Как получить бесплатный ssl-сертификат для сайта

Еще раз о важности SSL

Даже если пользователи ничего не покупают на незащищённом сайте, они могут стать жертвами злоумышленников. Например, когда мошенники подменят оригинальный контент сайта и добавят вместо него стороннюю рекламу. Или украдут cookie-файлы посетителей и используют эту информацию для насаждения таргетированной рекламы. 

Подавляющее большинство сайтов, которые индексируются Google, уже работают по HTTPS (93% на декабрь 2019 года). Кибербезопасность — это тренд, который не стоит обходить стороной владельцам бизнеса. Позаботившись о настройке SSL-сертификата, вы получите надёжный сайт и защитите клиентов, а также повысите лояльность к бренду.

Говорим об SSL-сертификатах с экспертом RU-CENTER Георгием Казаровым на нашем YouTube-канале.

Способы, как получить сертификат SSL

Разными хостинг-компаниями сейчас могут предлагаться отдельные услуги с неодинаковыми условиями, но получить сертификат SSL можно тремя путями.

Владельцы сайтов и вебмастера пользуются такими вариантами:

Самостоятельные действия. Этот способ целесообразнее задействовать при экспериментах, проводимых внутри ресурсов корпорации. Отдельным коммерческим сайтам, серьёзным бизнес-проектам и крупным порталам данный метод совсем неприемлемый. Нужно отказываться от него.

Получать бесплатный SSL-сертификат. Когда выполняется автоматическая установка, выходит некоторая экономия. Но здесь главный момент заключён в обеспечении невысокого уровня безопасности. Для сайтов это создаёт немалый риск.

Купить сертификат SSL. Это всестороннее обеспечение поддержки и вариантных гарантий. Подходит каждому web-сайту, онлайн-магазинам, платёжным сервисам и прочим проектам.

Бесплатные сертификаты

Самоподписанные сертификаты

Самоподписанный (самоизданный, самозаверенный, self-signed) сертификат — тот, который вы сами создали для своего домена или IP-адреса. Многим владельцам сайтов может показаться, что это идеальный вариант:

• Бесплатно.
• Доступно. Такой SSL-сертификат может создать любой владелец домена.
• Без обращения к поставщикам услуг. Не нужно ждать ответа от центра сертификации.
• Быстро. Но только если вы знаете, что делать и как пользоваться специальными программами или библиотеками. Например, для Windows можно воспользоваться криптографическим хранилищем OpenSSL или консолью PowerShell. 
• Можно создать сколько угодно сертификатов.

Вам уже кажется, что выбор сделан и читать дальше нет смысла? Всё не совсем так.

Минусы

• Нет надёжной защиты. Браузеры не доверяют таким сертификатам, потому что заверяют их не специальные центры, а неизвестный им человек или юрлицо. 
• Есть риск потерять данные. Причём как пользователей, так и ваши, с сайта компании.
• Отпугивает посетителей сайта. Пользователи, заходя на страницу с самоподписанным сертификатом, видят предупреждение о небезопасности: в результате количество посетителей сайта, готовых совершать на нем действия, снижается. Мало ли что — вдруг сайт мошеннический.
• Возможные ошибки в оформлении и отображении сертификата, если он был создан неправильно.

Если вам нужно провести тесты на внутренних ресурсах компании, а заморачиваться с доверенными сертификатами не хочется, можно сделать самоизданный SSL-сертификат. Но и здесь вы рискуете: если у вас крупная компания, понадобится много труда и времени, чтобы наладить работу и объяснить всем сотрудникам, что делать с этим страшным предупреждением об опасности. В целом же, на практике использовать такой сертификат точно не стоит.

Бесплатные доверенные сертификаты

Такие SSL-сертификаты можно оформить довольно быстро. Часто ими пользуются стартапы, чтобы понять, что вообще такое SSL и как это работает. Бывают только одного вида — DV SSL (Domain Validation). Это сертификаты, удостоверяющие доменное имя. 

Плюсы

• Быстро. Такой сертификат могут выдать вам уже через несколько минут. Всё потому, что тип такого сертификата — DV (Domain Validation) SSL и для его оформления нужно только подтверждение владения доменом, как и у платных DV.
• Просто получать и устанавливать.
• Отлично подойдёт для теста с возможностью сэкономить в первые несколько месяцев.
• Известные компании-поставщики. Те же Let’s Encrypt на рынке с 2012 года и поддерживаются Google, Facebook и другими крупными корпорациями.

Минусы

• Небольшой срок действия. Например, сертификаты Let`s Encrypt необходимо перевыпускать каждые 3 месяца.
• Сложности с продлением. Хостеры автоматически продлевают некоторые бесплатные сертификаты. Но здесь бывают проблемы. Перед выпуском сертификационный центр обращается к сайту за специальным файлом. Иногда он в системе не обнаруживается: не было места на диске и файл не записался, во время проверки почему-то закрылся доступ к сайту и пр. Итог один — сертификат не обновляется, а вы даже не узнаете об этом, если не решите вдруг проверить срок действия вручную.
• Отсутствие поддержки. Для корректной работы SSL-сертификата важна грамотная полноценная поддержка (по телефону, по email, в чатах). Она недоступна для бесплатных SSL. На официальных сайтах удостоверяющих центров, как правило, размещены ответы на часто задаваемые вопросы, которые в основном описывают общие случаи и могут быть бесполезны для решения конкретной проблемы. Также есть неофициальная информация на тематических форумах, но среди неё ещё надо найти нужную.
• Есть вероятность не заметить, что сертификат не работает. Как мы писали выше, посмотреть сроки действия сертификата можно вручную. Есть и другой способ: проверять даты с помощью специального скрипта, который не так просто создать. Поддержки нет. Если не проверять сроки, можно пропустить время продления, и сертификаты будут аннулированы. В безопасности сайта появятся дыры, посетители, увидев уведомление о ненадёжности сайта, станут покидать сайт и трафик снизится.

В 2017 году кредитное бюро Equifax сообщило о масштабном взломе: хакеры украли данные 143 млн человек — почти половины населения США. Это произошло отчасти из-за истечения срока действия сертификата, который был неактивным в течение 19 месяцев.

Как получить SSL сертификат бесплатно и зачем он нужен: что стоит запомнить

SSL сертификат — это инструмент, который переключает ваш сайт в защищенный режим https. Благодаря ему все данные, которыми вы обмениваетесь с пользователями, будут надежно зашифрованы, а ключ к расшифровке будет только у вас.

Благодаря SSL сертификату:

• злоумышленники не смогут воспользоваться данными пользователей;
• люди будут больше доверять сайту, видя замочек в адресной строке;
• есть шанс подняться в поисковой выдаче.

Сертификаты бывают трех уровней:

• DV — для подтверждения домена. Обычно только этот уровень можно получить бесплатно.
• OV — для подтверждения домена и компании-владельца.
• EV — для расширенного подтверждения домена и компании-владельца.

Бесплатный SSL сертификат уровня DV выдают несколько сервисов:

• Let’s Encrypt — на 90 дней, можно получить на несколько доменов.
• Free SSL Space — на 90 дней, можно получить на несколько доменов.
• ZeroSSL — на 90 дней, только один домен в сертификате.
• CloudFlare — бессрочно, в один сертификат можно внести много доменов и субдоменов, не нужно устанавливать сертификат на свой сайт.

Также можно обзавестись SSL в качестве бонуса, когда вы покупаете услуги хостинг-провайдера или доменное имя.

Как выбрать сертификат для сайта

Чтобы выбрать SSL-сертификат, достаточно сравнить его возможности с другими пакетными вариантами. Самый доступный вариант получения электронной подписи — установка бесплатного сертификата, но такой вариант имеет ряд ограничений и подойдет далеко не всем.

Для коммерческих сайтов следует выбирать SSL-сертификаты с проверкой владельца (OV). Популярным или представительским ресурсам, которым особенно важна репутация, рекомендуется обеспечить полное шифрование данных, включая внутренние страницы. Для этого отлично подойдет SSL-сертификат типа Wildcard.

На основании имеющейся информации выбрать бесплатный или платный сертификат для сайта довольно просто — он должен соответствовать индивидуальным требованиям к безопасности и обеспечивать для пользователей надежное шифрование личных данных.

Какие бывают SSL сертификаты

Есть разные виды SSL сертификатов. Они могут отличаться по количеству доменов и субдоменов, для которых они могут использоваться. Например, мультидоменные сертификаты могут защищать два, три или пять доменов. Сертификат с опцией wildcard распространяется на все субдомены указанного в сертификате домена.

Также сертификаты различаются по тому, как именно сайт будет проверяться. Тут есть три варианта:

И, наконец, есть несколько доверенных центров, которые выпускают сертификаты — например, Thawte, Sectigo, Geotrust, GlobalSign и другие. Их продукты отличаются уровнем защиты и различными дополнительными функциями.

Шаг 2. Получаем SSL-сертификат

Certbot предоставляет несколько способов получения SSL-сертификатов при помощи разных плагинов. В отличие от плагина для Apache, который описан в другом руководстве, большинство плагинов помогут вам только получить сертификат, который придётся настроить на вашем сервере вручную. Плагины, которые позволяют только получать сертификаты и не устанавливают их, называются «аутентификаторами», так как они используются для подтверждения подлинности сервера, которому сертификат выдаётся.

Давайте разберёмся, как использовать плагин Webroot для получения SSL-сертификата.

Использование плагина Webroot

Алгоритм работы Webroot включает в себя создание специального файла в директории . Она размещается в корневом каталоге веб-сервера (document root) и может быть открыта сервисом Let’s Encrypt для проверки. В зависимости от ваших настроек, вам может понадобиться явно разрешить доступ к папке .

Если вы ещё не установили Nginx, сделайте это, следуя руководству по установке Nginx на Ubuntu 16.04.

Чтобы убедиться в том, что папка доступна сервису Let’s Encrypt, внесем небольшие изменения в конфигурацию Nginx. По умолчанию файл конфигурации находится в папке . Мы будем использовать редактор Nano для внесения изменений:

Внутри блока добавьте такой блок :

Вам также стоит посмотреть, где расположен корневой каталог веб-сервера (document root), так как этот путь необходим при работе с Webroot. Если вы используете стандартный файл конфигурации, она будет расположена в .

Сохраните и закройте файл.

Проверьте вашу конфигурацию на синтаксические ошибки:

Если ошибок нет, перезапустите Nginx, используя эту команду:

Теперь, когда мы знаем , можно выполнить запрос на получение SSL-сертификата. При помощи ключа указываются доменные имена. Если вы хотите использовать единый сертификат для нескольких доменных имен (например, и ), не забудьте добавить их все. Также убедитесь, что вы заменили значения и доменные имена на соответствующие вашим:

Если это первый запуск Certbot, вам будет предложено ввести адрес электронной почты и подтвердить согласие с правилами использования сервиса. После этого вы увидите сообщение об успешном завершении и путь, куда были сохранены ваши сертификаты:

Обратите внимание, что путь к сертификату и дата истечения срока его использования указаны в начале сообщения

Файлы сертификата

После получения сертификата у вас должны появиться следующие файлы в PEM-кодировке:

• cert.pem — сертификат вашего доменного имени;
• chain.pem —  Let’s Encrypt;
• fullchain.pem — объединённые и ;
• privkey.pem — приватный (секретный) ключ вашего сертификата.

Важно запомнить расположение этих файлов, так как они будут использоваться в конфигурации вашего сервера. Сами файлы расположены в папке

Однако Certbot создает симлинки на наиболее актуальные файлы сертификата в папке . Так как символьные ссылки указывают на наиболее актуальные файлы сертификата, именно этот путь лучше использовать при обращении к ним.

Вы можете проверить существование файлов, используя такую команду (подставьте ваше доменное имя):

Результатом выполнения команды должны быть указанные выше файлы сертификата. Теперь вы можете настроить ваш сервер так, чтобы использовался в качестве файла сертификата, а  в качестве ключа сертификата.

Генерация ключа по алгоритму Диффи-Хеллмана

Для повышения безопасности вам необходимо сгенерировать ключ по алгоритму Диффи-Хеллмана. Для генерации ключа длиной 2048 бит используйте такую команду:

Процесс может занять несколько минут.

Важные технические детали при работе с бесплатным HTTPS

Посмотреть доступность бесплатного HTTPS можно в списке веб-сайтов в личном кабинете на странице «полный список функций».
Если HTTPS доступен (удалось получить для вас бесплатный SSL и наш веб-север поддерживает его работу), рядом с сайтом
будет отображен соответствующий знак +HTTPS!.

Мы выписываем бесплатный SSL для сайта автоматически при появлении возможности проверить домен (он должен работать),
примерно в течение суток.

• Учитывая негарантированный характер услуги, мы рекомендуем не делать безусловной
  переадресации с HTTP на HTTPS для всего сайта. В случае проблем с бесплатным HTTPS сайт перестанет работать.
  Это очень маловероятно, но это к сожалению возможно.
  * когда мы убедимся в том, что бесплатный HTTPS от LetsEncrypt будет работать всегда, мы обновим совет.

• Для того, чтобы ваши посетители и поисковые системы узнали про HTTPS, мы сделали
  специальную страницу в личном кабинете, которая позволяет настроить переадресацию на HTTPS. Эта переадресация будет
  работать только в том случае, если мы знаем, что HTTPS для вашего сайта работает. Также мы в этом случае мы сформируем
  подходящий HSTS заголовок.
  Если по каким-то причинам бесплатный HTTPS для вашего сайта работать перестанет, мы сами уберем переадресацию.
  * когда мы убедимся в том, что бесплатный HTTPS от LetsEncrypt будет работать всегда, мы обновим совет.

• Если у вас есть опасения, что поддержка HTTPS «без гарантии» может помешать работе вашего ресурса,
  включать переадресацию на HTTPS для всех посетителей сайта не следует! Это не мешает опытным пользователям и администраторам
  сайта пользоваться HTTPS, если это необходимо.

• Убедитесь в том, что ваш сайт хорошо работает по протоколу HTTPS. Для этого лучше использовать
  только относительные ссылки. Если необходимо формировать абсолютные ссылки (необходимо очень редко, но случаи такие есть),
  анализируйте текущий протокол (см. ниже).

• Проверить текущий протокол в скриптах вашего сайта можно с помощью серверных переменных HTTPS (будет on)
  и HTTP_X_FORWARDED_PROTO (будет https). Это стандартные переменные, если вы используете какой-то готовый портал типа Joomla,
  Wordpress или 1С-Битрикс, определение протокола для внутренних нужд будет происходить корректно.
  Для серверов, отличных от Apache LAMP — сам HTTP заголовок с индикацией называется X-Forwarded-Proto.

• Для получения бесплатного сертификата производится проверка принадлежности ресурса с помощью процедуры от
  LetsEncrypt. Процедура имеет определенные технические требования, которые к тому же иногда меняются, а также содержит в себе известные
  ошибки и/или особенности работы. Мы постоянно следим за ситуацией и адаптируем нашу систему под эти требования и нюансы, но есть случаи, которые
  часто ставят работу бесплатного сертификата под угрозу.
   Если ваш ресурс использует сложные сетевые технологии в работе, такие как проксирование (CloudFlare, защита от DDoS, объединение сайтов
  на виртуальных адресах, и т.д.), или безусловные редиректы без оценки ситуации, или какие-то жесткие блокировки «непонятных запросов»,
  которые мы не сможем обойти, проверка может не проходить и сертификат выписываться или обновляться не будет. В этом случае обратитесь в поддержку
  за советами.

Платные SSL сертификаты для сайта

Для того чтобы лучше понять что почём давайте сравним цены на SSL сертификат с валидацией домена на 1 год у разных компаний.

Регистратор доменных имен REG.RU предлагает нам приобрести SSL сертификат за 1499 рублей. То есть если ваш домен заказан у данного регистратора, то вы можете воспользоваться акцией и получить его бесплатно. Если же вы заказывали домен не у них, то для вас покупка такого сертификата обойдется в 1499 рублей в год.

EMAROSSL.ru предлагает нам SSL-сертификаты для одного домена от 621 рубля в год, что значительно дешевле чем на REG.RU.

А на firstssl.ru вы можете приобрести такой сертификат за 470 рублей в год, но при условии, если вы оплачиваете сразу за три года. Если же вы будете оплачивать за один год, то стоимость выйдет 564 рубля.

Итак, как видите, цены отличаются, но перед тем как вы определитесь, у кого же покупать этот сертификат я бы вам советовала посмотреть на сайте вашего хостинга, чтобы узнать предоставляют ли они услугу выдачи SSL-сертификатов, и сколько она будет стоить у них.

Например, на хостинге, который использую я, Link-Host.net сертификат от компании Comodo сроком на один год стоит 5,85$, что по текущему курсу составляет 378 рублей.

То есть, для меня это самый дешевый и самый удобный вариант. Потому, что покупая такой сертификат у своего хостинга, вы можете рассчитывать на то, что их техподдержка может вам помочь с установкой данного сертификата на ваш сайт.

В заключении

Нетрудно увидеть, что каждый недостаток бесплатных сертификатов SSL весьма существенный и их количество превышает число положительных моментов. Когда нужно сделать тестовую проверку новой площадки либо сначала разработки сайта следует сэкономить деньги, можно получать бесплатный SSL-сертификат.

Конечно, запуск коммерческого ресурса или онлайн-магазина должен проходить с получением платного сертификата SSL. Нельзя тут рисковать прибылью, уровнем трафика и безопасностью клиентов.

Нельзя забывать, что покупать SSL-сертификат для сайта нужно у регистраторов или хостинг-провайдеров.

Иногда криптографический протокол безопасности включается в набор из хостинга и домена. Так получается экономить.

Получение бесплатного SSL сертификата

Я буду рассказывать на примере своего хостинга, который позволяет получать бесплатные SSL сертификаты на уровне модуля Lets Encrypt и ISPmanager 5. Итак для получения сертификата нам необходимо открыть “WWW домены” и выбрать там необходимый домен, либо это аналогично делается при добавлении нового домена. Как добавить домен в ISP панель я писал, но главное что там есть пункт, отметить который для получения SSL сертификата необходимо: Защищенное соединение (SSL) и Перенаправлять HTTP-запросы в HTTPS.

Что мы делаем, когда отмечаем эти пункты? Во первых указываем, что будем использовать https протокол для сайта, во вторых делаем перенаправление всех запросов с обычного http протокола на https протокол. Когда мы отметили эти пункты появляется окно выбора SSL сертификата, здесь у вас есть выбор:

– Новый самоподписанный сертификат (не даст защиты)
– Купленный вами или установленный уже сертификат
– Lets Encrypt сертификат, который в следующем шаге вам придётся оформить и получить

Что такое SSL-сертификат

SSL-сертификат — разрешение на использование защищенного протокола https. Его можно получить у независимых организаций, которые специализируются на сертификации сайтов. Обычно стоимость такой работы может варьироваться от 10-15 долларов до нескольких тысяч. Более подробно о SSL можно прочитать на википедии, я же ограничусь краткой характеристикой.

SSL или Secure Sockets Layer позволяет использовать шифрование при обмене данными между компьютером пользователя и сервером. Говоря простым языком: доступ к информации есть только у участников обмена — компьютера и сайта. Третьи лица не смогут получить данные как бы они не пытались.

Защищенное соединение рекомендовано к использованию поисковыми системами и антивирусными приложениями. Например, Аваст и Касперский могут уведомлять пользователей о том, что сайт, на который они переходят, не использует защищенное соединение. Точно о том же уведомляют некоторые браузеры, такие как Яндекс.Браузер и Google Chrome.

Сейчас поисковые системы лояльнее относятся к сайтам, на которых используется SSL. Это спорное утверждение, которое опровергается самими поисковиками. Но некоторые вебмастера замечают, что трафик при переходе на https многократно возрастает. От себя дополню, что на посещаемость могут влиять поведенческие факторы. Пользователи больше доверяют сайтам с защищенным шифрованием.

Примечание:
Касаемо влияния на SEO: опровергают эту информацию только Яндекс. Гугл прямо заявил, что наличие защищенного соединения положительно влияет на ранжирование.

Почему https лучше, чем http

Из предыдущего смыслового блока вы могли понять почему. Однако, я думаю, что надо подвести кое-какие итоги. Причины, почему https лучше, чем http:

• https лучше ранжируется в Гугле
• Данные ваших пользователей в безопасности
• Вам больше доверяют, причем не только сами пользователи, но и антивирусное ПО, браузеры
• Улучшенные поведенческие факторы и кликабельность в поисковой выдаче
• Возможность установить SSL-сертификат совершенно бесплатно

Как видите, причин не так много. Но они очень весомые. Вы же хотите, чтобы в том же Гугле ваш сайт получал более высокие позиции? Трафик на дороге не валяется, поэтому лучше, все-таки, установить сертификат. Лишним уж точно не будет. Тем более это можно сделать бесплатно.

Загрузка необходимых файлов на веб-сервер

Услуги 1cloud

Лучшие цены на SSL-сертификаты (от 550 руб.)

• Все доверенные центры сертификации
• Большой выбор сертификатов
• Пошаговые инструкции по выпуску и установке

Сначала следует загрузить файлы .ca и .crt на веб-сервер из панели 1cloud. Если ваш сервер не имеет графического окружения рабочего стола, вы можете загрузить эти файлы на другой компьютер, а затем перенести их одним из описанных ниже способов.

Примечание: данный пример подразумевает, что необходимая для работы пара закрытый/открытый ключ была сгенерирована на том же веб-сервере, на который вы будете переносить приобретенный сертификат. Если вы создавали ключи на другой машине, вам необходимо также перенести файл закрытого ключа .key на ваш веб-сервер по аналогии с описанной ниже процедурой копирования файлов сертификатов.

Перенос сертификатов с компьютера Linux/Mac OS:

Самый простой способ загрузки сертификатов на сервер — опция SCP, встроенная в возможность терминала вашего компьютера:

1. Скачайте файлы .CA и .CRT из панели управления 1cloud на локальный компьютер.
2. Откройте терминал и перейдите в папку, в которую вы сохранили сертификаты (напр., Downloads):
   Скопируйте сертификаты вашего сайта и Центра Сертификации на веб-сервер:Где:scp — команда копирования файловmydomain.ru_crt.crt — имя загруженного из панели файла сертификата вашего веб-сайтаmydomain.ru_ca.crt — имя загруженного из панели файла сертификата Центра Авторизацииuser — имя вашего пользователя для подключения к серверу через ssh (часто используется root)111.125.212.121 — IP-адрес вашего веб-сервера/etc/ssl — директория на удаленном сервере, в которую в хотите сохранить загружаемые файлы.

Перенос сертификатов с компьютера Windows:

1. Установите программу WinSCP. Скачать ее можно здесь.
2. Запустите WinSCP. В открывшемся окне введите данные, которые  вы используете для подключени я к вашему серверу по SSH.
   В левой части окна программы отображаются файлы на локальном компьютере, в правой — на подключенном удаленном сервере. Выберите или создайте директорию, в которую вы хотите сохранить сертификаты, в правой части окна. Перетащите файлы .CA и .CRT в эту директорию из левой части окна.

Примечение: для удобства вы можете перенести файл закрытого ключа (.key) в ту же директорию, в которую вы скопировали файлы сертификатов. Вы можете не делать этого, но таком случае запомните путь до этого файла и в дальнейшем укажите его в файле конфигурации Apache вместо пути, приведеленного в нашем примере.

Если закрытый ключ .key был сгенерирован непосредственно на сервере, то для его копирования в другую директорию вы можете использовать команду:Где:cp — команда копирования/home/root/ — путь до файла ключаprivate.key — имя файла ключа/etc/ssl/private.key — путь, по которому необходимо скопировать файл ключа

Удалить файл ключа из старого расположения вы можете с помощью команды:(синтаксис команды аналогичен предыдущему примеру)