Установка SSL-сертификата на сайт, делаем https легко и бесплатно
С каждым днем необходимость в защищенном соединения стает все острее. Во-первых, это более безопасная работа с сайтом, потому что все данные передаются в шифрованном виде, во-вторых, это зелёный замочек рядом с адресом сайта, что вызывает некое доверие к порталу, в-третьих, по заявлению представителей Google, сайты работающие на https имеют преимущество в поисковой выдаче.
SSL-сертификатов существует несколько видов: от простых с проверкой домена, до мультидоменных с информацией о компании (зеленой строкой). Рассматривать все виды и преимущества каждого мы не будем, главная задача, разобраться как получить SSL-сертификат бесплатно.
Получения и установка SSL-сертификата Let’s Encrypt
1. Для получения сертификата воспользуемся сайтом https://www.sslforfree.com/. Переходим по ссылке и прямо на главной странице видим основное поле. Вбиваем туда имя нашего домена и нажимаем кнопку “Create Free SSL Certificate”.
2. Далее сайт нам предлагают на выбор несколько вариантом подтверждения домена. Нажимаем
3. Наш SSL-сертификат готов, срок его действия 90 дней, после необходимо повторить процедуру. Остается только установить его на сайт.
4. Процесс установки сертификата на каждом хостинге может немного отличаться, если у вас установлена какая-либо панель управления (ISP Manager, cPanel и т.д.), то сделать через нее не составит большого труда. Для этого переходим в раздел
5. Настройка редиректа с http на https. Сделать это можно несколькими способами, через панель хостинга, через файл .htaccess, через конфигурацию вашего web-сервера или через PHP (любой другой язык, на котором сделан сайт).
Все способы рассматривать не будем, это материал для другой статьи. Самый распространённый пример, редирект с http на https через .htaccess. Добавляем нижеуказанный код в начало файла .htaccess:
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] |
6. Процесс установки закончен, теперь необходимо проверить сайт, чтобы все картинки, стили, скрипты подгружались по https соединению, в противном случае сайт не будет помечаться как безопасный. Проще всего вообще удалить “http:” из подключаемых файлов, то есть сделать так:
В данном случае протокол не указан и будет использован тот, по которому вы зашли на сайт.
На этом все, можете радоваться “зеленому замочку”. Если возникли какие-то вопросы или дополнения пишите в комментариях.
Чем отличается бесплатный SSL-сертификат от платного 🔑
9 декабря 2019
61
Время чтения ≈ 7 минут
SSL («уровень защищенных сокетов» / secure sockets layer) — криптографический протокол, разработанный компанией Netscape Communications для повышения безопасности в Сети. Протокол SSL шифрует соединение между пользовательским браузером и веб-сервером. Вся информация, которая передается между ними, остается приватной и не попадает в третьи руки, что имеет большое значение при проведении финансовых операций. Кроме того, сайты с защищенным соединением имеют преимущества перед незащищенными ресурсами в поисковой выдаче.
SSL-cертификат представляют собой электронный документ (подпись), содержащий информацию о домене, включая его название, адрес и юридические данные в случае, если ресурсом владеет юрлицо. Адреса сайтов с SSL-cертификатом начинаются с «https».
Ниже представлено подробное описание наиболее популярных платных и бесплатных сертификатов, с объяснением как выбрать для сайта подходящий сертификат. Статья будет одинаково полезна всем, кто занимается созданием и обслуживанием сайтов, владеет ресурсами, администрирует и настраивает их на любительском и профессиональном уровне.
Основные типы SSL-сертификатов
- Domain Validated (DV) — подтверждается исключительно доменное имя. Выпуск моментальный через проверку прав на домен.
- Organization Validation (OV) — подтверждается домен и его принадлежность конкретной организации. Выдается после предъявления гарантийного письма.
- Extended Validation (EV) — появляется зеленая строка с названием компании в адресной строке, предоставляются определенные документы. Процесс получения занимает до двух недель.
Отличия платных от бесплатных сертификатов
- Рассматривая, чем бесплатный SSL-сертификат отличается от платного, помимо очевидной экономии, нужно отметить
- Также следует обратить внимание на уровень гарантий. Удостоверяющий центр, выпускающий бесплатный сертификат, не несет ответственности за добросовестность ресурса, где тот установлен. Платные цифровые подписи (OV) напротив, дают возможность проверить владельца сайта. Наличие таких гарантий формируют высокое доверие к сайту у пользователей и в поисковых системах.
- Еще одно существенное отличие платных сертификатов от бесплатных — наличие у них финансовых гарантий. В случае утечки пользовательских данных с ресурса, где установлен платный SSL-сертификат, пострадавшая сторона получит компенсацию от центра сертификации. Сумма финансовых гарантий зависит от конкретного вида сертификата.
- Установка бесплатных сертификатов связана с решением ряда технических задач, что требует определенных навыков.
- Бесплатные сертификаты, тем не менее, обладают ключевым преимуществом — доступностью. Их часто используют низкобюджетные проекты, стартапы и частные лица, которые не могут позволить себе платные.
SSL-сертификаты от Eternalhost — оптимальный выбор цифровых подписей от проверенных центров сертификации. Быстрое получение и установка за пару кликов.
Сравнение популярных сертификатов
Чтобы понять, чем именно отличаются бесплатные сертификаты от платных, а также — в чем разница между разными видами платных цифровых подписей, рассмотрим их конкретные примеры.
Бесплатный сертификат Let’s Encrypt
Проект Let’s Encrypt начал свою работу в 2012 году, но только в 2015 начал выпуск сертификатов. Установить сертификат можно с помощью официальных клиентов на Linux и Windows. С 2018 года пользователям Let’s Encrypt доступны SSL-сертификаты типа Wildcard.
Особенности Let’s Encrypt
- Ограниченный срок действия — обновлять сертификат нужно каждые 90 дней. Обычно обновление происходит вручную, хотя на некоторых панелях управления хостингом есть возможность делать его в автоматическом режиме.
- Нет гарантий на компенсацию за утечку пользовательских данных.
- Проверка только 20 поддоменов в неделю.
- Не подходит для IDN-доменов (с кириллическим адресом, типа «мойдомен.рф»).
- Нет возможности проверить владельца ресурса.
Comodo Positive SSL / Wildcard
Positive SSL — это наиболее доступный вариант, который подключается всего за 10 минут. Версия Wildcard требуется в том случае, если защита устанавливается для множества поддоменов.
Positive SSL подходит для шифрования сайтов с небольшим объемом онлайн-транзакций. Он пригодится владельцам новых ресурсов, для которых требуется подтверждение доменного имени. Сертификат устанавливается на 2 года и может перевыпускаться неограниченное количество раз.
Особенности Positive SSL
- Устанавливается на веб- и почтовые сервера.
- Поддержка IDN-доменов.
- Регистрация как через юридическое, так и через физическое лицо.
- Относительно низкая стоимость.
- Нет зеленой адресной строки с названием компании ресурса.
- Защита предоставляется на один домен или поддомен.
Преимущества Wildcard
- Гарантия возврата денежных средств в течение 30 дней.
- Шифрование на 128/256 бит.
- Защита множества поддоменов одним сертификатом.
Основная разница SSL-сертификатов Wildcard от обычных — защита поддоменов. Это преимущество есть у всех Wildcard-сертификатов, независимо от других условий и центров сертификации.
Версия Comodo Positive SSL Wildcard — это идеальный вариант для сайтов с большим количеством поддоменов.
Comodo Essential SSL / Wildcard
Как и все продукты Comodo, пакет Essential предлагает высокую совместимость с существующими браузерами и неограниченное количество перевыпусков. Выдается дольше, чем обычная версия (около двух дней).
Особенности Essential
- Бесплатная печать доверия сайта.
- Дает гарантию на утерю данных на $10000.
- Возможность бесплатного перехода на Comodo EV SSL.
- Более длинный ключ шифрования.
RapidSSL / Wildcard
RapidSSL — это отделение GeoTrust. Поэтому, все продукты компании подписываются корневым сертификатом и пользуются доверием пользователей по всему миру.
Wildcard поддерживает домены со сложной структурой. Благодаря этой версии защита обеспечивается для всех разделов сайта. Пакет позволяет экономить, не заказывая каждый раз отдельный сертификат для всех поддоменов.
Особенности RapidSSL
- Ни обычная версия, ни Wildcard не предлагают поддержку кириллических доменных имен.
- Нет проверки компаний и расширенной проверки.
- Не поддерживается SAN.
Как выбрать сертификат для сайта
Чтобы выбрать SSL-сертификат, достаточно сравнить его возможности с другими пакетными вариантами. Самый доступный вариант получения электронной подписи — установка бесплатного сертификата, но такой вариант имеет ряд ограничений и подойдет далеко не всем.
Для коммерческих сайтов следует выбирать SSL-сертификаты с проверкой владельца (OV). Популярным или представительским ресурсам, которым особенно важна репутация, рекомендуется обеспечить полное шифрование данных, включая внутренние страницы. Для этого отлично подойдет SSL-сертификат типа Wildcard.
На основании имеющейся информации выбрать бесплатный или платный сертификат для сайта довольно просто — он должен соответствовать индивидуальным требованиям к безопасности и обеспечивать для пользователей надежное шифрование личных данных.
Заключение
Правильный выбор сертификата во многом определяет, сможет ли ресурс в дальнейшем обеспечить безопасность личных данных своих пользователей и оправдать их доверие. Это особенно важно, если речь идет о проведении финансовых операций и существует риск потери средств.
Оцените материал:
[Всего голосов: 2 Средний: 4/5]10 онлайн-инструментов для проверки SSL, TLS и последних уязвимостей
Привет! В последнее время было обнаружено довольно много уязвимостей, связанных с SSL, поэтому мне захотелось сделать перевод статьи, в которой собран список инструментов для тестирования SSL, TLS и различных уязвимостей. В статье довольно много терминов, поэтому хочу извиниться, если что-то перевела не совсем корректно. Если вы можете предложить лучший вариант перевода, пожалуйста, напишите в личные сообщения.
Проверяйте SSL, TLS и шифрование
Проверка SSL необходима для обеспечения правильного отображения параметров сертификата. Существует множество способов проверки SSL-сертификатов. Проверка с помощью инструментов в сети позволяет получить полезную информацию, находящуюся ниже. Она также поможет вам выявить угрозы на ранних стадиях, а не после получения жалобы клиента.
Я получил ряд вопросов после своей последней публикации «Усиление защиты Apache. Гид по безопасности» о проверке TLS и SSL. В этой статье я расскажу вам о некоторых полезных инструментах для проверки SSL-сертификатов в сети.
Symantec SSL Toolbox
Проверка CSR — очень важно проверить CSR перед отправкой для подписи запроса. Вы сможете удостовериться в том, что CSR содержит все требуемые параметры, например, CN, DN, O, OU, алгоритм и др.
Проверка установки сертификата — после установки всегда полезно удостовериться в том, что сертификат действителен и содержит необходимую информацию. Этот онлайн инструмент позволит вам проверить CN, SAN, название организации, OU, город, серийный номер, тип применяемого алгоритма, длину ключа и подробности о цепочке сертификата.
Wormly Web Server Tester
Тестирование web сервера от Wormly позволяет получить подробный обзор параметров ссылки. Обзор включает в себя данные о сертификате (CN, срок действия, цепочка сертификата), шифровании, длине открытого ключа, безопасности повторного согласования, протоколах типа SSLv3/v2, TLSv1/1.2.
DigiCert SSL Certificate Checker
Инструмент для проверки установки SSL сертификатов от DigiCert — еще один прекрасный инструмент, который позволит вам преобразовать DNS в IP адрес, узнать кто выдал сертификат, его серийный номер, длину ключа, алгоритм подписи, SSL-шифрование, поддерживаемое сервером и срок действия сертификата.
SSL Shopper
Проверка SSL от SSL Shopper — подойдет для быстрой проверки типа сервера, срока действия, SAN и цепочки доверия. Вы сможете оперативно найти ошибку в цепочке сертификата или узнать, что он не работает должным образом. Инструмент отлично подходит для устранения неполадок в работе.
GlobalSign SSL Check
Проверка конфигурации SSL от GlobalSign предоставляет очень подробную информацию о веб-сервере и SSL. Инструмент ставит баллы в зависимости от данных сертификата, поддержки протоколов, обмена ключами и надёжности шифра. Это незаменимый инструмент при настройке нового безопасного URL или проведении аудита. Обязательно попробуйте!
Qualys SSL Labs
Позволяет оценить ваш сайт в отношении безопасности SSL-сертификата. Предоставляет очень подробную техническую информацию. Советую системным администраторам, аудиторам, инженерам по интернет-безопасности для выявления и наладки “слабых” параметров.
Free SSL Server Test
Производит проверку вашей https ссылки и отображает следующую информацию, которую при желании можно скачать в PDF-формате:
- Совместимость PCI DSS
- Соответствие принципам NIST
- Размер DH
- Поддержка протоколов
- Поддержка шифров
- Откат TLS соединения
- Поддержка повторного согласования
- Основные наборы шифров
- Контент третьих лиц
COMODO SSL Analyzer
SSL анализатор от COMODO позволяет провести анализ https URL и быстро получить отчеты по различным параметрам, включая
- Серийный номер
- Отпечаток
- Действительность SSL-сертификата
- Эмитент
- Поддержка протокола (SSL/TLS)
- Защита от атак Downgrade
- Безопасность повторного согласования (по инициативе сервиса или клиента)
- Сжатие
- Session tickets
- Активные наборы шифрования
SSL Checker
Что действительно хорошо в SSL Checker, так это то, что инструмент позволяет настроить напоминание (за 30 дней) об истечении срока действия сертификата. Это отлично, мне кажется, что бесплатно эту услугу больше нигде получить нельзя. Кроме того, инструмент позволяет выполнить базовую проверку таких параметров, как:
- Цепочка сертификата
- Корневой сертификат
- Алгоритм подписи
- Отпечаток
- Элементы цепочки
- SAN
HowsMySSL
Этот инструмент отличается от остальных. Он позволяет проверить клиента (браузер) и получить оценку состояния по следующим параметрам:
- Поддерживаемая версия протокола
- Сжатие
- Поддержка session ticket
- Поддерживаемое шифрование
Для проверки клиента, просто зайдите на HowsMySSL в браузере.
Другие инструменты онлайн-проверки
Проверка уязвимости POODLE:
Проверка уязвимости FREAK:
Проверка уязвимости LogJam:
Проверка уязвимости SHA-1:
Я считаю, что перечислил все бесплатные онлайн-инструменты для проверки параметров SSL-сертификата и получения достоверной технической информации для проведения аудита и обеспечения безопасности веб-приложений. Если вам понравилось, поделитесь с друзьями.
P. S. Приглашаем в наше Хостинг Кафе. Работают и активно развиваются 6 сайтов для поиска хостинговых услуг:
- VDS.menu — Поиск виртуальных серверов
- SHARED.menu — поиск виртуального хостинга
- DEDICATED.menu — поиск выделенных серверов
- HTTPS.menu — поиск SSL сертификатов
- LICENSE.menu — поиск лицензий
- BACKUP.menu — поиск места для резервных копий
Спасибо andorro за помощь с подготовкой публикации.
Есть провайдеры SSL сертификатов для сайтов с админками по выпуску HTTPS-сертификатов?
А самое главное: для чего Вам SSL? Вы храните персональные данные или коммерческую информацию? По большому счету, SSL сертификаты используются для защиты от перехвата трафика. Точнее, перехватить трафик можно, но его еще и дешифровать нужно. Еще есть применение — вход по сертификату. Это когда только имея сертификат можно зайти на сайт, или определенный раздел. Но это используется реже. Не имея сертификата юзер зайти на сайт попросту не сможет. 400 ошибка.
Еще, я читал, но сам не сталкивался: 1 SSL защищенный сайт на 1 IP. Это по старому стандарту. Сейчас это обходят и вешают несколько SSL сайтов на 1 IP, но порой браузер может начать ругаться, что нет доверия этому сертификату. Т.е. как с самоподписным. Еще раз оговорюсь: сам с этим не сталкивался (у нас 1 ssl сайт на 1 IP), только ретранслирую то, что прочел.
И Вы напрасно не доверяете комоду. Это более чем серьезный провайдер. Да и, по большому счету, сертификаты, которые Вы получаете от комода, не сверх секретные. С их помощью шифруется исходящий трафик. Самый главный CA.key Вы ни кому не даете.
Вообще, загляните на https://www.ssls.com/ там можно купить комодовский сертификат дешевле чем в самом комоде.
Ну и еще можно StartSSL.com, если хочется халявы, но там несколько запутан процесс получения, но многие им и пользуются.
А брать сертификат у nic.ru…. Вы, по любому, не у ника сертификат берете. Они лишь на деньги разводят. Если возникнут какие-то вопросы по сертификату, то они Вас отправят к центру сертификации и договаривайтесь как хотите. Я с EV сертификатом обратился к nic.ru… Там мне служба ТП, убедительно посоветовала заказывать его напрямую.
Nginx и https. Получаем класс А+ / Habr
Недавно вспомнилось мне, что есть такой сервис — StartSsl, который совершенно бесплатно раздаёт trusted сертификаты владельцам доменов для личного использования. Да и выходные попались свободные. В общем сейчас напишу, как в nginx настроить HTTPS, чтобы при проверке в SSL Labs получить рейтинг А+ и обезопасить себя от последних багов с помощью выпиливания SSL.
Итак, приступим. Будем считать, что у вы уже зарегистрировались на StartSsl, прошли персональную проверку и получили вожделенный сертификат. Для начала опубликую итоговый конфиг, а после этого разберу его.
Вот что у меня получилось:
server {
server_name dsmirnov.pro www.dsmirnov.pro;
listen 80;
return 301 https://dsmirnov.pro$request_uri;
}
server {
listen 443 ssl spdy;
server_name dsmirnov.pro;
resolver 127.0.0.1;
ssl_stapling on;
ssl on;
ssl_certificate /etc/pki/nginx/dsmirnov.pro.pem;
ssl_certificate_key /etc/pki/nginx/dsmirnov.pro.clean.key;
ssl_dhparam /etc/pki/nginx/dhparam.pem;
ssl_session_timeout 24h;
ssl_session_cache shared:SSL:2m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2;
ssl_prefer_server_ciphers on;
add_header Strict-Transport-Security "max-age=31536000;";
add_header Content-Security-Policy-Report-Only "default-src https:; script-src https: 'unsafe-eval' 'unsafe-inline'; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:; report-uri /csp-report";
}
В первой секции всё вроде понятно, любой вход по http с любым URI редиректит с этим-же URI в схему https.
Начнём разбор секции server для https. Директивой listen 443 ssl spdy; сразу включаем spdy. Вот на картинке разница:
Следущим шагом включаем ssl_stapling on; — позволяем серверу прикреплять OCSP-ответы, тем самым уменьшая время загрузки страниц у пользователей. Цепочка сертификатов (доменный — промежуточный центр авторизации — корневой центр авторизации) может содержать 3-4 уровня. И на каждый уровень браузер должен устанавливать соединение и получать сертификат. Можно отправить все сертификаты (включая промежуточный: именно за этим была настройка TCP-окон отправки, чтобы цепочка сертификатов гарантированно поместилась в в одну пересылку пакетов) разом, тогда браузер проверит всю цепочку локально, а запросит только корневой (который в большинстве случаев уже находится на клиенте). Для работы этой функции обязательно описать resolver — у меня поднят свой собственный DNS сервер, поэтому в качестве значения указан 127.0.0.1, Вы можете указать 8.8.8.8, но многие в последнее время на него ругаются. Что такое ssl on; я думаю нет смысла рассказывать.
Далее директивами ssl_certificate и ssl_certificate_key указываем пути к полученным через StartSsl сертификатам. У вас уже есть 3 файла: domain.ru.key, domain.ru.crt и sub.class1.server.ca.pem. Копируем ключи в ( моём случае ) /etc/pki/nginx.
Не забываем, что pem файл для nginx должен быть смержен с сертификатом CA ( Должно получиться из 3х — 2 файла. ):
cp domain.ru.key /etc/pki/nginx
cat domain.ru.crt sub.class1.server.ca.pem > /etc/pki/nginx/domain.ru.pem
Теперь о ssl_dhparam /etc/pki/nginx/dhparam.pem; — это нужно, чтобы у нас заработал Forward Secrecy. Прямая секретность означает, что если третья сторона узнает какой-либо сеансовый ключ, то она сможет получить лишь доступ к данным, защищенным лишь этим ключом. Для сохранения совершенной прямой секретности ключ, используемый для шифрования передаваемых данных, не должен использоваться для получения каких-либо дополнительных ключей. Также, если ключ, используемый для шифрования передаваемых данных, был получен (derived) на базе какого-то еще ключевого материала, этот материал не должен использоваться для получения каких-либо других ключей.
Сгенерировать ключ можно так:
openssl dhparam -out /etc/pki/nginx/dhparam.pem 4096
Далее несложные настройки ssl_session_timeout 24h; и ssl_session_cache shared:SSL:2m;, которые не требуют особенных описаний — срок истечения сессии и размер памяти, выделяемой для хранения кеша — у меня бложик маленький, поэтому 2 Мб вполне достаточно.
Дальше — важные параметы: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; и ssl_ciphers kEECDH+AES128:kEECDH:kEDH:-3DES:kRSA+AES128:kEDH+3DES:DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!MD5:!EXPORT:!LOW:!SEED:!CAMELLIA:!IDEA:!PSK:!SRP:!SSLv2; — тут мы указываем, что мы желаем только TLS и второй строкой выжигаем калёным железом все SSL. В свете последних фейлов с SSL — очень актуально, что и Вам советую. Ну и директивой ssl_prefer_server_ciphers on; принуждаем nginx это всё строго соблюдать.
Директива add_header Strict-Transport-Security «max-age=31536000;»; указывает браузерам сколько они должны помнить данные требования безопасности для моего домена. В данном случае — 1 год. Кстати, если директиву написать вот так: add_header Strict-Transport-Security «max-age=31536000; includeSubDomains; preload»;, то данные условия будут применимы ко всем доменам третьего и выше уровня вашего домена. Тут будте осторожны! Я изначально описал именно так, но так, как StartSsl выдаёт сертификаты на ограниченное количество поддоменов, я наткнулся на невозможность даже попасть на свои поддомены, которые обслуживают разнообразные админки, работали только те, на которые были выписаны trusted сертификаты. Поэтому я для себя выбрал первый вариант.
Далее — add_header Content-Security-Policy-Report-Only «default-src https:; script-src https: ‘unsafe-eval’ ‘unsafe-inline’; style-src https: ‘unsafe-inline’; img-src https: data:; font-src https: data:; report-uri /csp-report»; — я толком глубоко ещё не изучил свойства данного заголовка. Content Security Policy (CSP) — новый стандарт, определяющий HTTP-заголовки Content-Security-Policy и Content-Security-Policy-Report-Only, которые сообщают браузеру белый список хостов, с которых он может загружать различные ресурсы.
Временно я взял данную строку из статьи Яндекса про применение у них CSP, почитать подробно можно тут: http://www.html5rocks.com/en/tutorials/security/content-security-policy/.
Вот вроде-бы и всё. Несколько ссылкок, где можно проверить результаты своих и чужих трудов:
1. SPDY Check — это результат моего труда.
2. SSL Labs — проверка качества защиты вашего сервера.
Удачной защиты, коллеги!
Отправить ответ