Иной

SSL-сертификат

Глобальный переход на HTTPS
С 2017 года работающие по HTTP сайты, начнут отмечать, как небезопасные в Google Chrome и Mozilla Firefox. Особенно это касается сайтов с платежными формами. Также Google заявляет, что наличие HTTPS будет учитываться при ранжировании в результатах поиска.

Цель Google и остальных компаний — сделать интернет более безопасным местом. Поэтому со временем штрафы для сайтов без HTTPS будут только усиливаться.

Решите вопрос в этом году, чтобы не болела голова в следующем — установите на сайт SSL-сертификат. Для простого интернет-магазина подойдет бесплатный SSL-сертификат уровня Domain Validation (DV) от Let's Encrypt, для известного бренда — Organization Validation (OV) и т.д.

Для чего подходит?

Сертификаты Let's Encrypt подходят для защиты веб-сайтов. Сертификат не получится использовать для подписи кода и шифрования email.

Какие ограничения?

Сертификаты Let's Encrypt не поддерживают IDN — доменные имена с использованием символов национальных алфавитов. Не получится использовать сертификат для кириллических доменов вида мойсайт.рф. Возможно, поддержка появится в будущем.

Какие типы проверки выполняются?

Только проверка домена (DV, domain validation). Поддержка проверок OV и EV отсутствует и не планируется.

Как быстро выпускается?

Сертификат Let's Encrypt выпускается и начинает работать в течение нескольких минут. Главное условие — домен, к которому привязывается сертификат, должен быть делегирован.
Проверить просто: напишите доменное имя сайта в адресной строке браузера и нажмите Enter. Если вы увидите свой сайт, то всё в порядке — можно приступать к получению сертификата.

Сколько действует сертификат?

Сертификаты Let's Encrypt выпускаются на 3 месяца. Плагин certbot обновляет сертификат автоматически за 7 дней до окончания очередного срока.
Если не поставить certbot, то при окончании очередных 3-х месяцев сертификат не обновится и перестанет определяться браузерами — появится перечеркнутый значок HTTPS и предупреждение о небезопасном подключении.
В этом случае обновлять сертификат придется вручную каждые 3 месяца, либо самостоятельно настроить авто-обновление с помощью стороннего ПО например certbot.

Будет ли сертификат определяться браузерами как доверенный?

Да, будет. Поддерживается большинство современных браузеров. Детальную информацию о совместимости можно найти на официальном форуме поддержки.

Можно ли использовать в коммерческих целях?

Да, можно. Именно для таких целей сертификат и создавался.

Поддерживаются ли поддомены (wildcard)?

Сейчас поддержка wildcard отсутствует. Придется выпускать сертификаты отдельно для каждого поддомена. Однако, возможно появление такой поддержки в будущем.

Поддерживается ли мультидомен (SAN)?

Нет. Сам сертификат поддерживает SAN до 100 разных доменов, но автоматизированный процесс привязки в панели исключает использование этой возможности.

Как настроить автоматический редирект на HTTPS?

Даже если на сайте установлен сертификат, посетитель может набрать в браузере адрес через http://..., либо перейти по старой ссылке в поисковой системе. В этом случае его подключение не будет безопасным, и он не узнает, что сайт использует SSL-сертификат для шифрования передаваемых данных. Чтобы все запросы посетителей сайта шифровались сертификатом, необходимо настроить редирект HTTP → HTTPS.

Редирект на чистом Apache (.htaccess)

В конце первого блока VirtualHost (перед первой строкой) добавьте код:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.
Официальный сайт Let's Encrypt «давайте шифровать»
Как установить бесплатный SSL-сертификат Let's Encrypt без панели управления ISPmanager (manual mode)
* Регистрация Единого кошелька