Что нужно сделать чтобы установить ssl сертификат сбербанк

Обновлено: 26.04.2024

Самостоятельное получение бесплатного SSL-сертификата для сайта

В появившемся окне «ZeroSSL» выбираем «New Certificate».

Выбираем 90 дней.

Важно! Бесплатно можно получить только на 90 дней!

Оставляем все без изменений и переходим на следующий шаг через кнопку «Next Step».

Теперь нам предлагается 3 способа подтверждения:

О каждом из этих способов указано ниже.

Подтверждение по почте

В этом случае система предложит написать на одну из почт:

  • admin@
  • administrator@
  • hostmaster@
  • postmaster@
  • webmaster@

В этом случае будет отправлено письмо с кодом на указанный электронный адрес, через которое можно будет подтвердить информацию.

В этом случае лучше всего:

Если указанной почты нет среди аккаунтов, то следует ее создать, например, в интерфейсе Яндекс.Коннекта это выглядит так:

Отправляем письмо для проверки.

Далее приходит письмо на почту, где нужно скопировать проверочный код и перейти на страницу верификации.

На проверочной странице вводим ключи и нажимаем на «Next».

В ZeroSSL обновляем статус заявки.

Видим, что все прошло успешно и кликаем на «Install Certificate».

Скачиваем бесплатный SSL-сертификат через кнопку «Download Certificate (.zip).

При необходимости можно сказать в разных форматах, например, для:

  • Apache;
  • AWS;
  • cPanel
  • NGINX;
  • Ubuntu;
  • И многих других.

Далее переходим к установке его на сервер.

Важно! Одни аккаунт может иметь до трех доменов с сертификатами бесплатно.

Подтверждение бесплатного SSL-сертификата через DNS

На этапе выбора подтверждения кликаем на «DNS», где получаем нужные данные для ввода.

На следующем шаге видим, что система мониторит записи для подтверждения.

Переходим к хостинг-провайдеру (или другой интерфейс, куда через NS был делегирован домен) и переходим к редактированию DNS.

Добавляем новую TXT-запись.

Вводим выданные нам значения.

Важно! Во многих системах интерфейс может быть различных, например, на примере в Timeweb не требуется ввод TTL, поэтому это опускаем.

Все готово, можно переходить к его установке.

Система начинаем проверку.

Далее переходим в панель управления сервером или FTP-аккаунт , где в корневой папке сайта (как правило, public_html) создаем папку «.well-known».

В ней аналогично создаем еще одну папку «pki-validation».

Загружаем файл, скачанный в самом начале инструкции.

Все готово подтверждаем информацию (аналогично почте) и получаем сертификат.

Установка бесплатного сертификата на хостинг

Установка SSL-сертификата на сервер

В первую очередь распаковываем архив с сертификатом и видим, что он состоит из:

  • certificate.crt (сертификат);
  • private.key (приватный ключ);
  • ca_bundle.crt (промежуточный сертификат).

Данный пункт необходим тем, кто не смог получить его у хостера и приобрел его не у своего провайдера. Для этого посещаем раздел «SSL», где выбираем пункт «Установить».

Вводим в соответствующие поля свой файл и завершаем установку.

Важно! Если не имеется навыка работы с интерфейсом хостинг компании (у некоторых провайдеров отсутствует возможность загружать сертификат самостоятельно в интерфейсе) рекомендуется загрузить архив с сертификатом на сервер и написать в поддержку с просьбой об установке.

Важно! Срок действия сертификата 3 месяца, после чего его потребуется обновиться, выполнив инструкцию еще раз.

Важно! Если сертификат выдается на поддомен, то потребуется подтвердить лишь основной домен (соответственно загрузить лишь 1 файл или установить 1 TXT-запись).

Через ISPmanager

Следует посетить раздел «WWW»-«SSL-сертификаты», после чего кликнуть на «Создать».

Едва ли мы откроем вам секрет, если сообщим о том, что все операции, производящиеся в сети Интернет — это обмен информацией. То есть когда вы вводите запрос в поисковую строку, заходите на сайт, смотрите фото в Instagram или загружайте какой-либо контент на вашу страницу в социальных сетях — ваш браузер и сервер совершают обмен данными. Все, вводимые запросы в поисковой строке проходят путь от пользователя к серверу, а затем наоборот.

Гипертекст — это файл, созданный при помощи специального программного языка разметки, который включает в себя гиперссылки. Иными словами, ссылки на сторонний объект в файле или на иной элемент, находящийся на локальном диске или связанных компьютерах, объединенных через каналы обмена сведений для обеспечения передачи данных.

Скриншот оповещение от браузеров об отсутствии https протокола и незащищенном соединении

Как подключить SSL-сертификат к сайту, мы расскажем чуть ниже.

Что это такое SSL-сертификат и зачем он нужен

SSL (Secure Socket Layer) — «защищенный слой сокетов». Можете не пугаться столь заумных терминов. Простыми словами SSL-сертификат — это digital-подпись ресурса, применяемая для обеспечения защищенного соединения между сервером и браузером.

Благодаря ему все данные передающиеся от посетителя к сайту и наоборот, шифруются так, что они становятся недоступными для чтения мошенников, системных администраторов и даже провайдеров.

Как проверить SSL на истечение срока

Для того, что бы проверить срок действия SSL-сертификата на сайте вам нужно:

  1. Открыть проверяемый сайт, через браузер Google Chrome.
  2. Кликнуть на иконку «замочек» в адресной строке сайта.

Скриншот инструкция как проверить срок дейтсвия ssl сертификата шаг 1 и 2

Шаг с 1-го по 2-й: инструкция как проверить срок дейтсвия SSL-сертификата

Скриншот инструкция как проверить срок дейтсвия ssl сертификата шаг 3

Шаг 3: инструкция как проверить срок дейтсвия SSL-сертификата

Скриншот инструкция как проверить срок дейтсвия ssl сертификата шаг 4

Шаг 4: инструкция как проверить срок дейтсвия SSL-сертификата

По большому счету, вы можете проверить дату истечения срока через любой браузер, но, визуальная составляющая страниц проверки непохожа на Chrome.

Разновидности SSL-сертификатов

SSL-сертификаты в основном делятся по двум категориям:

  1. Центры сертификации, которые их производят.
  2. Типы самих продуктов.

Центр сертификации — это компания, имеющая специальную лицензию на распространение цифровых сертификатов. Она занимается проверкой сведений, расположенных в CSR, перед передачей сертификата. В базовых сертификатах проводится проверка непосредственно самого домена. В более защищенных происходит детальная диагностика самого предприятия, которое подает запрос на получение SSL.

CSR (Certificate Signing Request) — заявка на установку сертификата.

Разбирая первую категорию хочется отметить, что существует около 10 известных центров сертификации, занимающихся разработкой данного продукта. Давайте заострим внимание на двух самых популярных среди них — Sectigo и Let’s Encrypt.

Let’s Encrypt известен тем, что у них есть возможность бесплатной установки сертификатов на 3 месяца. Однако, в отличие от многих других центров сертификации, они не несут материальной ответственности за взлом зашифрованной транзакции и потери переводимых денег. Да, действительно, вероятность того, что такая ситуация произойдет — один на миллион, но факт отсутствия страховки у них присутствует.

Sectigo производит несколько типов платных SSL. Давайте разберем какие типы сертификатов бывает на примере тех, которые выпускает Sectigo:

  • SectigoPositiveSSL — базовый и дешевый тип сертификата. Именно поэтому он один из самых востребованных среди остальных. К тому же его не трудно зарегистрировать в плане документации — вам необходимо только подтвердить то, что вы являетесь владельцем вашего доменного имени. Процедура оформления длится не долго (от одного часа до четырех).
  • SectigoPostitiveWildcardSSL — отличительная черта данного сертификата в том, что помимо домена он распространяется на все поддомены указанного адреса (в случае необходимости). Это намного экономнее в случае, если у вас несколько поддоменов и вы собираетесь устанавливать персональный SSL на каждый из них.
  • Sectigo EV SSL — сертификат с повышенным уровнем безопасности, поскольку у него происходит более усиленная проверка. Его характерная особенность заключается в том, что во время обмена информацией, и предоставления зашифрованного ключа, помимо самой проверки требуется личное подтверждение от владельца сайта или организации. Как правило на его выпуск уходит несколько дней. Именно такой тип SSL находится на ресурсах, где указанно наименование организации перед адресом сайта.

Как установить SSL-сертификат на сайт

Итак, что же нужно сделать, чтобы получить SSL-сертификат? Вам необходимо создать запрос на подтверждение SSL (Certificate Signing Request). Во время формирования данного запроса, вы должны будете ответить на несколько вопросов, нацеленных на конкретизацию сведений о вашем доменном имени и организации. По итогам ваш web-сервер сгенерирует 2 вида криптографических ключей — персональный и общий.

  • персональный ключ является засекреченным и все сведения в нем зашифрованы от третьих лиц;
  • общий ключ не является приватным для третьих лиц и содержится в запросе CSR. Сведения, находящиеся в нем можно без труда посмотреть через специальные сервисы CSR Decoder.

Как мы уже сказали, если вы хотите получить сертификат без затраты финансов, то можете сделать это через центр сертификации Let’s Encrypt, который выдает их бесплатно за счет организаций, которые его спонсируют, таких как: Facebook, Mozilla, Chrome и Cisco.

Мы рассмотрели процедуру того — как подключить SSL-сертификат к сайту, давайте теперь разберем какие сведения содержит в себе SSL и на какие типы он делится.

ustanovka-ssl-sertifikata

Приветствую вас, друзья! 🙂

Сразу скажу, что установить SSL сертификат на сайт можно двумя путями: через интерфейс панели управления сервером и с помощью ручного копирования файлов сертификата с последующими настройками веб-сервера (Apache или Nginx) в случае, если ваш хостинг не имеет графической панели управления.

Информация по установке SSL сертификата будет представлена в виде пошаговой инструкции, при составлении которой я воспользовался первым способом и своим хостингом TheHost, к панели управления которого (используется ISPManager) у меня есть доступ.

TheHost позволяет как устанавливать SSL сертификаты, приобретённые у него, так и выполнять подключение SSL сертификата, приобретённого у других поставщиков.

Также в панели управления хостингом есть возможность сделать бесплатный SSL сертификат от Let’s Encrypt и самоподписанный с последующей их установкой.

Все эти варианты мы сегодня и рассмотрим, т.к. на практике случаются разные ситуации, для которых бывают нужны различные типы SSL сертификатов безопасности.

Как установить SSL сертификат на сайт: этапы

Надеюсь, на данный момент вы уже определились с тем, что такое SSL сертификат и какой он бывает.

Если говорить о том, как подключить SSL сертификат к сайту, то весь процесс состоит из нескольких этапов:

  1. Генерация SSL сертификата. Заключается в создании самоподписанного сертификата на сервере самостоятельно либо в формировании запроса на выпуск данного документа в центр сертификации (CA).
  2. Установка SSL сертификата на хостинг.
  3. Подключение SSL сертификата к сайту.

Итак, рассмотрим каждый этап подробнее, начиная с создания SSL сертификата.

Создание SSL сертификата

Поскольку все сегодняшние действия будут производиться на хостинге TheHost, то сперва нужно создать учётную запись, чтобы они были возможны.

Для этого регистрируемся на сайте thehost.ua, после чего вам на электронную почту придёт письмо с учётными данными пользователя, а также ссылкой на кабинет пользователя и панель управления хостингом.

Как я уже сказал, SSL сертификаты можно создавать разные и различными способами. Начнём с самого простого с технической точки способа, который потребует от вас минимума знаний.

Как заказать SSL сертификата на хостинге?

Сразу скажу, что у данного способа создания SSL сертификата есть целых три преимущества над остальными, благодаря чему я настоятельно рекомендую воспользоваться им большинству людей.

Во-первых, сгенерировать SSL сертификат данного типа сможет даже ребёнок: не нужно скачивать и запускать какие-то утилиты, а также вникать в тонкости того, как установить SSL сертификат на сервер.

Всё, что от вас потребуется — просто ввести нужную информацию о сайте и свои персональные данные. Создание и установка SSL сертификата на сайт произойдёт автоматически.

Во-вторых, по сравнению с заказом SSL сертификата у официальных регистраторов, хостинг-провайдеры, которые выступают посредниками, часто вводят различные акции и бонусы, в результате чего сертификат можно приобрести со существенной скидкой или вообще бесплатно.

Официальные регистраторы, насколько я знаю, таким покупателей не балуют.

В-третьих, по сравнению с бесплатными сертификатами, коммерческие имеют бОльший срок действия. Их можно оформлять на год и дольше, в то время, как бесплатные действуют в течении считанных месяцев, из-за чего их нужно постоянно продлевать.

Чтобы сделать заказ, сперва нам нужно зайти в кабинет пользователя через сайт thehost.ua либо по ссылке, содержащейся в письме, сгенерированном при регистрации. После того, как войдёте в систему, выберите пункт бокового меню «SSL сертификаты» и нажмите кнопку «Заказать» вверху страницы.

После проделанных действий на экране появится диалоговое окно, которое выглядит так:

generaciya-ssl-sertifikata-na-hostinge

Здесь нам нужно выбрать тип SSL сертификата, который вы хотите купить и срок его действия. Цена услуги, естественно, будет зависеть от этих двух параметров.

Сразу скажу, что у данного провайдера цены на сертификат безопасности SSL начинаются от 7$ за год использования, чего я не встречал больше ни у кого на данный момент.

В зависимости от того, какой тариф вы выберете, у вас могут присутствовать или отсутствовать некоторые из приведённых далее шагов. Имейте ввиду!

После выбора необходимого тарифа нажимаем Далее и переходим к следующему шагу создания SSL сертификата:

kak-sdelat-ssl-sertifikat-dlya-sajta

Он представляет из себя формирование запроса в сертификационный центр, необходимого для того, чтобы получить SSL сертификат.

Запрос должен быть в виде файла с вашими зашифрованными персональными данными с расширением csr.

Если вы его уже сгенерировали (а о том, как это сделать прямо в ISPManager админки TheHost, я расскажу вам дальше), то на данном шаге просто введите его содержимое.

Для этого нужно выбрать для пункта «Способ ввода CSR» значение «Ввод имеющегося CSR», которое выбрано по умолчанию.

Если же такового файла у вас ещё нет или формат вашего запроса был не принят, то сгенерировать его можно здесь же, не вникая в подробности.

Для этого выберите в качестве способа ввода CSR в выпадающем списке значение «Генерация CSR и Private key».

При этом данное диалоговое окно примет следующий вид:

kak-sozdat-ssl-sertifikat

Вводим всю необходимую информацию максимально внимательно, т.к. в дальнешем вам придётся её подтвердить независимо от того, какой тип SSL сертификата вы оформляете.

Нажимаем «Далее», и на следующем экране, если вы генерировали запрос, вы увидите следующую информацию:

sozdanie-sertifikata-ssl

Рекомендуется его сохранить в файлике на компьютере для большей безопасности, чтобы никто не мог получить к нему доступ при взломе TheHost, например 🙂

Либо же можно сохранить его в системе, чтобы не вводить на дальнейших шагах, чем я и воспользовался.

Если же вы вводили текст существующего запроса, то данный код у вас уже должен быть и обычно он хранится в файле с расширением key, приходящим вам на почту после генерации запроса через сторонние утилиты. Поэтому данного шага у вас не будет.

На следующем шаге от нас снова требуется ввод контактной информации администратора и технической поддержки, с которыми могут связаться представители CA для подтверждения информации, введённой в заявке на выпуск SSL сертификата:

kak-ustanovit-ssl-sertifikat-na-sajt

Далее нам предстоит ввод данных организации, которые также могут проверяться с помощью письма или звонка, например, так что указывайте корректно почтовые данные:

sgenerirovat-ssl-sertifikat

Следующим этапом является ввод email, на который будет высылаться ссылка для подтверждения генерации SSL сертификата:

ustanovka-ssl-sertifikata-na-hosting

Если у вас нет готового email, присутствующего среди вариантов выпадающего списка, то заведите его.

В случае же, если вы не подтвердите запрос, сертификат вы не получите, равно как можно будет не рассчитывать на компенсацию потраченных на его выпуск денег.

Что вполне справедливо, т.к. TheHost сам сертификат не выпускает, а заказывает его у официальных сертификационных центров.

Ну, и на финальном этапе от вас потребуется выбрать способ оплаты и срок продления SSL сертификата, на который он будет автоматически выпускаться при истечении своей действительности:

kak-podklyuchit-ssl-sertifikat-k-sajtu

Нажимаем на Готово и всё, что теперь остаётся — это дождаться запроса подтверждения выпуска SSL сертификата из центра сертификации и самого сертификата.

После того, как он будет у вас на руках, останется только подключить его к сайту. Но об этом мы поговорим немного позже, когда я рассмотрю все способы создания SSL сертификатов у TheHost, которые, как я уже говорил ранее, могут быть разных видов.

Создание самоподписанного SSL сертификата

Итак, как сделать заказ генерации SSL сертификата у официальных центров сертификации, я вам показал.

В таком случае вполне подойдёт бесплатный самоподписанный SSL сертификат, который создать у TheHost можно за считанные секунды.

Для этого заходим в ISPManager по ссылке из письма, пришедшего при регистрации на thehost.ua, либо в панель управления сервером можно попасть прямо из кабинета пользователя следующим способом:

kak-poluchit-besplatnyj-ssl-sertifikat-letsencrypt

Если вам плохо видно изображённое на картинке, то для перевода в ISPManager из кабинета пользователя нужно выбрать пункт меню «Хостинг», выбрать необходимый сервер (может быть несколько в одной учётке юзера) и нажать на кнопку «На сервер», которая становится доступной после выбора сервера.

Находясь в ISPManager, выбираем пункт меню SSL сертификаты и нажимаем на кнопку «Создать в самом» верху страницы.

В появившемся диалоговом окне выбираем для поля Тип сертификата значение «самоподписанный», после чего окно примет следующий вид:

sozdat-ssl-sertifikat-samomu-besplatno

Вводим необходимую информацию, аналогичную той, которую мы указывали при оформлении SSL сертификата в CA, после чего нажимаем «ОК».

Сертификат появится в списке существующих SSL сертификатов.

Обратите внимание, что преимуществом самоподписанного SSL сертификата является его бесплатность и практически неограниченный срок действия.

Минусом же выступает то, что он не обеспечивает безопасность данных, что помечается в браузерах и отпугивает ваших клиентов.

Поэтому я настоятельно рекомендую использовать коммерческие, выпускаемые официальными сертифицирующими центрами.

Подключение SSL сертификата, оформленного в другом месте

Если же вам по какой-то причине не подошли сертификаты или их стоимость от TheHost, и вы заказали SSL сертификат в другом месте, но у вас есть сайт, расположенный на данном хостинге, то вы можете подключить свой сертификат к имеющемуся сайту.

Сделать это можно в том же диалоговом окне, которое использовалось для создания самоподписанного SSL сертификата.

Только для добавления на сервер TheHost существующего документа нужно будет в поле «Тип сертификата» выбрать значение «существующий», после чего всё диалоговое окно примет следующий вид:

kak-ustanovit-ssl-sertifikat-na-server

Вводим информацию, содержащуюся в вашем готовом SSL сертификате для домена, в соответствующие поля и нажимаем «ОК».

Если у вас возникнут трудности при добавлении данного документа, то вы всегда сможете обратиться к технической поддержке TheHost для консультации.

Создание запроса SSL сертификата у CA

Ну, и ещё одной возможностью, доступной в данном диалоговом окне создания SSL сертификата, является генерация запроса на выпуск данного документа в центре сертификации.

Данная возможность вам может пригодиться, как уже говорилось ранее, при заказе SSL сертификата не через своего хостинг провайдера, а через других, в том числе и при обращении в CA
напрямую.

Сгенерировать запрос на выпуск SSL сертификата для домена можно прямо у себя на рабочем компьютере с помощью специальных утилит.

Наиболее распространённой является OpenSSL, которая доступна как под Linux, так и под Windows благодаря CygWin или использованию других эмуляторов консоли Linux (та же самая командная строка Git поддерживает Linux команды или утилита PuTTY).

Также есть масса онлайн генераторов запросов на выпуск SSL сертификата. Вот наиболее популярные из них:

Также, данные генераторы предоставляют все официальные сертифицирующие центры и многие хостинг провайдеры.

Есть такой и у TheHost, который доступен в данном окне.

Чтобы его запустить, выбираем в поле «Тип ключа» значение «Запрос», после чего диалоговое окно примет следующий вид:

kak-sozdat-zapros-ssl-sertifikata

Вводим необходимую информацию и нажимаем ОК. После этого на сервере TheHost сгенерируются файлы csr и key, которые вы сможете в дальнейшем использовать для выпуска сертификата.

Открывайте их обычным текстовым редактором и копируйте код запросов при оформлении SSL сертификатов как через TheHost, так и у других регистраторов.

Как получить бесплатный SSL сертификат Lets Encrypt?

Ну, и напоследок я решил оставить обзор способа создания самого нужного и востребованного у большинства вебмастеров варианта SSL сертификата для домена, который существует у TheHost.

Речь идёт о генерации бесплатного SSL сертификата LetsEncrypt, создать который можно за считанные секунды.

Среди его преимуществ можно выделить не только то, что за его оформление вам не придётся платить, но и то, что процедура его выпуска самая быстрая из всех указанных (по крайней мере, у TheHost), т.к. при генерации не придётся указывать абсолютно никакой дополнительной информации, кроме доменного имени сайта, для которого документ будет выпускаться.

Из минусов можно отметить только то, что он выпускается лишь на 3 месяца, после чего его нужно будет продлевать.

Итак, чтобы создать SSL сертификат от Lets Encrypt, заходим на страницу «SSL сертификаты» в ISPManager и нажимаем на кнопку «Lets Encrypt», после чего откроется следующее диалоговое окно:

sozdanie-besplatnogo-ssl-sertifikata-letsencrypt

Выбираем из списка домен, для которого сертификат будет выпускаться, и нажимаем «ОК».

После этого, без всяких лишних вопросов, сертификат добавится в список. Если просмотреть информацию, содержащуюся в нём (нужно выбрать сертификат и нажать на кнопку «Информация»), то можно увидеть следующее:

nastrojka-ssl-sertifikata

Как видите, для всех LetsEncrypt SSL сертификатов TheHost указывает абсолютно идентичную информацию, упрощая и ускоряя процедуру их выпуска.

При желании вы можете произвести настройку SSL сертификата и изменить содержащуюся в нём информацию на данном этапе. Кстати, настоятельно рекомендую это сделать, т.к. этот шаг повысит ваше доверие у ваших пользователей, которые решат просмотреть данные сертификата.

Отсутствие персональных данных владельца в нём может серьёзно насторожить их, а для некоторых может даже послужить сигналом отказа от использования данного сайта.

Установка SSL сертификата на хостинг

Итак, для подключения SSL сертификата к сайту в панели управления хостингом ISPManager открываем пункт меню «WWW домены», выбираем необходимый и нажимаем на кнопку «Изменить», которая становится доступной в самом верху страницы.

После этого на экране появляется следующее диалоговое окно:

dobavit-ssl-sertifikat-na-sajt

Чтобы установить SSL сертификат на выбранный домен, нам нужно поставить галочку в поле «SSL» и выбрать из выпадающего списка имя нужного документа.

Вот и всё. SSL сертификат на сайт установлен. Сами могли убедиться, насколько это просто и быстро благодаря TheHost и ISPManager, в частности.

Да, пусть он выглядит неказисто, но со своими задачами справляется на отлично 🙂

Но мы поговорим об этом в следующих статьях, т.к. каждая платформа требует индивидуального подхода.

Установив галочку в данном поле, в файл конфигурации веб сервера Nginx на хостинге добавится следующий код:

Преимущество данного способа перенаправления трафика над редиректом в коде сайта заключается в том, что он происходит быстрее. В количественном выражении эти изменения не существенны, но при больших размерах проекта они станут заметны.

Проверка правильности установки SSL сертификата

После того, как SSL сертификат на сайт установлен и активирован, логическим завершением данного процесса будет проверка наличия ошибок, которые могли возникнуть в процессе.

Они могут быть разнообразны: начиная от несовпадения информации в сертификате с той, которая хранится в центре сертификации, заканчивая ошибками в работе самого сертификата.

А это, надо сказать, неплохая мотивация пользоваться первым типом хостеров, где от пользователя не требуется много времени и знаний.

Особенно ценен данный аргумент для людей, которые никогда не были связаны с веб-программированием и созданием сайтов, но установка SSL сертификата на их сайты необходима.

Поэтому, если вы относитесь к данной категории, то советую воспользоваться услугами именно своего хостинг-провайдера. Я более, чем уверен, что он избавит вас от ненужной головной боли.

Ну, а если вы ещё только выбираете такового, то хочу порекомендовать TheHost, инструкция по созданию и установке SSL сертификата в панели управления которого и была представлена в данной статье.

На этом всё. До новых встреч! 🙂

ЧТО ТАКОЕ SSL?

ЧТО ОН СОБОЙ ПРЕДСТАВЛЯЕТ?

Наличие SSL-сертификата – это важнейшее требование для любых сайтов, работающих с личными данными пользователей , например, сервис «Сбербанк-Онлайн» для платежей.

  • Доменное имя, на которое он оформлен
  • Сведения о юрлице – обладателе сертификата
  • Данные о физическом местонахождении обладателя (город, страна)
  • Срок действия сертификата
  • Реквизиты компании-поставщика сертификатa

Сертификат состоит из 2-х частей (ключей) – public и private.

  • Public – шифрует трафик от клиента к серверу в защищенном соединении
  • Private – расшифровывает полученный трафик уже на сервере

От того, какой у вас сайт и какой нужен для него уровень защиты информации, зависят начальные этапы получения SSL-сертификата. Простой пример: если сайт использует платежную систему, то для него потребуется SSL-сертификат с расширенной проверкой, так как уровень безопасности понадобится высокий.

ТИПЫ СЕРТИФИКАТОВ ПО УРОВНЮ ПРОВЕРКИ

1. Проверка домена (DV или domain validation) – необходимо подтверждение права собственности на домен сайта. После этого в течение 24-х часов на электронную почту придет письмо с кодом сертификата и ссылкой на него

Это – наиболее распространенные категории. Можно выделить ещё 2 вида проверки:

1. Проверка посредством DNS-записи (DNS CNAME) – в вашем DNS создается специальная запись для проверки его сертификационным центром. Все делается автоматически

ЭТАПЫ ПОДКЛЮЧЕНИЯ SSL-СЕРТИФИКАТА

Вернемся к способу генерации. Как мы уже сказали, самостоятельная генерация сертификата на сервере довольно трудоемкая процедура для тех, кто ранее с подобным не сталкивался. Поэтому лучше сразу формировать запрос. К тому же, если подключать собственный сертификат, то за его своевременным обновлением нужно следить, а это дополнительные затраты.

КАК СОЗДАТЬ ЗАПРОС НА ПОЛУЧЕНИЕ?

Для получения SSL-сертификата необходимо обращаться в компании, которые их выдают. Например, в Ru-Center – это крупнейший регистратор доменов и один из ведущих хостинг-провайдеров в России. Цена SSL-сертификата обычно разная, довольно часто он уже входит в стоимость хостинга.

Что касается данных, которые надо указывать при заполнении заявки на сертификат, то об этом на сайте Ru-Center также представлена подробная инструкция .

А СТОИТ ЛИ ТРАТИТЬ ДЕНЬГИ?

Что лучше, платно или бесплатно? Давайте разберемся. Сегодня есть 2 основных способа добыть бесплатный SSL:

1. Сертификат от Let’s Encrypt – выдается на 3 месяца, после истечения срока его надо постоянно переполучать

2. Сертификат от COMODO (для клиентов Cloudflare – американской компании, оказывающей услуги CDN и защитой от DDoS-атак)

Стоит ли этим пользоваться? Если только в качестве тестирования SSL. Не забывайте о главном – вы не сможете получить что-то качественное и надежное за маленькие деньги или вообще без них. Это элементарные законы экономики. Так и с двумя вышеупомянутыми способами. Например, сертификат для клиентов Cloudflare очень долго настраивается – некоторые обновления DNS долго доходят до провайдеров. Кроме того, при такой системе есть риск медленной загрузки сайта от постоянных редиректов. А это уже отдельная проблема, которая может повлиять на поисковое продвижение – подробнее прочесть об этом можно тут .

HTPPS по сертификату от Let’s Encrypt заработает сразу после установки на сервер, да и в целом оно практически не отличается от платных сертификатов. НО! Через каждые 3 месяца вы должны будете его продлевать. А риск забыть об этом весьма высок. Так что – ответ очевиден. Лучше заплатить определенную цену за услугу предоставления SSL-сертификата хостеру на срок, куда более длительный, чем 3 месяца.

ПРЕИМУЩЕСТВА ЗАКАЗА SSL-СЕРТИФИКАТА НА ХОСТИНГЕ

  • Простота процедуры – отсутствие вникания в довольно сложные технические подробности и риска упустить какой-либо нюанс
  • Возможность получить сертификат за относительно низкую цену, например, в рамках какой-либо акции
  • Длительный срок действия – как правило, на 1 год максимум

Итак, вы заполнили заявку, отправили запрос и получили приватный ключ сертификата. Что делать дальше?

ФАЙЛЫ SSL ВЫСЛАНЫ. ЧТО ДАЛЬШЕ?

Для начала сохраните эти файлы на компьютер, в отдельную папку. Их потребуется подключить к домену на хостинге. Установка SSL-сертификата на домен производится специалистом, через специальную панель инструментов хостинга, а также с использованием админки сайта. Но в большинстве случаев установка происходит гораздо проще – все делает сам провайдер, владельцу сайта достаточно лишь оплатить услугу.

Далее выполняются следующие действия:

Разумеется, что все это тоже задача специалиста – того, который находится на стороне клиента, например, сотрудник технической поддержки агентства, ответственного за продвижение его сайта. Наша компания также оказывает услуги по подключению SSL. Мы занимаемся этим в рамках технической поддержки , куда входит и изменение настроек протокола сайта.

Важный нюанс, связанный с переносом и работой файла robots.txt и карты сайта:

НАСТРОЙКА ПРОТОКОЛА В ЯНДЕКС ВЕБМАСТЕРЕ


Если вам нужен SSL-сертификат, но вы не являетесь специалистом в веб-технологиях, то эта заметка для вас. Описан простой способ выпуска базового SSL-сертификата Let’s Encrypt в ручном режиме, на локальном компьютере с Windows, с помощью приложения Certbot. Этот способ позволяет получить файлы SSL-сертификата в папку на своём локальном компьютере, после чего можно установить сертификат на свой хостинг.

Потребность в SSL-сертификатах возникла у меня в связи с тем, что срок старых истёк, а создать новые оказалось невозможным из-за возникших ограничений на доменные зоны RU и РФ. Если у вас такая же проблема или вам просто надоело искать веб-сервис для выпуска SSL-сертификатов, то эта заметка вам поможет.

Поскольку я пока не знаю наилучшего пути, то ниже просто опишу ту последовательность действий, которую сам выполнил и которая позволила мне создать SSL-сертификаты для десяти своих доменов (в том числе в зонах RU и РФ), а значит и вам этот способ может помочь.

Создание SSL-сертификата на локальном компьютере

Установил на свой локальный компьютер (с операционной системой Windows 11) программу Certbot.

Установочный файл Certbot взял с официального сайта здесь (см. ссылку на загрузку дистрибутива в п.3 на открывшейся по ссылке странице).

Запустил скачанный установщик и в диалоге установки изменил адрес установки на: C:\Certbot

Работа с программой Certbot осуществляется через командную строку или PowerShell (я использовал PowerShell). На время выпуска сертификата, естественно, компьютер должен быть подключен к сети Интернет.

Открыл PowerShell (х86) с правами администратора.

Для этого нажал на кнопку "Пуск" и набирая первые буквы названия PowerShell увидел нужный пункт в результатах поиска, затем правым щелчком мыши по названию найденной программы открыл контекстное меню и в нём выбрал пункт "запуск от имени администратора".

В окне PowerShell с помощью команд cd перешёл в каталог Certbot (вводил как показано на скриншоте и нажимал в конце строки клавишу Enter):

Вставил из буфера обмена команду для создания сертификата (можете скопировать её из этой строки):

certbot certonly --authenticator manual

И нажал клавишу Enter.

Перед нажатием Enter окно PowerShell выглядело с этой командой так:

Система предложила ввести свой email (я ввёл), согласился с условиями (нажимая клавишу Y), в следующий раз программа на этом шаге уже не просила вводить email, а сразу предлагала ввести имена доменов (я вводил сразу по два – второй с www, через запятую):

Программа попросила создать файл проверки прав на домен. При этом показано какую строку символов и в файл с каким именем поместить, по какому адресу на веб-сервере этот файл положить:

Поскольку я вводил по два доменных имени (обычное и с www), то после нажатия Enter программа точно так же просила создать ещё один проверочный файл.

С помощью Filezilla Client я создал нужные файлы по требуемому адресу, создав нужные директории. Выделенный текст из окна PowerShell можно копировать просто правым кликом, или привычным сочетанием клавиш Ctrl+C.

Нажал клавишу Enter для создания сертификата, но только после того, как проверочные файлы на веб-сервере были созданы.

Система сообщила об успешном создании файлов сертификата, которые я нашёл на своём локальном компьютере, в папке:

Если бы сертификат не был создан, то программа сообщила бы об ошибке.

Вот и всё, сертификаты готовы!

Для установки их на хостинг мне потребовались три файла из четырёх, из данной папки:

cert1.pem – сертификат
chain1.pem – промежуточный сертификат
privkey1.pem – приватный ключ

Ограничения

Через каждые 90 дней нужно перевыпускать сертификат заново.

Я ещё не озадачился тем, как автоматизировать описанный выше процесс (мне интересен перевыпуск сертификата именно на локальном компьютере с Windows). Было бы здорово, если бы знающий человек написал в комментариях как это сделать.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: