Обновлено: запись потеряла актуальность. Читайте о том, как установить бесплатный SSL-сертификат Let’s Encrypt.
Год назад я перевёл на HTTPS свой WordPress-блог, воспользовавшись возможностью получения SSL-сертификата от StartSSL, компании, одной из первых предложившей владельцам сайтов бесплатные сертификаты.
Получение и установка сертификата StartSSL было тем ещё квестом, который невозможно было бы пройти без дополнительных источников информации с инструкциями. По этой причине я с неохотой ждал окончания годового периода действия сертификата.
Обновлено в марте 2017: с версии 57 Google Chrome перестал доверять и тем сертификатам, что были выданы до октября 2016 года, в том числе и мой был помечен недействительным. Перешёл на Let’s Encrypt за несколько минут с помощью плагина WP Encrypt. Похоже, среди бесплатных решений конкурентов у LE не осталось.
Сертификат умер. Да здравствует новый сертификат!
На днях пришло письмо о том, что к 17 сентября срок действия моего первого сертификата истечёт, поэтому пришлось снова лезть в дебри сайта StartSSL. Мало того, что дизайн изменился, почему-то сбросились все валидации, пришлось снова устанавливать авторизационный сертификат в браузер, и так далее.
Намучившись, решил поискать альтернативу и наткнулся где-то на Хабре на информацию о том, что китайская компания WoSign с каких-то пор начала выдавать бесплатные SSL-сертификаты сроком аж на три года. Перешёл по ссылке и буквально за пятнадцать-двадцать минут обновил сертификат на домен Budaev.org, добавив к нему один поддомен и Master2u.ru.
Можно было подключить и больше. Бесплатный сертификат от WoSign позволяет подписать до 20 доменов, что для обычного вебмастера вполне себе замена платного сертификата с WildCard (на неограниченное количество доменов). Конечно, существуют кой-какие технические ограничения типа отсутствия поддержки старых версий IE или такого же старого встроенного браузера Android, да и сертификат выдаётся только базового, первого класса, но для простого сайта или блога это несущественно.
Как получить бесплатный трёхлетний SSL-сертификат WoSign?
Для начала нужно перейти на сайт WoSign, в разделе «Request a Free SSL Certificate» вписать домены (по одному в строчке, до двадцати штук), указать Email, придумать пароль и заполнить капчу.
После этого следует пройти процедуру валидации почты и доменов (для этого не забудьте завести на них «стандартные» почтовые ящики типа webmaster@example.com), получить и ввести коды подтверждения.
Дальше, если всё в порядке, вам будет предложено создать сертификат. Для пущего упрощения процесса в появившемся диалоговом меню нужно выбрать верхний пункт «Generate CSR by the System», ввести сложный пароль от 12 до 16 символов со строчными и прописными буквами и цифрами, затем нажать кнопку Submit.
Готово. Через час-другой придёт письмо со ссылкой на страницу скачивания файлов сертификата одним архивом, в котором будут ключи и сертификаты для выбранных доменов. Архив защищён тем же сложным паролем, что вы ввели ранее, так что запомните или запишите его.
В полученном архиве нас интересует подпапка с названием нужного сервера — в моём случае это «for Apache». Заранее разархивируйте её и приготовьтесь к установке на сервер.
Как установить SSL-сертификат на сервер Apache с хостинг-панелью cPanel?
У меня на клёвом хостинге Fozzy сервер вообще-то не Apache, а «сверхбыстрый» LiteSpeed, но не суть важно. Установка через cPanel аналогичная.
- В главном меню cPanel нужно выбрать пункт «SSL/TLS», перейти по ссылке «Создать, просмотреть, отправить или удалить закрытые ключи», найти кнопку «Выберите файл .key», залить из заранее разархивированной папки с файлами сертификата для Apache файл с расширением .key. Ключ установится и появится в списке установленных ключей.
- Снова перейти в меню «SSL/TLS» и кликнуть по ссылке «Создать, просмотреть, отправить или удалить сертификаты SSL». Аналогично установке ключа заливается и устанавливается сертификат из файла с расширением .crt. Если всё прошло успешно, информация об установленных на сервере сертификатах вверху страницы обновится.
- Опять перейти в верхнее меню и выбрать там ссылку «Управление сайтами с SSL», затем в выпадающем меню выбрать домен, для которого устанавливается сертификат, нажать появившуюся кнопку «Автозаполнение доменом» (автоматически должны появиться данные во всех окошках для заполнения), и кнопку «Установить сертификат».
Не забудьте повторить операцию для каждого домена и поддомена, к которым был выписан сертификат. На этом всё, можно тестировать свой HTTPS-сайт, приступать к настройке файлов .htaccess, устанавливать плагины для облегчения переадресации и так далее. А потом забыть об SSL-сертификатах на целых три года. По-моему, отлично.
P.S. Для тех, кто не понимает, зачем нужен переход на HTTPS:
https://twitter.com/koenrh/status/773148422304129025
Официально: с 1 января 2017 года браузер Google Chrome начнёт маркировать HTTP-сайты как небезопасные. В общем, не захочешь перейти на HTTPS — заставят.
Лафа закончилась.
===
Sorry, due to some security consideration,
WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
You can visit https://www.startssl.com to get a Free SSL Certificate.
===
Ну написано временно, возможно, со временем снова откроют бесплатный тариф…
WoSign и StartSSL одна и та же компания . Они порядно накосячили выдавая сертификаты на все домены, при проверке лишь одного. Не советую использовать ни Восинг не StartSSL. Это плохая практика. Долой мерзацев из ROOT CA браузеров! Есть лучшая альтернатива Let’s Encrypt https://letsencrypt.org/
PS:»P-P-P-Party at the NSA,
Twenty, twenty, twenty-four hours a day!»
Да, вы правы, сейчас почитал о недавнем расследовании и о том, что сертификаты от WoSign и StartSSL оскандалились и скоро перестанут считаться безопасными в Firefox и Google Chrome. Поторопился я радоваться удобству установки и бесплатному трёхлетнему периоду!
Алексей, если что — у нас есть недорогие сертификаты для блогов. Обращайтесь на https://1ssl.by ;)
Нашёл на вашем сайте только цены в белорусских рублях и вообще, ваши услуги, судя по всему, ориентированы только на внутренний рынок. Комментарий оставили ради неиндексируемой ссылки? И почему продаёте сертификаты от COMODO, а сайт работает на бесплатном Let’s Encrypt?
Да решили они бабла срубить перепродавая сертификаты от комодо
ну вот — на дворе 14 февраля 2017 года и google chrome ничего плохого не говорит про мои сайты без ssl … Хватит наводить панику ! :)
Про ваши сайты может (пока) и не говорит. А про некоторые другие (и их наверняка очень много) — говорит.
Вы не прочитали текст по ссылке-пруфу того, что Хром будет помечать «незащищёнными» сайты без HTTPS? Там написано буквально:
«Мы начнём помечать HTTP-страницы, которые собирают пароли или данные банковских карт как небезопасные, и это станет этапом долгосрочных планов помечать ВСЕ HTTP САЙТЫ как небезопасные».
Подскажите, существует ли сейчас возможность бесплатного получения сертификата для сайт?
Существует, на три месяца. Let’s Encrypt — Free SSL/TLS Certificates https://letsencrypt.org/
Sorry, due to some security consideration,
WoSign decide to close the free SSL certificate application temporarily. Sept. 29th 2016.
К сожалению, из — за некоторого рассмотрения безопасности,
WoSign решили закрыть бесплатное приложение сертификата SSL временно. 29 сентября 2016.
Макс, мне интересно, вы читали, что выше в комментариях написано, что под заголовком и в красном прямоугольнике в самой записи указано? Цитирую:
«Обновлено: запись потеряла актуальность. Читайте о том, как установить бесплатный SSL-сертификат Let’s Encrypt».
Есть альтернативна для WoSign и StartSSL — либо Let’s Encrypt либо CloudFlare как описано здесь: https://ardua.ru/cyrillic-ssl
Статья подробная (даже слишком подробная, на мой взгляд), спасибо за ссылку, но ведь CloudFlare не является полноценным решением в плане передачи данных между сервером с сайтом и серверами CloudFlare. Насколько я понимаю, соединение можно считать полностью безопасным, если контент доставляется в HTTPS от сервера до браузера посетителя, а тут немного не так — от сервера до облака данные идут по HTTP, и потом отдаются посетителю в сжатом и кэшированном виде под HTTPS. Сервис всё-таки в первую очередь CDN, и в наших краях (Сибирь) CDN практически бесполезный.
Что касается специфики статьи — не перестаю удивляться, зачем люди продолжают регистрировать идиотские доменные имена вида «электрогенераторы.рус» и потом мучаются с ними?
У CloudFlare есть несколько схем:
1 HTTP — CLOUDFLARE — HTTPS
2 HTTPS — CLOUDFLARE — HTTPS
Так что с безопасностью все решено. Во втором случае SSL сертификат может быть самоподписанным. Или валидным от авторитетного сертификационного ресурса.
А по поводу IDN доменов. думаю это делают для лендингов.
Какой смысл заморачиваться с самоподписанным сертификатом, чтобы «обезопасить» схему с CloudFlare, если можно установить полноценный сертификат Let’s Encrypt практически на любой сервер без прослойки в виде CDN, IP адреса которой периодически попадают в реестр РКН, а количество хостинг-провайдеров, поддерживающих LE, растёт с каждым днём?
Ну это вопрос не ко мне) Спрос рождает предложение.
Кстати про задержки CDN в Сибири. Какие они?
Цифры не помню. Сравнивал долго, пользовался месяцами на разных хостингах и CMS. Отключал-переключал, ждал распространения DNS, проверял снова и снова, и понял, что чаще всего разницы в скорости загрузки сайта (к примеру, расположенного физически в США — когда-то был клиентом Host4Geeks) и «оптимизированного» с помощью бесплатного решения CloudFlare вообще никакой нет. Что касается сайтов, расположенных в России, то в моей практике они быстрее грузятся без CF, чем с ним.
Более того, мне никогда не удавалось получить отдачу статики при недоступном сайте — CloudFlare тупо показывал ошибку, типа, сеть клиента в порядке, облачный сервис в порядке, а источник вырублен. Так же плохо работали функции сокращения и оптимизации кода — во фронтенде какого-нибудь WordPress-сайта обязательно вылезали косяки.
Единственный и сомнительный плюс — снижение нагрузки на хостинг, но для малопосещаемых сайтов это вообще не аргумент.
Нужны