НТВ плюс 

Получаем доменное имя, DNS и SSL сертификат нахаляву. Как заказать бесплатный SSL-сертификат

Привет, друзья. Многие из вас знают, что я в последнее время занимаюсь в основном подготовкой сервиса CheckTrust.ru к запуску. Кстати, запуск должен состояться уже очень скоро и вас ждут приятные сюрпризы, но вы и сейчас можете регистрироваться и полноценно пользоваться сервисом.

Так вот на прошлой неделе случился очередной ключевой этап подготовки к запуску – получение специального SSL сертификата и переключение сервиса на защищенное соединение https:// .

Что это, зачем это и почему это так важно?

Позвольте процитировать несколько строк из Википедии:

HTTPS (HyperText Transfer Protocol Secure) - расширение протокола HTTP, поддерживающее шифрование. Он обеспечивает защиту от атак, основанных на прослушивании сетевого соединения, при условии, что будут использоваться шифрующие средства, и сертификат сервера проверен и ему доверяют.
Чтобы подготовить веб-сервер для обработки https-соединений, администратор должен получить и установить в систему сертификат для этого веб-сервера.
Центр сертификации, при подписывании проверяет клиента, что позволяет ему гарантировать, что держатель сертификата является тем, за кого себя выдаёт (обычно это платная услуга).

Проще говоря, когда вы заходите на сайт с https то все данные, передаваемые в браузере, шифруются, и даже если их перехватит злоумышленник, расшифровать их никогда не сможет , не имея секретного ключа, который известен только мне (владельцу сертификата).

Пользуясь каким-либо сайтом, который хранит и использует личные данные, а тем более, которой подразумевает оплату и другие финансовые операции, вы доверяете ему свою информацию и хотите, чтобы она была в безопасности.

Сайту вы можете доверять, но если пользуетесь интернетом в общественном месте (аэропорт, кафе или любая другая бесплатная wi-fi точка доступа) уверены ли вы в том, что соединение никто не прослушивает? Кстати, прослушивать могут и домашний интернет, если есть физический доступ к роутеру. Привет халявный соседский wi-fi?!

Но даже здесь владельцы сайта могут вас спасти. Разумеется, при помощи защищенного https-соединения. Я, как один из основателей сервиса CheckTrust, забочусь о вас, друзья, и хочу, чтобы вы чувствовали себя спокойно. И мы сделаем все возможное для этого!

Но хватит лирики. Как вы уже поняли, чтобы сделать возможным https соединение, необходимо иметь специальный SSL сертификат и установить его на сервер , где расположен сайт. Вот именно этим мне и предстояло заняться пару дней назад. А так как я даже понятия не имел, что собой представляет SSL сертификат, где его взять, сколько это стоит и как его активировать, я стал разбираться.

Занял этот процесс целый рабочий день, а потом еще целый день на устранение неожиданных ошибок. Я решил, что это стоит того, чтобы рассказать вам.

Итак, первым делом, я решил узнать, что же это за сертификаты и с чем их едят. Никого не удивлю, если скажу, что просто ввел в Яндексе запрос «ssl сертификат». Когда я увидел слова «виды», «разновидность», «как выбрать», «сравнение», стало ясно, что все не так просто. Прочитав несколько статей на Хабре, я узнал, что бывает 3 типа сертификатов, что их выдают специальные центры сертификации и какие из них самые крупные.

Определиться с типом SSL было не так просто , т.к. помимо верификации только домена я хотел немного большего – подтверждение данных владельца (хоть компании у меня нет, зато у меня есть я, и при определенных условиях можно подтвердить личность вместо организации).

До этого, я разговаривал с Саньком (руководитель отдела разработки CheckTrust, заметили, да, у нас тут кругом одни «Саньки»!), и он сказал, что в Ярославле видел какую-то контору. И так совпало, что в выдаче был единственный сайт, продающий сертификаты и как раз из Ярославля. Судьба, видимо, подумал я, и перешел на их сайт . Походил, посмотрел, но ответа на свой вопрос, как получить SSL сертификат с проверкой данных физического лица так и не нашел, потому решил обратиться в техподдержку .

Меня интересует ssl сертификат. Прочитал, что есть разные виды сертификатов с разным уровнем проверки. Есть самые простые с проверкой только домена. А есть с проверкой организации и других данных.
Хотелось бы что-то «посильнее» чем просто проверка домена. Но организации у меня нет, но я готов подтвердить любые необходимые данные физлица, т.е. меня. Это возможно или мне подойдет только верификация домена и самый простой сертификат?

Довольно быстро я получил развернутый ответ:

Разница между этими сертификатами состоит вот в чем:
Простые (Domain Validation, DV) – в сертификате указан только домен.
С проверкой компании (Organization Validation, OV) – указан домен и название компании.
С расширенной проверкой (Extended Validation, EV) – зеленая адресная строка браузера, название компании в ней, в сертификате также домен и название компании.
При этом в силе шифрования разницы нет.

Сертификаты EV физическим лицам в принципе не выдаются. Процесс проверки даже для компаний довольно сложный.
Для сертификатов OV возможно, но процесс валидации намного сложнее, чем у юрлиц. Описание процесса, например, на сайте Comodo . По ссылке находится документ с описанием (на английском) — нужно заполнить его (форма на 3 странице), заверить у нотариуса и отправить по е-мейлу.

Кроме того, в файле есть перечень документов, которые они принимают.
1) Паспорт
2) Документ из финансового учреждения:
— международная пластиковая карта или дебетовая карта, если на них указан срок действия и он еще не истек, или
— выписка из банковского счёта не старше 6 месяцев
3) Нефинансовый документ:
— счет за коммунальные услуги или
— заверенная копия свидетельства о рождении или
— налоговая декларация за последний год или
— заверенная копия судового документа, например свидетельство о разводе, судебное постановление о признании брака недействительным или бумаги об усыновлении.

То есть если Вы решите заниматься этими документы, возникнут дополнительные траты на нотариуса. При этом центры сертификации не гарантируют, что сертификат будет выдан. Кроме того на сайте сертификат не будет отличаться от простого, разница только в названии компании внутри сертификата, а, к сожалению, не все пользователи знают, где это просмотреть.

Поэтому лучше всего заказать сертификат с проверкой только домена, а для того, чтобы посетители видели, что сайт защищен, дополнительно добавить печать защиты.

Тем не менее, среди простых сертификатов также есть разница.
Например, Thawte считается более высоким классом, так как более серьезно проверяет заказчика, чем Comodo. В то же время Comodo более популярен, так как значительно дешевле.

Решив, что волокита с документами и лишние затраты мне нафиг не нужны, я остановился на единственном доступном для физического лица варианте – простой SSL сертификат с подтверждением домена .

В процессе подготовки и покупки у меня возникали различные сложности и вопросы, к счастью, в конце письма из тех.поддержки был скайп замечательной девушки Юлии , которая согласилась мне помочь и терпеливо отвечала на все мои вопросы и помогала решать проблемы. А после покупки даже помогла проверить валидность установки сертификата, в результате чего была обнаружена серьёзная проблема, но об этом позже. Короче говоря, мне очень понравилось наше общение и я предложил Юлии поучаствовать в написании данного поста .

Поэтому не буду тянуть и передаю слово Юле, она вам расскажет о том, для чего используются SSL сертификаты, как проходит процесс проверки для разных типов SSL и в каких случаях их лучше применять.

Дорогие читатели, буду рада, если предоставленная ниже информация окажется Вам полезной и поможет определиться с SSL сертификатом, когда появится такая задача. Тем более, когда в свете последних событий (а именно после обнаружения уязвимости Heartbleed) начали ходить слухи о том, что в будущем наличие SSL сертификатов на коммерческих сайтах войдет в список факторов ранжирования и будет позитивно оцениваться в поиске Google. Официального заявления компания не делала, хотя на конференции SMX West 2014 Мэтт Каттс высказал свое пожелание видеть зашифрованное соединение частью нового алгоритма (прим. публикация об том на серче). Нам же остается пока следить за новостями.

Начать хочу с того, что SSL сертификаты используются для защиты передаваемой информации в разнообразнейших областях : при взаимодействии с клиентами (регистрация и авторизация на сайте, передача данных от клиента на сервер, оплата кредитными картами), передача конфиденциальных данных в интранете, обеспечение безопасной коммуникации между сотрудниками, работающими удаленно, защита приложений и почтовых серверов. Кроме защитной функции следует обратить внимание на то, что наличие SSL сертификата на сайте позитивно влияет на доверие посетителей и может дополнительно мотивировать посетителя совершить определенное действие на странице (например, зарегистрироваться или завершить покупку).

Как Александр заметил в начале статьи, действительно существует огромное количество сертификатов, поэтому мы их разделили на подкатегории, чтобы было проще сориентироваться.

С одной стороны мы разделяем SSL сертификаты в зависимости от количества защищаемых доменов:

  1. 1 домен – защищает соединение с одним доменным именем, например, вы можете заказать его для домена my-site.ru или для поддомена pay.my-site.ru, и защищен будет именно тот, что указан во время заказа. Используется для простых веб-сайтов или отдельных разделов веб-ресурсов.
  2. Домен и все его поддомены – SSL сертификаты типа Wildcard, которые защищают доменное имя и все поддомены уровнем ниже. Заказывая такой SSL сертификат, важно указать название сайта в формате *.my-site.ru, тогда на месте звездочки сможет оказаться любой существующий и будущий поддомен Вашего веб-сайта.
  3. Несколько доменов – мультидоменный SSL сертификат способен сэкономить Ваше время для заказа, установки и управления, так как включает все указанные во время оформления домены и/или поддомены. Чаще всего применяется на почтовых серверах или же владельцами нескольких доменов.

С другой стороны существуют разные типы валидации заказчика для получения того или иного сертификата SSL, которые впоследствии определяют уровни «престижа» сертификатов:

  1. Валидация домена – подходит для физических и юридических лиц и заключается в подтверждении заказа по административной электронной почте или с помощью http-запроса.
    Лучше всего подходит для небольших сайтов без онлайн оплаты, для внутреннего пользования, для защиты iframe приложений, то есть в тех случаях, когда важно обеспечить безопасную передачу данных, но пользователю не обязательно знать, какой компании принадлежит защищенный сайт.
  2. Проверка компании – выдается юридическим лицам без проблем, для этого нужно, кроме подтверждения по электронной почте, пройти валидацию по телефону. Особых сложностей данный процесс не представляет, когда в заказе, в данных о домене и в телефонном справочнике совпадает название и адрес компании. Физическим лицам такие SSL сертификаты теоретически также выдаются, но практически процедура достаточно сложная, так как требуется ряд документов, заверенных нотариусом.
    SSL сертификат с проверкой компании содержит название фирмы и используется в тех случаях, когда необходимо не только защитить соединение, но и указать, кто является владельцем сертификата. Например, это очень важно в случае сертификатов разработчика для подписи программного кода, а также когда SSL сертификат выдается на IP адрес, или же когда владелец веб-сайта желает дать возможность посетителям проверить принадлежность сайта своей компании (для этого нужно кликнуть на замок в адресной строке и просмотреть свойства SSL сертификата).
  3. Расширенная проверка компании, помимо вышеперечисленных методов валидации по электронной почте и телефону, подразумевает проверку юридических документов компании и требует официальное заявление и соглашение с центром сертификации о выпуске данного SSL сертификата. Выдаются SSL сертификаты EV (от Extended Validation – расширенная валидация) исключительно юридическим лицам.
    Особенностью SSL сертификатов с EV является окрашивание адресной строки браузера в зеленый цвет, кроме того в ней появляется название компании. Эти характеристики выделяют сайт среди конкурентов и привлекают внимание посетителей, поэтому такой тип SSL сертификатов идеально использовать для онлайн-магазинов, финансовых учреждений, платежных систем, то есть в тех случаях, где доверие клиентов имеет первостепенное значение.

Для SEO-блога было бы также логично затронуть вопрос о том, как переход на https:// влияет на ранжирование сайта. Первым делом хочу заметить, что еще в апреле 2013 года Джон Мюллер (Google) сообщил, что страницы, защищенные SSL сертификатом, ранжируются точно так же, как и простые страницы http://. Тем не менее, чтобы не возникло проблем с поисковыми системами, при установке SSL сертификата необходимо учесть следующие факторы:

  1. Скорость загрузки.
    Хостинг, на котором расположен Ваш сайт, должен справляться с дополнительной нагрузкой при SSL соединении, так как скорость загрузки является одним из факторов ранжирования в поисковых системах. Защищенный SSL сертификатом сайт требует больше ресурсов нежели обычный, так как соединение по протоколу https шифруется. Поэтому важно учесть это явление при установке SSL сертификата.
  2. 301 редирект.
    Поисковые системы ценят уникальный контент на веб-сайте, поэтому важно убедиться, что все содержимое сайта на http:// перенаправляется с использованием на эквивалентную страницу с https://. Если упустить этот момент и не настроить переадресацию, это может негативно сказаться на отношении поисковых систем к сайту, так как эти страницы распознаются как два разных веб-сайта с одинаковым контентом.
  3. Инструменты для веб-мастеров.
    По той же причине следует вносить в инструменты веб-мастеров версию сайта на https:// отдельно в качестве нового сайта.

Пожалуй, это была основная информация, которая может понадобиться при выборе и дальнейшем использовании SSL сертификата. Конечно же, бывает множество нюансов и индивидуальных требований, таких как защита версий сайта с www. и без, использование одного сертификата на нескольких физических серверах или поддержка высокого уровня шифрования устаревшими браузерами, но их лучше рассматривать в каждом индивидуальном случае, так же, как и вопросы установки и устранения ошибок. Поэтому я и мои сотрудники будем рады ответить на любые вопросы читателей этого замечательного блога.

Спасибо большое Юле за подробное описание видов сертификатов и полезную информацию. Надеюсь, это вам пригодится, когда вопрос с защитой вашего сайта станет актуальным. Можете задавать свои вопросы прямо в комментариях. Напомню, что Юля является представителем компании «Эмаро» , где я и покупал свой сертификат, так что рекомендую. Но мне хотелось бы добавить еще важную вещь.

Юля сказала, что в Google хотят видеть наличие https в качестве одного из факторов ранжирования, но и Яндекс не исключение . После (или не отмены, пока не понятно до сих пор) стало популярным говорить про, так называемые, коммерческие факторы . Впервые про них заговорили пару лет назад (еще в 2011), но как-то особо активно стали вспоминать не так давно. Так вот помимо таких очевидных моментов, как контакты, ассортимент, подробная карточка товара, доставка, онлайн-консультант, отсутствие рекламы и т.д. где-то я слышал про https протокол для корзины покупателя или даже для всего сайта магазина. Подтверждения этому нет, но знать и помнить об этом по любому надо!

Только после того как я сам лично столкнулся с SSL сертификатами и защитой данных я понял, насколько это действительно важно. И, если раньше я мог бы сказать, что наличие https соединения там, где оно уместно, это бонус, то теперь я скажу иначе – отсутствие https соединения там, где хранятся личные данные и происходят транзакции, это недостаток! Из всех бирж только Сапа использует https соединение (пусть и SSL сертификат у них самоподписанный и доверия не имеет, но, тем не менее), а из агрегаторов только seopult. Это провал…

А у нас вот такая вот красота в данный момент!

Кстати, информация на скриншоте про 500 бесплатных проверок на сервисе еще актуальна! Так что регистрируйтесь и пользуйтесь:)

Пожалуй, на сегодня все. Спасибо за внимание, друзья.

До связи!

С уважением, Александр Алаев

Бесплатный SSL-сертификат

В нашей компании вы можете заказать бесплатный SSL-сертификат для домена. Получить SSL-сертификат можно как на этапе заказа услуги (регистрации домена или заказа хостинга), так и для существующей услуги хостинга (домена). Также вы можете получить бесплатный SSL-сертификат, если .

Важные сведения о бесплатном SSL-сертификате:

  • В качестве бесплатного сертификата предоставляется .
  • Бесплатный SSL подключается на один год, далее сертификат нужно оплачивать.
  • Получить бесплатно SSL-сертификат для каждого домена можно только один раз.
  • SSL-сертификат будет действителен для домена mysite.ru и для поддомена www.mysite.ru. Если вы хотите защитить все прямые поддомены вашего домена (например: shop.mysite.ru, forum.mysite.ru, wiki.mysite.ru), закажите платный .
  • При заказе SSL-сертификата для кириллического домена дополнительно потребуется пройти проверку на фишинг в GlobalSign.
  • Вся процедура (заказ, активация и установка SSL-сертификата) может занять несколько дней.

Как заказать SSL-сертификат при регистрации домена или при заказе хостинга

При регистрации домена или заказе услуги хостинга выберите опцию Бесплатный SSL-сертификат :

При формировании счёта на оплату в корзине будут две позиции: сумма за регистрируемый домен (услугу хостинга) и «Бесплатный SSL-сертификат» с нулевой стоимостью.

После оплаты счёта на контактную почту владельца услуги (администратора домена) придёт инструкция по активации сертификата. Далее вам нужно активировать () и установить сертификат на хостинг ().

Обратите внимание

Инструкция по активации сертификата придёт на е-mail домена или услуги хостинга, с которого вы заказывали бесплатный SSL-сертификат. Проверьте актуальность вашего e-mail по инструкции: Если у вас указан неактуальный адрес электронной почты, измените его на верный и обратитесь для активации бесплатного SSL.

Как заказать SSL-сертификат для зарегистрированного домена или существующей услуги хостинга


Готово! Вы заказали бесплатный SSL-сертификат.

После этого на контактную почту владельца услуги (администратора домена) придёт инструкция по активации сертификата. Далее вам нужно активировать () и установить сертификат на хостинг ().

Обратите внимание

Инструкция по активации сертификата придёт на е-mail домена или услуги хостинга, с которого вы заказывали бесплатный SSL-сертификат. Проверьте актуальность вашего e-mail по инструкции: Если у вас указан неактуальный адрес электронной почты, измените его на верный и обратитесь для активации бесплатного SSL.

Что будет с сертификатом, если услуга хостинга заблокируется?

При любой блокировке услуги с SSL-сертификатом ничего не происходит. После разблокирования услуги сертификат продолжает действовать. Услуга хостинга может быть заблокирована:

  • по окончании срока оплаты;
  • при размещении запрещённого контента (пункт 3 );
  • при систематическом игнорировании уведомлений о превышении лимитов выбранного тарифного плана;
  • при нарушении других условий .

Что будет с сертификатом, если я удалю услугу хостинга?

Удаление услуги хостинга никак не повлияет на SSL-сертификат.

Распечатать

Как получить бесплатный ssl сертификат для русского домена с помощью CloudFlare? + Бонусы CDN.

(60 оценок, среднее: 5,00 из 5)

Воспользовавшись бесплатным сервисом CDN CloudFlare вы получите как минимум два преимущества:

  1. бесплатный SSL сертификат от проверенного сертификационного сервиса, которому доверяют Mozilla Firefox, Google Chrome и другие;
  2. бесплатную сеть доставки контента вашего сайта (CDN — Content Delivery Network ), что даст прирост к скорости загрузки его страниц.

Читайте в статье подробную инструкцию получения SSL сертификата для кириллического домена . Помимо этого поясню влияние проблемных сертификатов (красный замок) на конверсию сайта, блога или интернет-магазина.

Предупреждение в Google Chrome у сайта по протоколу https.

В связи с недавним выходом новой версии Chrome 57 (начиная с Chrome 56) — сайты у которых сертификаты WoSign или StartSSL — стали частично недоступны.

Больше нет зелёного замка в адресной строке браузера.

Халява кончилась? На самом деле нет — ответ найдете в статье.

Почему холява кончилась? WoSign и StartSSL.

Ранее сообщалось (осень 2016 года) о том, что эти сертификационные центры не выполняют требования по безопасности .

Firefox, Chrome и другие теперь не покажут зелёный замочек в адресной строке. Больше скажу, теперь сложнее получить доступ к ресурсам с этими сертификатами.

Гугл хром, например, предупреждает о плохом сертификате, и показывает это пользователю при открытии любой страницы домена.

Злоумышленники могу попытаться похитить ваши данные с сайта.

Но делает это так, что человек, открывший сайт, может испугаться. Не понимая истинной причины такого сообщения — человек уйдет с «опасного» сайта.

Выглядит это примерно так:


Google Chrome: Ваше подключение не защищено (NET::ERR_CERT_AUTHORITY_INVALID)

И чтобы получить доступ к такому сайту, еще нужно исхитриться и нажать «Дополнительные» (видимо трудности перевода) и найти там «пройти на сайт xxx».


Google Chrome: Сервер не может подтвердить связь с доменом — перейти на сайт (небезопасно)

А после подтверждения перехода на сайта в адресной строке все красное:


К такому сайту резко падает доверие пользователей и они сразу его покидают. Хотя сомневаюсь, что они его не закроют на предыдущем этапе.

Ps. Вообще, это касается сайтов, не входящих в первых миллион по версии Alexa , но проверить этого не могу.

Вопрос: как сделать зеленый замок в адресной строке браузера?


Google Chrome и зеленый замок в адресной строке — надежный сайт.

Ответ: нужен валидный сертификат SSL от сертификационного центра (Symantec, Comodo, GlobalSign, и др.), которому доверяют крупные производители браузеров.

  • Купить сертификат с поддержкой IDN (интернационализованные доменные имена: .рф, .москва — в общем нелатинские домены). Не все сертификаты имеют IDN и обычно стоят дороже.
  • Бесплатно воспользоваться услугами CloudFlare — то есть схитрить.

С помощью чего сделать зеленый замок в адресной строке для кириллического домена бесплатно?

Для того, чтобы у нашего сайта был хороший SSL- сертификат, которому доверяют Google Chrome, Mozilla Firefox, Opera и другие — мы воспользуемся услугами CDN сервиса CloudFlare.

Этому сервису доверяют такие крупные компании как Zendesk, Eurovision, DigitalOcean и другие. Со всем списком можно ознакомиться по ссылке: cloudflare.com/case-studies/ .

Краткая инструкция. 4 шага.

Инструкция по включению SSL-сертификата в Cloudflare:

  1. Зарегистрироваться в сервисе;
  2. Выбрать домен и следовать инструкциям помощника;
  3. Изменить DNS сервера у домена, в панели управления доменом — там где регистрировали домен;
  4. Включить нужный режим SSL в панели Cloudflare. Готово!

А теперь подробнее рассмотрим каждый шаг. С некоторыми вы и без этой статьи справитесь, но на некоторых шагах у вас могут возникнуть проблемы в первый раз.

Подробная инструкция со скриншотами по настройке Cloudflare и подключение бесплатного SSL сертификата к вашему домену.

Регистрация в Cloudflare.

Всё начинается с регистрации в сервисе Cloudflare.


Добавили свой сайт в панель cloudflare и на последнем шаге нас просят изменить DNS сервера на те, что предложены сервисом. В моем случае это duke.ns.cloudflare.com и olga.ns.cloudflare.com . Идём в панель управления хостинга или регистратора и меняем текущие сервера имён на новые.

Учтите, что эта процедура может занять время. Зона днс может распространяться от шести до 48 часов . Ну в последнее время это гораздо быстрее происходит.

Проверка NS серверов у домена с помощью Google Dig.

Важно, чтобы у сайта появился новый ip. Это и будет индикатором смены DNS.


Периодически можно проверять через утилиту Dig от гугл. Находится по адресу //toolbox.googleapps.com/apps/dig/ . Помимо серверов днс, там можно проверить почтовый сервер и другие параметры.


Всё . Теперь когда зона DNS распространилась, клаудфлер это видит и меняет статус сайта на Activ.

Получение бесплатного SSL сертификата в 2017 году от CloudFlare.

Теперь о самом главном — включение https протокола для сайта.

Режим SSL CloudFlare: Full — по умолчанию.

Режим SSL Cloudflare — Full

По умолчанию, после добавления сайта, SSL-сертификат к домену подключается с режимом Full.

Если у вашего сайта уже есть доступ по HTTPS — то можно ничего не делать. SSL-сертификат сайта будет валидным для браузеров.

Но если у вас не было прежде SSL-сертификата или вы не хотите с ним заморачиваться то читайте дальше.

Включение режима Flexible в CloudFlare.

Переходим во вкладку Crypto и включаем Flexible на странице cloudflare.com/a/crypto/ ваш_домен. Всего доступно 4 режима cloudflare, но о них в другой раз.


Клаудфлэр нас предупреждает, что на создание SSL-сертификата может потребоваться время равное одним суткам. И некоторое время мы будем видеть ошибку ERR_SSL_PROTOCOL_ERROR .

И вот, теперь когда у нас сайт доступен по протоколу Https можно смело себя поздравить — вы справились!

ps. Если у вас открывается сайт, но показывает «mixed content» в Security Overview консоли разработчика Google Chrome то нужно добавить правило в CloudFlare.

Mixed content на сайте по HTTPS. CloudFlare Page Rules.


Чтобы на сайте не было смешанного контента нужно перейти на вкладку Page Rules и настроить правило. Нажимаем Create Page Rule и пишем следующее:

//*ваш_домен/*

И добавляем настройку (Then the settings are: -> Add a Setting) Always Use HTTPS.


Создаем правило всегда использовать HTTPS — CloudFlare

Нажимаем Save and Deploy — и проблема будет решена.

Невозможно получить SSL сертификат для кириллического домена (.рф, .рус) в панели управления VESTA

Кстати, да. Невозможно получить SSL сертификат для доменов.рф, .рус.
Панель управления Vesta (которая бесплатна) на данный момент имеет проблемы с кириллическими доменами (IDN домены, национальные) и автоматическим получением SSL сертификатов от Let’s Encrypt для них.
В связи с этим проблемно бесплатно получить SSL сертификат в VestaCP от Let’s Encrypt.

Этот баг известен и сейчас пока находится на этапе обсуждения. В перспективе, решение будет в ближайшем обновлении. Ну а пока придется использовать CloudFlare и их Flexible&Full режимы .

  • Tutorial

Жмем Sing-up и переходим к регистрации, где заполняем небольшую форму. Все поля обязательны к заполнению, нужно вводить настоящие данные, могут проверить вашу личность и отозвать сертификат, заблокировать аккаунт. Адрес нужно указывать домашний, а не рабочий. Так же желательно чтобы при регистрации использовалась латиница - это поможет весьма сократить то время за которое подтвердят регистрацию аккаунта.

Нам предлагают ввести проверочный код, который был выслан на email. Вводим. Далее нам предлагают выбрать размер ключа для вашего сертификата (для авторизации на сайте) 2048 или 4096.

Сертификат сгенерирован, и мы должны подтвердить его установку в браузер.



Верификация домена

Перед получением сертификата нам нужно подтвердить право владения доменом. Для этого переходим в раздел Validations Wizard и выбираем пункт Domain Name Validation

Вводим домен

Выбираем email, на который будет отослано письмо для подтверждения (postmaster, hostmaster, webmaster либо email из whois)

Получаем письмо и вводим код из него в поле. Все - домен подтвержден, можно приступать к генерации сертификата. В течении 30 дней мы можем генерировать сертификат. Далее нужно будет повторить процедуру верификации.

Генерация сертификата

Идем в раздел Certificates Wizard и там выбираем Web Server SSL/TSL Certificate

Далее у нас 2 варианта - либо нажать на Skip и ввести запрос на генерацию сертификата, либо генерировать все в мастере. Допустим, запроса сертификата у нас нет, поэтому будем генерировать все в данном мастере.

Вводим пароль для ключа (мин. 10 символов - макс. 32) и размер ключа (2048\4096).

Получаем и сохраняем ключ.

Выбираем домен, для которого будем генерировать сертификат (домен должен быть уже подтвержден).

Нам дают право на включение в сертификат один поддомен - пусть будет стандартный www

Получили немного информации о сертификате, жмем на Continue.

Теперь ждем подтверждения сотрудником StartSSL сертификата. Обещают в течении 3-х часов, однако на практике все происходит намного быстрее, мне пришлось ждать 10 минут. Ранее заказывал ночью - примерно за такое же время подтверждали запрос.

Получение сертификата

Нам осталось только получить сертификат и установить его на сервере. Идем в Tool Box -> Retrieve Certificate, выбираем домен и копируем сертификат.

Про установку не буду писать, информация есть на хабре и на StartSSL .

Проходим проверку (2-й уровень верификации)

Для снятия ограничений бесплатного сертификата нужно пройти идентификацию. Для этого в Validations Wizard выбираем Personal Identity Validation, проходим несколько шагов и нам предлагают загрузить документы


Для загрузки документов нужно только выбрать их в поле. Загрузить нужно не менее 2-х документов, подтверждающих вашу личность (главный разворот паспорта, водительские права, удостоверение личности, карточку социального обеспечения, свидетельство о рождении и т.д., я загружал главный разворот паспорта и студенческого билета). Могут запросить дополнительные документы - у меня запросили счет за телефон, в котором указан мой адрес, номере телефона и имя, в качестве альтернативы можно получить аналоговой почтой письмо для верификации адреса.

Все, на этом подготовка к верификации окончена. Вам должно будет прийти письмо от поддержки с дальнейшими инструкциями. По окончании верификации вы сможете выпускать WildCart сертификаты в течении 350 дней. Далее нужно будет проходить проверку заново.

Несколько фактов о StartSSL

  • 25 мая 2011 StartSSL был подвергнут атаке сетевых взломщиков (в простонародии хакеров), однако получить фиктивные сертификаты им не удалось. Закрытый ключ, лежащий в основе всех операций, хранится на отдельном компьютере, не подключенном к интернету.
  • StartSSL поставляет помимо SSL сертификатов для Web, сертификаты для шифрования почты (S/MIME), для шифрования серверов XMPP (Jabber), сертификаты для подписи ПО Object code signing certificates).
  • StartSSL проверяет верность установки сертификатов. После установки сертификата (через некоторое время) я получил уведомление о отсутствии промежуточного сертификата, и ссылка на информацию по установки.
    После установки промежуточного сертификата пришло соответствующее письмо.
  • StartSSL поддерживается множеством ПО: Android, Camino, Firefox, Flock, Chrome, Konqueror, IE, Mozilla Software, Netscape, Opera, Safari, SeaMonkey, Iphone, Windows
  • Дружелюбная поддержка на русском языке
  • Сравнительная таблица вариантов верификации
Добавить метки

В этой статье я расскажу где совершенно бесплатно и легально получить SSL сертификат для своего сайта на срок от одного до трех лет, чтобы ваш ресурс был доступен не только по протоколу HTTP, но и HTTPS.

В последнее время участились разговоры о защищенном протоколе HTTPS. О том что для любого сайта будет крайне полезен переход на его использование. Связано это с тем, что у посетителей будет больше доверия к такому сайту. Так же ожидается лучшая лояльность поисковых систем. Кроме того постоянно витают слухи, что в ближайшем будущем популярные браузеры вообще откажутся от использования незащищенного протокола HTTP.

По-совести говоря, сам HTTPS протокол не говорит о том, что посещаемый вами ресурс безопасен. Он обещает, что данные которыми вы обмениваетесь с посещаемым сайтом не могут быть перехвачены никем другим.

Виды SSL сертификатов

Сертификатов SSL для сайтов существует несколько видов.

Cамоподписной сертификат

Самый простой и бесплатный - это самоподписной сертификат (self-signed), который можно сгенерировать прямо на веб-сервере. Минус этого сертификата в том, что на такой сертификат все браузеры будут выдавать предупреждение, что сайт не проверен.

Для служебных целей и для внутреннего использования такие сертификаты подходят, а вот для публичных сайтов, а тем более для сайтов, которые продают услуги, такие сертификаты нежелательны. Посудите сами, хотели бы вы, чтобы ваш клиент при заказе услуги увидел вот такую ошибку на весь экран? Как показывает практика, большинство посетителей такая страничка отпугивает и отбивает желание продолжать заказ дальше.

Сертификаты, которые подтверждают только доменное имя (Domain Validation - DV)

Это самые простые сертификаты, это ваш выбор если сертификат вам нужен срочно, так как выпускаются они автоматически и моментально. При проверке такого сертификата отсылается письмо со специальной ссылкой, по которой нужно кликнуть, чтобы подтвердить выпуск сертификата.

Сертификаты, которые подтверждают домен и организацию (Organization Validation - OV)

В таком сертификате уже будет указано название организации. Такой сертификат частное лицо получить не может. Срок выдачи таких сертификатов как правило от 3 до 10 рабочих дней, зависит от центра сертификации.

Сертификаты, с расширенной проверкой (Extendet Validation - EV)

Это самые дорогие сертификаты и получить их сложнее всего. В таких сертификатах есть так называемый «green bar» - то есть при входе не сайт, где установлен такой сертификат в адресной строке браузера посетителя появится зеленая строка, в которой будет указано название организации, получившей сертификат. Пожалуй это самый заветный сертификат для владельца сайта.

Типы SSL сертификатов по своим свойствам

Wildcard . Сертификаты, которые выдаются на все поддомены одного домена. Если у вас много региональных или других поддоменов, то обязательно нужно брать wildcard-сертификат.
С поддержкой IDN . Не все сертификаты поддерживаются для кириллических доменов. Если у вас кириллический домен, то нужно искать сертификаты с поддержкой IDN.
SGC сертификаты — это сертификаты с поддержкой повышения уровня шифрования. Актуально для очень старых браузеров, которые поддерживали только 40 или 56 бит шифрование.

Какой сертификат выбрать для сайта

Для частных лиц владельцев сайтов (блогов) доступен только один вид сертификатов: Domain Validation - DV. К счастью он самый дешевый, а дальше я расскажу где можно получить его бесплатно на срок от одного до трех лет.

Где взять SSL сертификат для сайта бесплатно

Мир не без добрых людей. В сети есть несколько ресурсов, которые раздают SSL сертификаты совершенно бесплатно.

CAcert

Mozilla

В сентябре 2015 года Mozilla обещают сделать бесплатную выдачу сертификатов .

Переход на использование HTTPS

Сначала необходимо получить SSL сертификат. Я рекомендую StartSSL . В сети полно информации как это сделать.
Затем вам необходимо настроить веб-сервер, установив SSL сертификат. Здесь многое зависит от типа сервера и используемой панели управления. В частности в VestaCP все настройки можно сделать прямо в окне браузера.

На втором этапе необходимо настроить ваш сайт. В частности переделать все прямые ссылки с HTTP на HTTPS. Подробнее читайте у Сергея Кокшарова . Он написал замечательную инструкцию по переходу на HTTPS.

Чтобы использовать HTTPS протокол необходим выделенный IP адрес. Который есть по-умолчанию у владельцев виртуальных и выделенных серверов. Пользователи обычного шаред хостинга так же могут получить выделенный адрес, но не на всех хостингах это возможно. Поэтому на мой взгляд лучше сразу переходить на виртуальный или выделенный сервер, благо у меня