую другую систему, для вас найдется бесплатное решение SSL.
В основном существует 3 типа SSL-сертификатов:
Сертификаты с проверкой домена (DV SSL)
DV SSL — самый популярный SSL-сертификат. Это проще всего получить. Это связано с тем, что Центру сертификации (ЦС) требуется только право приложения на использование доменного имени. Нет проверки идентификационной информации компании.
Этот тип SSL-сертификата идеально подходит для блоггеров, веб-сайтов компаний и веб-сайтов малого бизнеса. Пока они не требуют данных клиента.
Сертификаты, подтвержденные организацией (OV)
OV SSL — идеальный сертификат для предприятий, которым не требуется конфиденциальная информация о пользователях, но может потребоваться определенная информация, которая не является конфиденциальной. Примером могут служить компании, которые используют формы для сбора потенциальных клиентов, но не запрашивают конфиденциальную информацию, такую как данные кредитной карты.
Центр сертификации (CA) проведет некоторую проверку организации в дополнение к проверке права заявителя на использование доменного имени перед выдачей этого сертификата. Проверенная информация может отображаться, когда пользователи нажимают на замок SSL в браузере.
Сертификаты с расширенной проверкой (EV)
EV SSL — самый мощный SSL-сертификат. Он может обрабатывать любую конфиденциальную информацию. Он идеально подходит для предприятий, которым требуются данные кредитной карты для финансовых транзакций на их веб-сайте.
Центр сертификации (ЦС) проводит очень тщательную проверку перед выдачей сертификата. Это самый сложный сертификат.
Процесс включает в себя проверку юридического, физического и операционного существования юридического лица.
Преимущества использования SSL-сертификата
Использование SSL-сертификата имеет множество преимуществ:
Защита данных
Это самое важное и подавляющее преимущество использования SSL. Всякий раз, когда кто-то посещает ваш сайт, данные передаются. Данные перемещаются с веб-сервера в веб-браузер и наоборот. Если эти данные не защищены, они могут быть использованы до того, как они достигнут места назначения. SSL помогает защитить данные, чтобы их нельзя было использовать. Только представьте, что конфиденциальная информация, такая как пароли и данные кредитной карты, украдена. SSL предотвращает это.
Улучшить рейтинг в поисковых системах
Простое использование HTTPS может улучшить ваш рейтинг в поисковых системах и увеличить органический трафик. Почему это так? Что ж, Google, который на сегодняшний день является крупнейшей поисковой системой, уже давно обнародовал, что использование SSL является фактором ранжирования.
Это означает, что при ранжировании веб-сайта в результатах поиска одним из факторов, определяющих позицию веб-сайта, является SSL.
Завоевать доверие пользователей и клиентов
Как правило, веб-пользователи заботятся о своей конфиденциальности. Наличие замка в браузере является для пользователей знаком того, что вы серьезно относитесь к их конфиденциальности.
Это может повысить доверие пользователей к вам. Многие веб-пользователи при первом посещении веб-сайта ищут этот замок, чтобы быть уверенными в своей безопасности на веб-сайте.
Когда вы запрашиваете у пользователей какую-либо информацию, SSL дает им уверенность в предоставлении вам такой информации.
Это поможет вам соответствовать PCI / DSS, чтобы вы могли получать платежи онлайн.
Чтобы получать платежи в Интернете с помощью дебетовых и кредитных карт, стандартом является то, что вы должны соответствовать стандарту PCI. И чтобы считаться совместимым с PCI, одним из наиболее важных требований является наличие SSL-сертификата.
Как получить и установить SSL-сертификат
Выполните следующие действия, чтобы получить и установить SSL-сертификат:
Выберите подходящий тип SSL-сертификата
Первый шаг — выбрать тип SSL-сертификата, который вам понадобится. Тип SSL, который вам нужен, может определять поставщика, который вам может понадобиться. Потому что не все провайдеры SSL предоставляют все типы сертификатов SSL.
Для большинства людей достаточно проверки домена (DV SSL). Для некоторых других, которым могут потребоваться более конфиденциальные данные, подойдет OV SSL или EV SSL.
Обновите свою запись WHOIS
Важно, чтобы вы обновили свою запись WHOIS, чтобы она точно соответствовала информации, которую вы отправляете эмитенту сертификата. Это очень важно, если вы ищете сертификат OV SSL или EV SSL.
Генерация запроса на подпись сертификата (CSR)
Вам нужно будет сгенерировать запрос на подпись сертификата (CSR) на вашем сервере. Процесс его создания зависит от вашего веб-хостинга и панели сервера.
Лучшее решение, если вы не знаете, как это сделать, — попросить ваш веб-хостинг сгенерировать это для вас.
Отправьте CSR эмитенту сертификата
После создания CSR отправьте его пользователю сертификата. Они будут использовать это для проверки вашего домена и подготовки сертификата SSL.
Установите SSL-сертификат
После проверки вам будет выдан SSL-сертификат. Вам придется установить это. Процесс может быть отложен веб-хостом и серверной панелью.
Лучшее решение — попросить веб-хостинг помочь вам установить сертификат.
Топ-5 поставщиков бесплатных SSL-сертификатов
Вот лучшие поставщики бесплатных SSL-сертификатов:
Давайте зашифруем
Давайте зашифровать является некоммерческим центром сертификации, который предоставляет бесплатный SSL. Это, безусловно, самый популярный бесплатный провайдер SSL. Они предоставили бесплатные SSL-сертификаты более чем 225 миллионам веб-сайтов. Сертификат, предоставленный Let’s Encrypt, всегда бесплатен.
Сертификат, который они предоставляют, действителен в течение 90 дней. Но может быть автоматически продлен на всю жизнь.
Нулевой SSL
ZeroSSL предлагает бесплатный SSL на всю жизнь. Хотя у них также есть платные планы для людей с более высокими потребностями в SSL, у них есть бесплатный план SSL на всю жизнь, которого будет достаточно для большинства людей. Вы ничего не платите. Процесс быстрый и простой, ваш SSL будет готов менее чем за 5 минут.
Сертификат аналогичен Let’s encrypt; он действителен в течение 90 дней, но может быть автоматически продлен на всю жизнь.
SSL бесплатно
SSL бесплатно предлагает навсегда бесплатный SSL-сертификат. Это некоммерческая организация, которая использует сервер ACME, используя проверку домена для обеспечения сертификации. Закрытые ключи генерируются в браузере и никогда не передаются.
FreeSSL. org
FreeSSL.org предлагает навсегда бесплатный SSL-сертификат с использованием Let’s encrypt и Buypass. С помощью let’s encrypt он действует 3 месяца, а с buypass — 6 месяцев. Все сертификаты могут быть автоматически обновлены, и они предоставляют услугу напоминания об истечении срока действия сертификата.
Лучший способ получить бесплатный SSL
Лучший способ получить бесплатный SSL — использовать веб-хостинг провайдер, предоставляющий бесплатный SSL. Таким образом, вам не нужно беспокоиться обо всех технических деталях и обновлениях.
Для большого веб-сайта Kinsta рекомендованный Google, предлагает бесплатный SSL-сертификат. Альтернативой для больших сайтов является Cloudways, их платформа очень быстрая, и они предлагают бесплатный SSL-сертификат.
Если у вас небольшой или стартовый сайт, Bluehost дешевый и предлагает бесплатный SSL-сертификат. Хорошей альтернативой будет Hostinger.
Да пребудет с вами почтовая и бесплатная сила!
Подготовил для вас довольно большое и подробное описание как сделать свой почтовый сервер, чтобы слать сколько угодно писем (рассылок и транзакционных), никому не платить, ни от кого не зависеть и это будет на 99.99% бесплатно. Никто вас не спросит откуда у вас база, как вы ее собрали и т.п. (я не пропагандирую спам).
Подпишитесь, может быть будет интересно
Статья может показаться сложной, но на самом деле, если вы чуть-чуть углубитесь в вопрос, прочтете это руководство и еще поищите статьи в Интернете, то вы с вероятностью 99% сделаете свой почтовый сервер и забудете навсегда о платных альтернативах (после начала СВО их стало не так уж и много). Вам понадобиться самая дешевая VPS (уложитесь в 300-400 руб. в месяц, у нас серверов не мало, поэтому мы развернули на существующем) и бесплатный hMailServer.
Предвижу вопрос — «Макс, а как делать красивые, mobile ready рассылки, если мы подняли свой почтовый шлюз»? Ребята, никаких проблем. Мы используем прекрасный и 100% бесплатный плагин для WordPress (у нас сайты на WordPress, зачем нам что-то еще?), но на следующей неделе перейдем на платный аналог (40$ стоит, купил и забыл, копейки), который обладает нужным нам функционалом для построения сложных сценариев рассылок (о чем речь — послали рассылку, следующую шлем тем, кто открыл предыдущую, или открыл и куда-то кликнул и т.п.).
Что такое hMailServer?
Если на компьютере установлена операционная система Microsoft Windows (а во всех офисах и на подавляющем большинстве домашних ПК это так) , то когда заходит речь про почтовый сервер, сразу же приходит на ум Microsoft Exchange. А ведь есть и великолепная бесплатная альтернатива с открытым исходным кодом!
hMailServer — это бесплатный почтовый сервер для организаций, предприятий и даже обычных людей. Он легок в установке, использовании, не требует специальных знаний и специфического ПО, для него сгодится любой компьютер с Windows на борту.
Разработка hMailServer началась в 2002 году Мартином Кнафве. За годы он стал одним из самых популярных почтовых серверов для Windows.
В настоящий момент дальнейшая разработка hMailServer прекращена. Но не спешите удивляться! Все необходимые обновления безопасности выходят до сих пор. Его продолжают рекомендовать и скачивать. Он совместим со всеми современными системами.
Технологии, на основе которых работает hMailServer, не меняются, а замороженный функционал является скорее достоинством, нежели недостатком.
Главные компоненты hMailServer включают в себя:
- простой установщик;
- конфигуратор;
- встроенные средства безопасности;
- поддержка SSL-сертификатов;
- интеграция со сканерами вирусов;
- черные списки электронной почты;
- поисковые системы SPF/MX;
- интеграция с другим ПО через интерфейсы COM;
- много другое.
Позже мы остановимся на некоторых из этих функций.
Все необходимые шаги, в том числе и связанные со сложностями получения сертификатов в современных условиях, в статье описаны и опробованы на практике.
Помимо локальных настроек потребуется небольшая настройка записей DNS — иначе другие почтовые серверы не будут знать куда именно слать письма. Об этом тоже поговорим.
Подготовка к установке
Предупреждение о том, что программа больше не разрабатывается — игнорируем.
Для работы сервера не требуется ничего сверх обычного современного компьютера. Обычно hMailServer использует менее 100 Мб оперативной памяти, а потребляемые ресурсы сильно зависят от количества пользователей.
Можно предположить, что для подавляющего большинства случаев будет достаточно следующей конфигурации:
- 4 Гб оперативной памяти;
- 2 процессорных ядра.
Если сервер предназначается для обслуживания десятков тысяч пользователей, то простым увеличением памяти всё равно не обойтись. Но мы же не разорять Яндекс собрались, а всего лишь поднять почтовый сервер для своего предприятия — в этом случае о системных ресурсах можно сильно не переживать.
Поддерживаются все версии Microsoft Server (вплоть до версии 2003 года) и все версии Microsoft Windows, начиная с «десятки» и заканчивая XP с третьим пакетом обновлений. Самые новые версии Microsoft Server не перечислены в списке на официальном сайте, но их пользователи не сталкиваются ни с какими трудностями, что ожидаемо.
hMailServer создавался как простая программа «скачал и работай», поэтому имеет интегрированную облегченную версию MSSQL. Если по каким-либо причинам такая база данных не устраивает, то можно использовать любую из следующих:
Аналогично можно предположить, что не возникнет никакой несовместимости, если задействовать любой более новый MSSQL Server.
Последнее, что нужно учесть — hMailServer создан на основе «. NET Framework 2.0». Новые версии .NET имеют обратную совместимость с предыдущими версиями, поэтому любая новая версия прекрасно сгодится.
Установка .NET Framework
Установится свежая версия.
Небольшая вводная информация для тех, кто вообще никогда не поднимал своего почтового сервера. Для работы понадобится:
Эти услуги можно покупать как раздельно, так и вместе «за раз», поскольку многие хостинг-провайдеры одновременно являются и аккредитованными регистраторами доменных имен.
Поскольку эта статья информационная, а не рекламная, то никаких ссылок давать не будем. Всё необходимое для понимания и использования — в статье ниже. Когда же придет время действовать, то поисковый запрос «регистрация доменного имени» или «хостинг провайдер» покажет все топовые конкурирующие предложения.
Настройки DNS
Как было сказано выше, есть несколько настроек DNS, нужных для правильной работы сервера.
DNS — Domain Name Service, служба доменных имен — глобальная адресная книга сети Интернет, продублированная на множестве специальных серверов. Именно к ней в первую очередь обращаются все программы, которые хотят установить соединение. Другие почтовые серверы, которые захотят посылать почту на наш почтовый сервер — не исключение.
Настройки DNS, как правило, производятся через веб-интерфейс провайдера, предоставившего доменное имя. Оформление страниц может отличаться, но суть одна: мы работаем с так называемыми ресурсными записями DNS, которые имеют стандартизированные названия. Содержание записей тоже стандартизировано. Ничего сложного в этом нет.
Также нам понадобится запись «MX» (от англ, «mail exchange») , которая сообщает куда и как доставлять почту, направленную по указанному домену получателя. MX-записей может быть задано несколько (тоже для балансировки нагрузки) .
Без записи PTR принимающий почту сервер не сможет убедиться в том, что отправитель (на уровне доменного имени) — именно тот, за кого себя выдает. Если запись PTR не задана или расходится с тем, что показывает запись «A» — письма гарантированно улетают в спам.
«Лучше один раз увидеть, чем сто раз услышать». Специальная сетевая утилита «dig» идеально подходит для мониторинга записей DNS. Вот примеры с нашей почтой:
Работа утилиты dig на примере xmldatafeed.ru
Настройка межсетевого экрана
Специальные действия с межсетевыми экранами требуются не всегда. Выбор нужного профиля, как правило, уже несет в себе необходимые и правильные настройки.
Поскольку настройку будем производить поэтапно, то традиционные порты, использовавшиеся в эпоху небезопасных соединений для работы почтового сервиса тоже могут потребоваться:
Блокировать в дальнейшем их или нет — вопрос на усмотрение пользователя.
Установка
Итак, установочный файл по ссылке, приведенной в предыдущем разделе скачан. Двойной щелчок мышью на скачанном файле setup. exe запускает мастер установки.
Нажимаем «Next» и соглашаемся с лицензией.
Если нужно поменять папку, в которую устанавливается hMailServer, то это можно сделать на следующем шаге.
Выбор папки для установки
Дальше можно выбрать несколько вариантов установки. Нам понадобится полный, со всеми компонентами.
Далее выбирается база данных, которая будет использоваться. Для большинства подойдет встроенная Microsoft SQL Compat, которая и предлагается по умолчанию.
Выбор используемой базы данных
Один из последних шагов — выбрать подходящее название для пункта из меню «Пуск». Предлагаемое по умолчанию «hMailServer» — кажется самым удачным.
Название для меню «Пуск»
Наконец, нужно задать административный пароль. Он понадобится для дальнейших настроек. Надеюсь, не стоит напоминать, что пароль должен быть сильным и не теряться!
Задание административного пароля
Всё готово к установке. Можно проверить правильно ли заданы параметры на предыдущих этапах.
Последний взгляд перед установкой
Установка завершена — ничего сложного. Осталось настроить.
Запуск панели администратора
Нажимаем «Connect» — «Соединиться» — и вводим административный пароль, созданный при установке. Появляется панель администратора.
Теперь все те данные, которые мы узнали у поставщиков услуг интернета — регистратора доменного имени и хостинг-провайдера — нужно занести в hMailServer.
Разные источники по-разному трактуют, что именно должно быть в поле «Local host name». У кого-то работает «localhost», кто-то указывает доменное имя, дальше все спорят почему у кого-то работает, а у кого-то нет.
Почта будет успешно отправляться при любом значении этого поля. Вопрос в другом — это значение используется принимающими серверами для выявления спама.
Здесь не страшно что-то перепутать. Ничего опасного не произойдет, просто почтовый сервер поначалу не будет работать или будет работать с ошибками, что сразу выяснится на дальнейшем этапе отладки.
Подключение ретранслятора
Есть ещё одна полезная технология в мире электронной почты, которая может пригодиться — это ретранслятор, когда наш сервер отправляет письма не напрямую, а через промежуточный почтовый сервер-посредник.
Интернет-провайдер на основе MX-записи DNS разберется куда именно должна доставляться электронная почта.
Все необходимые параметры можно указать на той же странице, что и выше.
В разделе «SMTP Relayer» нужно ввести имя хоста, используемый порт и, возможно, данные для аутентификации — всю эту информацию нужно брать у провайдера на страничке с документацией.
Ретранслятор использовать не обязательно. Особенно при относительно небольших объемах рассылки. Более того, почти наверняка за эту услугу придется платить, хоть и не большую сумму. В принципе, пользоваться услугами того же Яндекса для отправки корреспонденции — это по сути то же самое.
Добавление домена и аккаунтов
Вводим наш домен для электронной почты
Теперь осталось добавить пользователей — тех, кто будет иметь почтовые ящики на нашем почтовом сервере. Помимо имен можно задать пароли, ограничение размера для сообщений и тому подобное.
Несколько пользователей для примера
Active Directory
Можно упростить администрирование учетных записей и паролей, если объединить hMailServer с локальной Active Directory. Тогда, используя вкладку Active Directory, можно создавать новых пользователей, удалять старых, менять им пароли и так далее.
Active Directory (далее просто «AD») — это своего рода каталог, в котором хранятся данные о различных объектах в сети: компьютерах, серверах, принтерах, сервисах.
В hMailServer есть два сценария по работе с AD.
Первый сценарий — уже создана учетная запись пользователя в hMailServer и теперь её нужно связать с AD. Тогда, нажав на учетную запись пользователя, надо перейти на вкладку «Active Directory», установить соответствующий флажок, ввести домен AD и имя пользователя (SAMAccountName) .
Другой сценарий — добавление существующего пользователя AD в hMailServer. Для этого нужно щелкнуть правой кнопкой мыши на папке «Accounts», щелкнуть «Add AD account», выбрать домен AD и учетную запись пользователя.
Не забывайте нажимать кнопку «Save»!
Пока что все настройки были базовыми. SSL-сертификат в дополнение дает возможность использовать шифрование электронной почты, а также задействовать прочие средства безопасности.
Но здесь теперь всё не так просто, как было раньше.
Сертификат должен быть признан всеми участниками сети, в том числе теми, кому будет адресована почта. Это значит, что сертификат должен быть выдан уполномоченным центром, который известен и отправителю почты и получателю.
Обычные пользователи, как правило, не задумываются над этими техническими особенностями, потому что корневые сертификаты основных удостоверяющих мировых центров — Sectigo, Thawte, Digisert, GeotTrust, RapidSSL и других — уже встроены во все браузеры, почтовые клиенты и прочие приложения, требующие этой технологии.
Казалось бы, нужно выбрать один из них, заплатить небольшую сумму за сертификат, установить его должным образом на сервере — и все проблемы безопасности решены разом.
Но не тут-то было! Многие из удостоверяющих центров прекратили работу с рядом стран по политическим причинам. Мало того, что они перестали продавать новые сертификаты, так они ещё и начали прекращать действия уже имеющихся, из-за чего посетители многих российских сайтов столкнулись с предупреждающей надписью.
Решений видится два: получить либо российский сертификат, либо сертификат одного из тех центров сертификации, кто занимается делом, а не политикой.
Недостаток первого варианта: далеко не все пользователи установили себе корневой сертификат российского министерства со сложным названием, прозванного в народе МинЦифры, а популярные приложения этот корневой сертификат по умолчанию не имеют.
Недостаток второго варианта: непростой поиск и действия по приобретению. Мы преодолели все сложности и выбрали второй вариант — использовали Global Sign.
Какой бы вариант не был использован, для получения сертификата нужно следовать всем инструкциям на сайте удостоверяющего центра. К сертификату должен прилагаться закрытый ключ (private key) .
Важно! hMailServer работает с сертификатами в формате PEM. Если сертификат получен в другом формате, то нужно выполнить преобразование. Например, чтобы преобразовать DER файл (.crt,. cer. der), можно выполнить в терминале следующую команду:
openssl x509 -inform der -in certificate.cer -out certificate.pem
Команда может завершиться с ошибкой. Такое бывает, если сертификат уже находится в формате PEM и нужно лишь сменить расширение файла.
Наконец, чтобы импортировать сертификат нужно перейти в «Settings», затем в «Advanced», выбрать «SSL Certificates» и нажать «Add».
Добавление сертификата и закрытого ключа
В поле «Name» можно ввести произвольное название, но удобнее (а в дальнейшем и понятнее) использовать содержимое поля «Subject Name» полученного сертификата.
Итак, сертификат добавлен в программу, но этого не достаточно: hMailServer знает, где искать сертификат в системе по имени, а что с ним делать — не понятно. Чтобы сертификат работал, надо связать его с правильными портами. Для этого нужно там же, в разделе «Advanced», перейти в подраздел «TCP/IP ports».
Нужный порт может изначально не отображаться — нужно щелкнуть «Add», чтобы добавить его. После щелчка на кнопке «Add» нужно будет выбрать сертификат из выпадающего списка.
Напоминаем, какие порты какими протоколами используются:
- 587 — SMTP
- 995 — POP3
- 993 — IMAP
Настройка почтовых клиентов
Все современные почтовые клиенты поддерживают протоколы IMAP/POP3/SMTP, включая Microsoft Outlook. Другой популярной альтернативой является Mozilla Thunderbird, которую, в том числе, удобно использовать для проверки корректности работы сервера.
Начальная настройка Mozilla Thunderbird
Все дальнейшие настройки Mozilla Thunderbird подтянет с сервера самостоятельно.
Если появляется похожее сообщение (то есть не используется защищенное соединение) — значит что-то напутано с портами и сертификатом.
Если шифрование не используется, то будет появляться предупреждение
Можно попробовать послать несколько почтовых сообщений туда-сюда, убедиться, что всё работает, а заодно посмотреть журнал.
Журнал почтового сервера
Кроме того, для отладки сервера будут полезны следующие ресурсы:
Результат
Те, кто уже сталкивался с настройкой Microsoft Exchange Server, заметят, что настройка hMailServer несравненно проще. Именно потому он и пользуется такой популярностью!
Нужно только поработать немного с DNS-записями, получить SSL-сертификат и установить программку. Несколько шагов — и почтовый сервер полностью настроен! Если кто делает такое впервые — потребуется всего час или два, причем основное время уйдет на понимание базовых вещей и осмысление интерфейсов, а не на сами манипуляции по настройке.
Рассмотренное в статье — только основа. Мы не затрагивали сложные штуки, которые поддерживает hMailServer:
- интеграция со сторонними службами, такими как RoundCube или SquirrelMail;
- поддержка специальных служб защиты от нежелательной почты;
- встроенное резервное копирование;
- правила и прочее.
Однако, вернемся к полученным результатам.
Никакого спама, всё работает отлично!
«Ты что⁈ Надо пользоваться готовыми решениями! Ай-ай-ай!»
Ещё одно доказательство, что всё благополучно
Я, как упрямый Труфальдино из Бергамо (многие, уверен, помнят такой фильм по пьесе Карло Гольдони) — забавный хитрый малый, который несмотря на окружающий скепсис — взял и поднял свой почтовик 🙂
Мы ничего не платим за рассылки и письма. Вообще! И в спам не попадаем. Доставляемость писем почти идеальная. Всё работает.
А почему? А потому, что мы не думаем, а делаем! Чего и всем советую :). А если серьезно, спрашивайте в комментариях, если я что-то упустил!
То есть в довесок к халявному сертификату вы ещё получите кучу других полезных плюшек, в том числе и ускорение загрузки, что является одним из факторов ранжирования, существенным или нет — это уже вопрос другой.
Минусы
Третий минус является следствием второго, поскольку при таком принципе возникают проблемы в работе WordPress, он утопает в бесконечных редиректах, от которых спасает плагин. За другие CMS ничего не могу сказать, не проверял и не изучал этот вопрос подробно.
Отличия от других серитификатов
Не совсем корректное сравнение, но тем не менее. Сам по себе сертификат не сильно отличается от того же бесплатного Let’s Encrypt. Ключевым отличием является то, что HTPPS, в случае с сертификатом от Let’s Encrypt, начинает работать сразу же после его установки на сервер и отсутствуют незащищенные участки. Но на этом кончаются преимущества и начинаются проблемы, поскольку сертификат от Let’s Encrypt выдается всего на 3 месяца и необходимо изобретать костыли для автоматического обновления. К слову сказать в ISPmanager уже заложена такая функция и сертификат обновляется автоматически за 7 дней до окончания срока действия.
Как я это делаю
Серые со стрелкой в обход — отключено, оранжевые — включено.
Что такое HTTPS
Для того, чтобы объяснить, что такое HTTPS, обратимся к истокам.
Большая часть запросов в интернете проходит по протоколу HTTP. Его придумали еще в 90-х годах для передачи текстов с гиперссылками (документы, в которых вшиты ссылки для перехода к другим документам). Аббревиатура HTTP расшифровывается как HyperText Transfer Protocol.
Сайт — это по сути своей документ, который состоит из файлов: текста, картинок, видео и так далее. При помощи HTTP браузер просит сервер отправить данные разного формата для отображения страницы.
Для того, чтобы его открыть, протокол HTTP подходил идеально. За исключением одного «но» — его использование не подразумевает шифрование данных. То есть, пока запрос идет от клиента (вас) к серверу и обратно, к информации о вас и о вашем запросе могут иметь доступ посторонние, например, интернет-провайдер или злоумышленники.
В целях повышения безопасности в интернете компания Netscape Communications в 2000-м году выпустила расширение протокола HTTP — HTTPS (HyperText Transfer Protocol Secure). При использовании HTTPS данные передаются поверх криптографических протоколов SSL или TLS и зашифровываются. Для того, чтобы сайт мог работать по протоколу HTTPS, на домен должен быть выпущен и установлен SSL-сертификат.
Что такое SSL/TLS
Перейдем к понятию SSL/TLS. SSL — это сертификат, который подтверждает подлинность веб-сайта. Аббревиатура переводится как Secure Sockets Layer.
SSL-сертификат подтверждает ваш домен или организации и позволяет установить безопасное соединение. Он содержит индивидуальный ключ вашего домена, с помощью которого информация между сервером и клиентом (вами) зашифровывается.
Протокол SSL был выпущен более 25 лет назад компанией NetScape в нескольких версиях, но ни одна из них не могла полностью обеспечить безопасность данных пользователей. Поэтому в 1999 году компания IEFT создала новую версию сертификата — TLS (Transport Layer Security), которая смогла решить проблемы предшественника. Первые версии протокола сейчас не актуальны, но TLS-соединение 2008 и 2018 года все еще используются в наши дни.
Интересно, что компания IEFT не могла использовать в названии аббревиатуру SSL по юридическим причинам (права на имя принадлежали NetScape), но в обиходе мы до сих пор чаще используем именно название первого протокола.
Правильная настройка работы на вашем сайте SSL-сертификата — это гарантия, что данные между пользователем и веб-сайтом или двумя системами зашифрованы. К таким данным относятся имена, адреса, номера телефонов, номера банковских карт и другая информация. SSL не позволяет сторонним пользователям, в том числе и злоумышленники, воспользоваться ими.
Как работает SSL
SSL-сертификат позволяет установить TLS-соединение с сервером, которое работает по следующей схеме:
Схема работы SSL-сертификата
Все шаги для подключения по безопасному соединению занимают миллисекунды.
Сценарий подключения по TLS-соединению возможен, если сервер воспринимает ваш сертификат как действительный. Если же ваш сертификат невалиден, то вы не сможете подключиться к сайту по безопасному соединению. Невалидным может считаться сертификат, срок действия которого истек. Ошибку также может вызвать самоподписной сертификат. Браузеры принимают только сертификаты, которые были выпущены у сертифицированных центров.
Чтобы проверить валидность сертификата вы можете воспользоваться онлайн-ресурсами. Например, с помощью инструмента «Проверка SSL» от 2IP.
Зачем нужен SSL
SSL играет роль и в SEO-оптимизации. Google и Яндекс учитывают наличие валидного сертификата и работу сайта по HTTPS как один из факторов ранжирования сайта в поисковой выдаче.
Если ваш сайт работает по HTTP, то рядом с адресной строкой браузеры выводят предупреждение «Не защищено», а значит пользователи будут меньше доверять вашему ресурсу.
Виды сертификатов
DV — Domain Validation — для подтверждения домена. Это значит, что сертификат подтверждает именно домен сайта, а не его владельца. Он показывает, что подключение защищено, и клиент обменивается зашифрованной информацией с сервером.
OV — Organization Validation — для подтверждения организации и домена. Он позволяет проверить не только домен, но и его владельца. Этот сертификат могут получить как физические, так и юридические лица. OV отлично подойдет для социальных сетей, форумов, интернет-магазинов или других ресурсов с приемом платежей.
EV — Extended Validation — для расширенного подтверждения организации и домена. Сертификат с самым высоким уровнем защиты. Рассмотрение его получения на ресурс самый длительный — сертификационная организация проверяет не только владельца, но и регистрационные данные владельца. Предназначен только для юридических лиц. Его могут заказать финансовые организации, страховые компании, корпоративные сайты и другой крупный бизнес.
Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером.
Бесплатный SSL-сертификат от Let’s Encrypt
Еще совсем недавно SSL-сертификат можно было либо купить, либо установить самоподписной. Это вызывало ряд проблем: либо его устанавливали на сервера крупный бизнес и сайты с большим потоком посетителей, либо сертификаты не считались браузерами валидными. Это привело к тому, что к большей части сайтов в интернете можно было подключиться только по незащищенному соединению.
Со временем ситуация изменилась. Появилась некоммерческая организация Let’s Encrypt, которая выпускает бесплатные SSL-сертификаты на сайты. Они подходят для небольших информационных сайтов, которые не собирают данные пользователей.
Бесплатный сертификат относится к типу DV (Domain Validation).
Сертификаты Let’s Encrypt отвечают современным стандартам качества: используется 256-битное шифрование симметричным ключом, центр Let’s Encrypt никогда не хранит закрытые ключи на своих серверах, а информация о сертификатах находится в публичном доступе.
Основной минус сертификата от Let’s Encrypt — его действие рассчитано на срок не более 90 дней. Затем его нужно перевыпускать. Сделать это можно как вручную, так и автоматически через планировщик задач Cron. Например у нас можно настроить автоматический перевыпуск сразу в панели. Если вам интересно, вы можете почитать об этом в нашей статье на сайте Beget.
Если вы создаете интернет-магазин, представляете юридическое лицо или планируете собирать данные пользователей, то вы можете установить платный SSL.
Платные сертификаты бывают трех видов (DV, OV, EV).
Их основное преимущество — более высокий уровень защиты данных пользователей и гарантия сертифицированного центра. В случае, если сессионный ключ сертификата будет взломан, то центры обязуются выплатить гарантийную сумму пользователю. При возникновении проблем с сертификатом вы всегда сможете обратиться в техническую поддержку центров, чтобы решить проблему.
Сертифицированные центры (CA)
Итак, если вы решили выпустить SSL-сертификат на ваш сайт, то вы можете обратиться к доверенным сертифицированным центрам (CA, Certification authority). Вот неполный список проверенных центров:
- Let’s Encrypt. Проверенная и надежная организация, которая выдает бесплатные SSL. Проект поддерживают материально многие крупные IT-компании, чтобы интернет стал безопаснее.
- GlobalSign by GMO. Один из самых крупных сертифицированных центров. GlobalSign выпускают SSL-сертификаты с 1996 года. Центру доверяют такие компании, как Microsoft, Netflix, Airbnb.
- Sectigo (бывший Comodo). Также один из самых авторитетных центров для получения сертификата. К сожалению, в данный момент не работает на территории РФ.
- Symantec. Компания выпускает большое количество продуктов для IT-сферы, которые признают по всему миру, уже около 30 лет. Не выдают сертификаты пользователям из РФ.
При выборе сертифицированного центра важно обращать внимание на его достоверность. Популярные браузеры регулярно проверяют качество сертификатов от разных сервисов. В случае нарушения правил безопасности, сертификаты от некоторых компаний становятся несовместимыми с браузером.
Выпуск SSL-сертификата через хостинг
Другой способ выпустить сертификат – обратиться к своему хостинг-провайдеру. Обычно хостинг-провайдеры становятся партнерами с сертифицированными центрами.
Выпуск сертификата у вашего провайдера значительно упрощает процесс, ведь вы можете заказать, установить и настроить его в одном окне.
Кликнув на иконку щита, вы перейдете на страницу для выпуска или установки сертификата.
Важно, что SSL-сертификат выпускается со стороны сервера, на котором он находится. Поэтому для выпуска SSL вам нужно обращаться к хостингу, на котором расположены файлы вашего сайта.
Вот и все!
Несколько простых шагов и на вашем сайте установлен SSL-сертификат.
Настройка редиректа на HTTPS
Для того, чтобы ваш сайт работал только по безопасному соединению, вам необходимо настроить редирект страниц вашего сайта на HTTPS. Инструкции по его установке вы можете узнать у своего хостинг-провайдера. Например, в Beget в большинстве случаев вы можете настроить редирект на HTTPS одной кнопкой в Панели управления.
Если же ваш сайт работает через популярные CMS, такие как WordPress, Joomla или Bitrix, то настройка редиректа займет немного больше времени. Вам на помощь придут плагины и дополнительные инструкции.
2. Также вы можете воспользоваться этой инструкцией;
Такие инструкции существуют для всех популярных CMS. Найти вы их сможете в Google или Яндекс по запросу «mixed content» или «смешанное содержимое» с добавлением названия вашей CMS.
Мы считаем, что обеспечить безопасность данных пользователей — важная задача для тех, у кого есть собственные онлайн-ресурсы. Надеемся, эта статья помогла вам разобраться в том, что такое SSL-сертификат, и интернет станет безопаснее