- Зачем нужны SSL-сертификаты для сайтов
- Как заказать бесплатный SSL-сертификат из панели управления?
- Бесплатные сертификаты Let’s Encrypt в панели ISPmanager
- Установка бесплатного сертификата на хостинг
- Установка SSL-сертификата на сервер
- Через ISPmanager
- Поддерживается ли мультидомен (SAN)?
- Самостоятельное получение бесплатного SSL-сертификата для сайта
- Как настроить переадресацию?
- Другие CMS / Без CMS
- Настройка переадресации для WordPress
- Панели Cpanel и ISPmanager 4
- Как проверить статус выпуска сертификата в панелях cPanel и ISPmanager 4?
- Панель DirectAdmin
- Другие бесплатные SSL‑сертификаты
- Почему стоит выбрать бесплатный SSL от GlobalSign?
- Экономия времени
- Надежная защита
- Широкая поддержка
- Универсальность
- Удобство выпуска
- Простое управление
- Часто задаваемые вопросы
- Ошибка Mixed Content
- Как настроить перенаправление
- Cloudflare
- Как настроить автоматический редирект на HTTPS?
- Редирект на связке Apache+Nginx
- Редирект на чистом Apache
- Для доменов .ru и .рф
- Для доменов кроме .ru и .рф
- Подтверждение по почте
- Подтверждение бесплатного SSL-сертификата через DNS
- Подтверждение бесплатного SSL через HTTP-файл
- Кому подойдут SSL-сертификаты Let’s Encrypt
- Ограничения бесплатных SSL-сертификатов Let’s Encrypt
- Какие типы проверки выполняются?
- Можно ли использовать в коммерческих целях?
- Будет ли сертификат определяться браузерами как доверенный?
- Поддерживаются ли поддомены (wildcard)?
- О сертификатах Let’s Encrypt для сайтов
- Сколько действует сертификат?
- О проекте Let’s Encrypt
- Все ли браузеры поддерживают сертификаты от Let’s Encrypt?
- Могу ли я защитить сертификатом от Let’s Encrypt сразу домен и поддомены?
- Почему сертификаты Let’s Encrypt действуют всего 90 дней?
- Let’s Encrypt генерирует Private Key (закрытый ключ) для моего сертификата на своих серверах?
- Free SSL Space
- Как быстро выпускается?
- Поддерживаются ли национальные домены (IDN)?
- Для чего подходит?
Зачем нужны SSL-сертификаты для сайтов
Веб-сайтам с SSL-сертификатами доверяют производители браузеров, поисковые системы и пользователи.
Не позволяйте браузерам помечать ваши сайты как небезопасные
Если на веб-сайте не установлен SSL-сертификат или срок его действия истек, посетители увидят в браузере сообщение о том, что страница не защищена. Такие сообщения вызывают недоверие к ресурсу.
Чтобы использовать безопасное зашифрованное соединение HTTPS
HTTPS — это протокол для передачи данных между веб-сайтом и компьютерами его посетителей. Данные, передаваемые по протоколу HTTPS, зашифрованы, поэтому злоумышленники не могут их использовать. Сертификат SSL от Let’s Encrypt подтверждает, что веб-сайт использует HTTPS-соединение хорошего качества.
Чтобы лучше ранжироваться в результатах поиска
Google и Яндекс рекомендуют устанавливать SSL-сертификаты для всех сайтов, даже если это небольшой блог или сайт-визитка, не собирающий данные о пользователях. Поисковые службы пессимистично относятся к выдаче сайтов без SSL-сертификата.
Как заказать бесплатный SSL-сертификат из панели управления?
- Перейдите в раздел «Домены и поддомены» и выберите рядом с доменом «Управление SSL-сертификатами».
- В открывшемся окне перейдите на вкладку «Бесплатный сертификат» и нажмите кнопку «Установить».
- После заказа SSL-сертификата вы получите письмо на свой контактный адрес электронной почты о подаче заявки на получение SSL-сертификата, а затем еще одно письмо о завершении установки.
- В момент установки А-запись для домена автоматически изменится, если домен работает на нашем DNS. Если вы не используете наши DNS, вы должны вручную прописать на них IP-адрес, указанный в письме, как A-запись для домена.
Бесплатные сертификаты Let’s Encrypt в панели ISPmanager
ISPmanager — это наша панель управления сайтами, электронной почтой и другими веб-сервисами. С его помощью вы можете легко установить бесплатные SSL-сертификаты Let’s Encrypt. Сертификаты обновляются автоматически.
Установка бесплатного сертификата на хостинг
Установка SSL-сертификата на сервер
Первым делом распаковываем архив с сертификатом и видим, что он состоит из:
- certificate.crt (сертификат);
- private.key (закрытый ключ);
- ca_bundle.crt (промежуточный сертификат).
Этот предмет нужен тем, кто не смог получить его у хозяина и купил у другого продавца. Для этого заходим в раздел «SSL», где выбираем пункт «Установить».
Введите файл в соответствующие поля и завершите установку.
Важно! Если у вас нет опыта работы с интерфейсом хост-компании (некоторые провайдеры не имеют возможности самостоятельно загрузить сертификат в интерфейс), рекомендуется загрузить архив с сертификатом на сервер и написать на поддержка с запросом на установку.
Важно! Сертификат действителен в течение 3 месяцев, после чего его необходимо обновить, снова следуя инструкциям.
Важно! Если сертификат выдан на поддомен, то нужно верифицировать только основной домен (соответственно скачать только 1 файл или установить 1 TXT запись).
Через ISPmanager
Следует перейти в раздел «WWW» — «SSL-сертификаты», затем нажать «Создать».
Выберите «Существующий».
Вносим данные из файлов в обязательные поля и даем имя сертификату.
Важно! Если вы не можете использовать ни первый, ни второй способ, или этого раздела (SSL) нет в админке (как в SprintHost), вы можете загрузить сертификаты на свой сервер и создать тикет к хостинг-провайдеру для установки.
Читайте также: Полное руководство по написанию статьи для сайта: 8 этапов
Поддерживается ли мультидомен (SAN)?
Нет. Сам сертификат поддерживает SAN до 100 различных доменов, но автоматизированный процесс привязки панели исключает такую возможность. Каждый домен должен быть настроен отдельно.
Самостоятельное получение бесплатного SSL-сертификата для сайта
Как настроить переадресацию?
Если вы хотите, чтобы после установки сертификата доступ ко всем страницам вашего сайта был только через HTTPS, вам необходимо включить перенаправление. Мы подготовили инструкцию по настройке редиректов для популярных CMS — нажмите на иконку используемой вами системы и следуйте инструкциям на экране. Если нужной CMS нет в нашем списке, вам может помочь инструкция из раздела «Другие CMS».
Другие CMS / Без CMS
Прежде чем включить перенаправление (автоматическое перенаправление при заходе на сайт с HTTP на HTTPS), необходимо выполнить ряд действий:
- Сделайте резервную копию сайта.
В случае, если что-то пойдет не так и страница сломается, у вас будет возможность откатить все сделанные изменения. - Проверьте правила перенаправления в файле .htaccess.
В нем не должно быть редиректов, ведущих на ссылки с http. Если у вас возникли проблемы с подтверждением — напишите нам, постараемся помочь. Если такого файла в папке сайта нет, этот шаг можно пропустить. - Отключите автоматическое перенаправление плагинов на HTTPS.
Проверьте список установленных плагинов в панели администратора вашего сайта. Если среди них есть модули, связанные с редиректом страниц, их следует отключить. - Включите поддержку HTTPS в панели администратора вашего сайта.
Для разных веб-сайтов могут потребоваться разные настройки (или вообще не нужны), поэтому мы рекомендуем вам уточнить у разработчика вашего веб-сайта информацию о необходимости настройки вашего веб-сайта для работы через HTTPS. - Включите переадресацию.При включении перенаправления через панель управления необходимые настройки будут работать как для статических, так и для динамических данных. При этом при доступе через незащищенное соединение веб-сервер ответит HTTP-кодом 301, и при сканировании вашего сайта поисковыми роботами страницы сайта не исчезнут из результатов поиска.
Нажмите на иконку в разделе «Сайты» панели управления
:В появившемся окне включите опцию «Перенаправление с HTTP на HTTPS»:
После этого в течение пяти минут все изменения вступят в силу и будет активирована переадресация.
Альтернативное перенаправление с файлом .htaccess
Вы можете настроить перенаправления вручную, добавив следующие строки в начало файла .htaccess:
RewriteEngine On RewriteCond %{HTTP:X-Forwarded-Proto} !=https RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} R=301,L
При включенном перенаправлении через .htaccess необходимые настройки будут работать только для динамических данных!
- Очистите кеш сайта.
Как это сделать, рекомендуем уточнять у разработчика. - Проверьте функциональность веб-сайта.
Зайдите на главную, проверьте, как открываются страницы со ссылками, правильно ли отображаются изображения, подгружаются ли стили. Обязательно обратите внимание на значок в адресной строке браузера: он должен сигнализировать о безопасном соединении.
Настройка переадресации для WordPress
Прежде чем включить перенаправление (автоматическое перенаправление при заходе на сайт с HTTP на HTTPS), необходимо выполнить ряд действий:
- Сделайте резервную копию сайта.
В случае, если что-то пойдет не так и страница сломается, у вас будет возможность откатить все сделанные изменения. - Проверьте правила перенаправления в файле .htaccess.
В нем не должно быть редиректов, ведущих на ссылки с http. Если у вас возникли проблемы с подтверждением — напишите нам, постараемся помочь. - Отключите автоматическое перенаправление плагинов на HTTPS.
Проверьте список установленных плагинов в панели администратора вашего сайта. Если среди них есть модули, связанные с редиректом страниц, их следует отключить. - Замените URL в базе данных веб-сайта.Сделайте резервную копию базы данных, которую использует WordPress. Подключаемся по SSH, переходим в директорию с файлами сайта и запускаем WP CLI для замены адресов (необходимо использовать свой домен вместо octopussy.ru):
octopussy@server:~/osjminozhka.rf/public_html 0 $ wp search-replace ‘http://octopussy.ru’ ‘https://octopussy.ru’
Если вы используете IDN-домен (например, octopus.rf), его необходимо указать в punycode:
octopussy@server:~/osjminozhka.rf/public_html0$wp search-replace ‘http://xn--80alfjhhedx4i.xn--p1ai’ ‘https://xn--80alfjhhedx4i.xn--p1ai’
Когда операция будет завершена, WP CLI отобразит информацию о количестве замен в каждой таблице базы данных и сообщит, сколько всего замен было сделано (в нашем примере 20):
Успех: Сделано 20 замен.
- Включите переадресацию.При включении перенаправления через панель управления необходимые настройки будут работать как для статических, так и для динамических данных. При этом при доступе через незащищенное соединение веб-сервер ответит HTTP-кодом 301, и при сканировании вашего сайта поисковыми роботами страницы сайта не исчезнут из результатов поиска.
Нажмите на иконку в разделе «Сайты» панели управления
:В появившемся окне включите опцию «Перенаправление с HTTP на HTTPS»:
После этого в течение пяти минут все изменения вступят в силу и будет активирована переадресация.
Альтернативное перенаправление с файлом .htaccess
Вы можете настроить перенаправления вручную, добавив следующие строки в начало файла .htaccess:
RewriteEngine On RewriteCond %{HTTP:X-Forwarded-Proto} !=https RewriteRule .* https://%{SERVER_NAME}%{REQUEST_URI} R=301,L
При включенном перенаправлении через .htaccess необходимые настройки будут работать только для динамических данных!
- Очистите кеш сайта.
Используйте интерфейс командной строки WP: подключитесь через SSH, перейдите в каталог файлов вашего сайта и введите команду очистки кеша wp.
octopussy@server:~/osjminozhka.rf/public_html0 $wp cache flush Успех: Кэш сброшен.
- Проверьте функциональность веб-сайта.
Зайдите на главную, проверьте, как открываются страницы со ссылками, правильно ли отображаются изображения, подгружаются ли стили. Обязательно обратите внимание на значок в адресной строке браузера: он должен сигнализировать о безопасном соединении.
Панели Cpanel и ISPmanager 4
В панелях управления Cpanel и ISPmanager 4 сертификаты выдаются автоматически, достаточно добавить доменное имя в панель управления, обновить DNS-сервера доменного имени и дождаться выдачи сертификата (обычно в течение 24 часов).
Чаще всего это происходит ночью, проверьте, доступен ли уже ваш сайт по защищенному соединению.
Как проверить статус выпуска сертификата в панелях cPanel и ISPmanager 4?
На главной cPanel в модуле «Безопасность» откройте SSL/TLS. Здесь вы можете создавать, загружать, просматривать, удалять SSL-сертификаты.
В ISPmanager 4 после установки сертификата вы можете увидеть информацию о нем. В левой панели выберите «Сертификаты SSL». Нажмите на сертификат и выберите «Информация» вверху. В выпадающей форме вы можете увидеть все параметры.
Панель DirectAdmin
- Перейдите в подраздел «Настройки домена» с главной страницы панели управления DirectAdmin, нажмите на нужный домен.
- Включите «SSL» и перейдите в раздел «Настройка private_html». Выберите «Использовать символическую ссылку из private_html в public_html — позволяет отображать одни и те же данные через http и https».
- На главной странице панели перейдите в «Сертификаты SSL», выберите «Бесплатный и автоматический сертификат от Let’s Encrypt». Проверьте заполненные поля (особенно субдомены, для которых требуется сертификат).
- Если ошибок нет, появится окно «Сертификат и ключ сохранены» с надписью об успешном подключении сертификата. В течение 10 минут страница будет доступна по защищенному соединению.
Инструкция по подключению сертификата в DirectAdmin
Другие бесплатные SSL‑сертификаты
Среди бесплатных SSL есть два популярных решения: сертификаты от Let’s Encrypt и Cloudflare. Однако при монтаже и дальнейшей работе есть ряд нюансов, которые следует учитывать.
Почему стоит выбрать бесплатный SSL от GlobalSign?
Бесплатный SSL-сертификат от GlobalSign можно получить вместе с доменом или хостингом на год — этого времени должно хватить для старта интернет-проекта, а по мере его роста можно будет перейти на платный тариф. Данные клиентов и другая информация веб-сайта гарантированно защищены, так как решение GlobalSign имеет основные возможности:
Экономия времени
Быстрая и понятная процедура выдачи и установки сертификата.
Надежная защита
Высокий уровень защиты за счет поддержки важнейших современных стандартов безопасности в сети, в частности высокий уровень шифрования — 256 бит.
Широкая поддержка
Поддержка 99% гаджетов, ПО и браузеров — большинство пользовательских устройств распознают SSL-сертификат.
Универсальность
Действие SSL распространяется не только на домен в формате «www.sitename.com», но и на «sitename.com”.
Удобство выпуска
Автоматизация выдачи и продления сертификата, если пакет услуг или хотя бы хостинг в REG.RU.
Простое управление
Штамп удостоверяющего центра (изображение с логотипом удостоверяющего центра, подтверждающее, что сайт верифицирован).
Часто задаваемые вопросы
Ошибка Mixed Content
Смешанный контент или даже смешанный контент — некоторые элементы страницы загружаются не через соединение https://, а через http://.
Веб-сайт с безопасным HTTPS-соединением отображает изображение замка в адресной строке браузера.
Сайт с протоколом HTTP отображается со статусом «Незащищенный». Это происходит, когда контент загружается по незащищенному протоколу с сервера, что влияет на безопасность ресурса, его продвижение в поисковых системах и лояльность пользователей.
Вы можете найти этот контент с помощью консоли разработчика. Щелкните правой кнопкой мыши на боковой панели и выберите в меню «показать код». Появится панель «Инструменты разработчика», затем выберите «Консоль» и посмотрите на сообщение со смешанным содержимым.
Вы можете исправить URL в ссылках с http на https и перепроверить HTML-код. По этой схеме можно проверить все страницы сайта. Но не весь контент можно исправить таким образом, при необходимости привлекать программиста.
Как настроить перенаправление
В панелях DirectAdmin и ISPmanager 6 в разделе «Домены» можно настроить перенаправление с HTTP на HTTPS. Поэтому заходим в «WWW домены» и открываем домен для редактирования.
Установите флажок «Перенаправлять HTTP-запросы на HTTPS». В панели DirectAdmin будет «Принудительно перенаправить на HTTPS».
В остальных панелях нужно использовать код в файле .htaccess, пример ниже.
RewriteEngine On RewriteCond %{HTTPS} скидка RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} R=301,L
Cloudflare
Компания специализируется на защите от DDoS и других ИТ-решениях, включая бесплатный SSL. Сертификаты Cloudflare выдаются на один год, поддерживают защиту IDN и поддоменов. Однако решение не будет работать с некоторыми OC. Также нужно осознавать, что один сертификат выдается сразу на 50 сайтов. Таким образом, сертификат защитит не только ваш домен, но и несколько других, что влечет за собой риски безопасности. Cloudflare также не имеет штампа доверия.
Как настроить автоматический редирект на HTTPS?
Даже если на странице установлен сертификат, посетитель может ввести адрес в браузере через http://…, либо перейти по старой ссылке в поисковике. В этом случае его соединение не будет безопасным и он не будет знать, что сайт использует SSL-сертификат для шифрования передаваемых данных. Чтобы все запросы посетителей шифровались сертификатом, необходимо настроить перенаправление HTTP → HTTPS.
Редирект на связке Apache+Nginx
1. В панели управления ISPmanager перейдите в раздел Домены → WWW-домены, выберите домен с сертификатом и нажмите Изменить.
2. В настройках установите флажок Перенаправлять HTTP-запросы на HTTPS и примените изменения.
3. Готово! Все запросы к сайту теперь проходят через защищенное соединение HTTPS.
Редирект на чистом Apache
Обратите внимание на следующее! Любые изменения в конфигурационном файле Apache вы вносите на свой страх и риск! Описанные ниже настройки будут работать в большинстве случаев, но могут вызвать проблемы в определенных конфигурациях. Доверьтесь экспертам, если вы не уверены в результате вносимых изменений.
1. В панели управления ISPmanager перейдите в раздел Домены → WWW-домены, выберите домен с сертификатом и нажмите Конфигурация.
2. В конце первого блока VirtualHost (перед первой строкой) добавьте следующий код:
RewriteEngine On RewriteCond %{HTTPS} скидка RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
3. Готово! Все запросы к сайту теперь проходят через защищенное соединение HTTPS.
Обратите внимание на следующее! Если на сервере несколько сайтов и вы поставили сертификат на один, то возникнет ошибка. Сайты без сертификата тоже начнут работать по HTTPS, но будут вести на домен с сертификатом. Браузер предупредит вас, что сертификат не соответствует доменному имени. Выход из ситуации — добавить сертификат в каждый домен или перенести страницу с сертификатом на отдельный IP-адрес.
Как настроить безопасное соединение и редиректы, чтобы избежать циклических редиректов, описано в материале нашей энциклопедии.
Для доменов .ru и .рф
Для получения сертификата для доменов .ru, .rf и .by можно использовать первый способ через CloudFlare (подходит и для международных зон).
Прежде всего, перейдите на страницу:
https://www.cloudflare.com/ru-ru/
После регистрации на сайте, нажав кнопку «Зарегистрироваться».
Введите адрес электронной почты и пароль, которые мы будем использовать.
Добавьте сайт с помощью кнопки «Добавить сайт».
Входим в домен.
Выберите бесплатный план.
Ждем проверки DNS.
Мы переходим.
Копируем выданные NS сервера.
Открываем хостинг, где заходим в «Домены» — «Мои домены» и открываем настройки DNS сайта.
Перейти к редактированию NS.
Введите заданные значения и сохраните их.
Приступим к настройкам подключения.
Включаем функцию выдачи бесплатного SSL-сертификата.
Включите функцию автоматического перенаправления с http на https.
Лучше не включать функцию сжатия, если вы не знаете, как работает CMS. Оставьте все флажки пустыми.
Включите функцию Brotli.
Завершаем настройки.
Нажмите «Проверить серверы имен», чтобы проверить систему.
Через несколько часов на почту придет уведомление о подключении, а в личном кабинете вы увидите следующее.
Теперь страница сразу начнет открываться и работать с SSL-сертификатом.
Все готово, теперь продлевать не нужно и страница автоматически всегда будет работать по https.
Для доменов кроме .ru и .рф
Чтобы получить бесплатный SSL-сертификат и перейти на https, вам необходимо посетить сайт https://www.sslforfree.com/, где рекомендуется предварительно зарегистрироваться, нажав «Войти».
Теперь введите адрес сайта (Важно! Если сертификат выдан на поддомен, то необходимо ввести адрес, например poddomen.site.ru) и нажмите «Создать бесплатный SSL-сертификат».
В появившемся окне ZeroSSL выберите «Новый сертификат».
Введите домен, например «seopulses.ru».
Мы выбираем 90 дней.
Важно! Бесплатно только 90 дней!
Оставляем все без изменений и переходим к следующему шагу через кнопку «Следующий шаг».
Теперь нам предлагается 3 способа подтверждения:
- Через почту;
- ДНС;
- Загружает файл HTTP.
Каждый из этих методов указан ниже.
Подтверждение по почте
В этом случае система предложит написать на один из адресов электронной почты:
- админ@
- администратор@
- хостмастер@
- почтмейстер@
- веб-мастер@
В этом случае на указанный адрес электронной почты будет отправлено письмо с кодом, где можно будет подтвердить информацию.
В этом случае лучше всего:
- Подключиться к доменным записям на сервере;
- Подключиться к Яндекс.Коннекту (это бесплатный тариф);
- Mail.ru для бизнеса (есть бесплатный тариф);
- GSuite (от 5,4 доллара за пользователя).
Если указанного email нет среди учетных записей, его необходимо создать, например, в интерфейсе Яндекс.Коннекта это выглядит так:
Отправка письма для подтверждения.
Система показывает, что сообщение отправлено.
Затем вы получите электронное письмо, в котором необходимо скопировать код подтверждения и перейти на страницу подтверждения.
На странице подтверждения введите ключи и нажмите «Далее».
Мы закрываем страницу.
В ZeroSSL мы обновляем статус запроса.
Видим, что все прошло успешно и нажимаем «Установить сертификат».
Загрузите бесплатный SSL-сертификат с помощью кнопки «Скачать сертификат (.zip).
При необходимости можно сказать в разных форматах, например для:
- Апач;
- АМС;
- cPanel
- НГИНКС;
- Убунту;
- И многие другие.
Затем приступаем к установке на сервер.
Важно! Аккаунт может бесплатно иметь до трех доменов с сертификатами.
Подтверждение бесплатного SSL-сертификата через DNS
На этапе выбора подтверждения нажимаем на «DNS», где получаем необходимые данные для ввода.
На следующем шаге мы видим, что система отслеживает записи на предмет подтверждения.
Заходим к хостинг-провайдеру (или другому интерфейсу, где домен был делегирован через NS) и приступаем к редактированию DNS.
Добавляет новую запись TXT.
Вводим данные нам значения.
Важно! Имя содержит запись для поддомена (111.site.ru), необходимо ввести только код, указанный перед доменом.
Важно! Во многих системах интерфейс может быть другим, например, в примере Timeweb ввод TTL не требуется, поэтому мы его опускаем.
Все готово, можно приступать к его установке.
Подтверждение бесплатного SSL через HTTP-файл
Выберите пункт для подтверждения «Загрузка файла HTTP» и загрузите файл.
Система начинает проверку.
Затем заходим в панель управления сервером или FTP-аккаунт, где в корневой папке сайта (обычно public_html) создаем папку «.well-known».
В ней таким же образом создаем еще одну папку «pki-validation».
Скачайте файл, скачанный в самом начале инструкции.
Все готово, подтверждаем информацию (аналогично почте) и получаем сертификат.
Кому подойдут SSL-сертификаты Let’s Encrypt
Бесплатные SSL-сертификаты от Let’s Encrypt подходят для простых информационных сайтов, не собирающих данные пользователей:
- блоги;
- сайты хобби;
Ограничения бесплатных SSL-сертификатов Let’s Encrypt
Давайте зашифруем сертификаты эмитента на уровне DV — с проверкой домена. Это означает, что система проверяет, имеет ли клиент сертификата доступ к доменному имени. С сертификатом DV посетители могут быть уверены, что попали на нужную страницу, а не на поддельный ресурс.
Мы не рекомендуем использовать сертификаты Let’s Encrypt DV для веб-сайтов, которые собирают личные данные и принимают платежи. Сертификат DV контролирует только права на домен. Это не гарантирует, что сайт принадлежит официально действующей организации. Для бизнес-порталов, интернет-магазинов и других коммерческих ресурсов рекомендуем приобретать сертификаты уровня EV или OV. Их также можно приобрести у нас.
Какие типы проверки выполняются?
Только проверка домена (DV, проверка домена). Поддержка проверок OV и EV недоступна и не планируется.
Можно ли использовать в коммерческих целях?
Да, ты можешь. Именно для таких целей и создан сертификат.
Будет ли сертификат определяться браузерами как доверенный?
Да, это будет. Поддерживает большинство современных браузеров. Подробную информацию о совместимости можно найти на официальном форуме поддержки.
Поддерживаются ли поддомены (wildcard)?
Давайте зашифруем сертификаты с поддержкой подстановочных знаков. Такие сертификаты проверяются только через записи DNS.
О сертификатах Let’s Encrypt для сайтов
- Давайте зашифруем сертификаты DV эмитента;
- Один SSL-сертификат защищает домен и поддомены (подстановочный знак);
- Сертификат действителен в течение 90 дней, а затем продлевается. Если вы используете панель управления сайтом ISPmanager, сертификат будет автоматически перевыпущен;
- Let’s Encrypt не гарантирует и не предоставляет компенсацию в случае компрометации сертификата.
Как установить Let’s Encrypt в ISPmanager
Сколько действует сертификат?
Навсегда, если на сервере есть панель управления ISPmanager. Если панели нет, сертификат не продлевается! Почему? Сертификаты Let’s Encrypt выдаются на 3 месяца. Плагин ISPmanager автоматически продлевает сертификат за 7 дней до окончания следующего периода. Если убрать панель, сертификат не будет обновляться по истечении следующих 3 месяцев и больше не будет определяться браузерами — появится перечеркнутый значок HTTPS и предупреждение о небезопасном соединении. В этом случае вам необходимо вручную продлевать сертификат каждые три месяца, либо настроить автоматическое продление самостоятельно с помощью стороннего ПО.
О проекте Let’s Encrypt
Let’s Encrypt — некоммерческий доверенный центр сертификации. Выдает SSL-сертификаты бесплатно. Процесс выпуска полностью автоматизирован.
Проект был создан в 2014 году. Его цель — сделать так, чтобы большинство веб-сайтов могли переключаться на безопасное соединение по протоколу HTTPS. Среди основных спонсоров Let’s Encrypt — ведущие мировые технологические компании: Mozilla, Google Chrome, Cisco, Facebook. Партнерами Let’s Encrypt являются Центр сертификации IdenTrust, Мичиганский университет, Стэнфордская юридическая школа, Linux Foundation.
Основные принципы Let’s Encrypt:
- СоветыВладелец любого домена может бесплатно получить надежный SSL;
- АвтоматизацияLet’s Encrypt автоматически запрашивает, настраивает и обновляет сертификаты;
- БезопасностьGLet Encrypt продвигает передовые методы обеспечения безопасности как на стороне ЦС, так и на стороне веб-сайта.
Все ли браузеры поддерживают сертификаты от Let’s Encrypt?
Сертификаты SSL от Let’s Encrypt являются доверенными для большинства браузеров. Вы можете найти список совместимых браузеров на веб-сайте CA.
Могу ли я защитить сертификатом от Let’s Encrypt сразу домен и поддомены?
Да. Один сертификат может защищать как группу поддоменов, так и все поддомены (шаблонные сертификаты).
Почему сертификаты Let’s Encrypt действуют всего 90 дней?
Согласно Let’s Encrypt, у этого срока действия есть два преимущества:
- Таким образом ЦС ограничивает ущерб от скомпрометированных ключей и неправильно выпущенных сертификатов. Чем меньше времени сертификат используется таким образом, тем меньший ущерб он нанесет.
- 90-дневный срок действия SSL-сертификата способствует автоматическому перевыпуску (данная функция поддерживается ISPmanager) и ускоряет массовый переход на защищенный протокол HTTPS.
Let’s Encrypt рекомендует обновлять сертификаты каждые 60 дней, если это необходимо по какой-либо причине.
Let’s Encrypt генерирует Private Key (закрытый ключ) для моего сертификата на своих серверах?
Нет. Закрытый ключ генерируется только на ваших серверах, а не на сервере центра сертификации Let’s Encrypt.
Free SSL Space
Free SSL Space (freessl.space) — достаточно новый проект, партнерами которого являются один из крупнейших удостоверяющих центров Sectigo CA (ранее Comodo CA), выпускающий эти сертификаты, и крупный продавец платных сертификатов GoGetSSL (gogetssl.com).
Преимущества:
- защита www и основного сайта;
- это SiteSeal;
- уведомления об истечении срока действия сертификата;
- гарантия $10 000 от GoGetSSL;
- поддержка 99,6% устройств (очень высокая совместимость);
- получить сертификат — не более 5 минут;
- различные способы проверки домена (HTTP, CNAME и электронная почта);
- сертификат на 90 дней с неограниченным продлением;
- поддержка ИДН.
Минус:
- нет возможности добавлять поддомены, для каждого из них нужно заказывать свой сертификат.
Как быстро выпускается?
Сертификат Let’s Encrypt выдается и начинает работать в течение нескольких минут. Главное условие — домен, к которому привязан сертификат, должен быть делегирован. Проверить это просто: введите доменное имя сайта в адресной строке браузера и нажмите Enter. Если вы видите свой сайт, все в порядке — можно приступать к получению сертификата.
Поддерживаются ли национальные домены (IDN)?
Сертификаты Let’s Encrypt поддерживают IDN — доменные имена, в которых используются символы национальных алфавитов. Вы можете использовать сертификат для кириллических доменов типа mysite.rf.
Для чего подходит?
Сертификаты Let’s Encrypt подходят для защиты веб-сайтов. Сертификат нельзя использовать для подписи кода и шифрования электронной почты.