1. Поточна обстановка
2. Чи варто переходити на HTTPS?
3. З чого почати і який вид сертифікату вибрати
4. Особливі типи сертифікатів
5. Де купити сертифікат
6. Чи є безкоштовні SSL-сертифікати?
7. Як запросити сертифікат з перевіркою домену (Domain Validation)
8. Правильний перехід з HTTP на HTTPS
9. Зміни на сайті
10. З точки зору Google
11. З точки зору Яндекс

Компанія Google недвозначно дала всім зрозуміти, що пора переходити на захищене з'єднання по протоколу HTTPS. Для того щоб простімулліровать власників інтернет-ресурсів переходити на шифрування, сайти без HTTPS занижуються в пошуковій видачі Google.

Яндекс в цьому плані куди більш лояльний. Проте, в останніх версіях Google Chrome і Firefox сайти без шифрування стали позначатися як «небезпечно»

Поточна обстановка

На жаль, багатьох комерційних організацій абсолютно ніяк не турбує такий розклад. Особливо це стосується проектів з високою відвідуваністю, адже використання шифрування підвищує навантаження і збільшує час очікування відповіді при відкритті сесії.

Наприклад, найбільший інтернет-магазин Rozetka не використовує HTTPS, як не використовує сертифікат один з ресурсів Лабораторії Касперського.

Чи варто переходити на HTTPS?

Якщо у вас некомерційний проект без авторизації на сайті, без збору персональних даних, без пропозицій товарів і послуг - використання HTTPS вам особливо і не потрібно, хіба що для «зеленого» статусу в браузері і трохи вищих позицій у видачі Google.

Для інтернет-магазинів, а також ресурсів, спрямованих на онлайн-торгівлю, використання HTTPS обов'язково. Те ж саме відноситься до ресурсів з великими об'ємами користувачами персональних даних.

З чого почати і який вид сертифікату вибрати

Для роботи HTTPS необхідний SSL-сертифікат.

Найпростіший варіант - використання самоподпісанного сертифікатів (self-signed), такі сертифікати застосовні тільки для локальних ресурсів. Наприклад, такі сертифікати використовує в своїх продуктах компанія Ubiquiti. При першому зверненні до сайту необхідно буде додати сертифікат в виключення браузера.

Недоліком таких сертифікатів є те, що для них не використовуються послуги гаранта, який перевіряє дані перед видачею сертифікату. До того ж жоден сучасний браузер не прийме такий сертифікат. Ви ж не хочете налякати відвідувачів свого сайту подібним повідомленням при вході на сайт?

Для ресурсів, розміщених в мережі Інтернет, необхідно використовувати сертифікати, що видаються центром сертифікації (CA). При цьому слід знати деякі особливості. По-перше, всі сертифікати мають термін дії, зазвичай це 1-2 роки. По-друге, існує кілька типів сертифікатів, які мають суттєві відмінності:

• DV (Domain Validation) - сертифікати, які підтверджують доменне ім'я;
• OV (Organization Validation) - сертифікати, що підтверджують домен і організацію (власника);
• EV (Extendet Validation) - сертифікати, з розширеною перевіркою.

Сертифікат DV - найбільш поширений тип сертифіката, який видається «моментально», зазвичай протягом 5-15 хвилин. Сертифікат підтверджує тільки домен, при цьому дані заявника не перевіряє. Все що потрібно - правильно заповнити форму і мати доступ до пошти на валідіруемом домені. Причому будь-яку поштову скриньку не підійде, вам необхідно мати доступ до admin @, administrator @ або webmaster @ для того, щоб підтвердити своє право на керування доменом і підтвердження отримання сертифіката. Іноді центр сертифікації може використовувати адресу електронної пошти з WHOIS домену.

Сертифікат OV, як ви вже здогадалися, використовується для валідації організації. Наприклад, у вас є компанія ТОВ «Ноу-Хау», але в інтернеті за запитом ТОВ «Ноу-Хау» є не тільки ваш офіційний сайт, але і сайт сторонніх осіб, які бажають вам насолити. Сертифікат OV зможе отримати тільки ваша компанія, при цьому в описі сертифіката буде вказано назву компанії для якої виданий сертифікат.

Зазвичай видача такого сертифіката займає від 3 до 10 днів, цифри можуть варіюватися в залежності від центру сертифікації. При перевірці від вас зажадають не наявність прав на домен, а й можуть запросити документи, а також перевірити контактний номер телефону. Обов'язково перевіряється WHOIS домену на предмет вказівки вашої організації, іноді центр може вивчити згадки вашої компанії в міжнародних виданнях та навіть перевірити інформацію в ЄДРПОУ (у випадку з Україною). Само собою, сертифікат OV помітно дорожче, ніж DV.

Сертифікат EV - найбільш дорогий вид сертифіката безпеки, при якому центр сертифікації проводить розширену перевірку заявника. Більш докладно про додаткові умови і перевіряються даних ви можете дізнатися у обраного вами центру сертифікації.

Додатково сертифікат EV забезпечує «зелений рядок» (green bar) в браузері. Як приклад - сайт Приват24.

Як ви вже здогадалися, видача сертифіката - послуга платна. Залежно від типу сертифіката, а також центру сертифікації, його вартість може варіюватися від 10 до 6000 доларів США і навіть більше.

Особливі типи сертифікатів

Крім перерахованих вище видів, сертифікати можуть відрізнятися по функціоналу. Сильно заглиблюватися не будемо, розглянемо лише особливі 2 типу:

Wildcard - сертифікат, який дозволяється застосовувати на декількох доменах. Наприклад у вас є beta.company.com, user.company.com, shop.company.com і т.д. Кількість доменів при цьому обмежено, так що заздалегідь підрахуйте вигідно купувати wildcard, іноді вигідніше купити кілька окремих сертифікатів.

SAN - сертифікат на кілька різних доменів, розміщених на одному сервері. Бувають випадки, коли у фірми є кілька продуктів і вона створює кілька різних сайтів для кожного з продуктів. Як приклад, розробники ПЗ і автоцентри.

Де купити сертифікат

Купувати сертифікат безпосередньо у центру сертифікації не вигідно, тому що вартість такого сертифіката часом у рази вище, ніж при замовленні у партнерів. Партнери купують сертифікати оптом і, найчастіше, займаються іншими видами бізнесу, тому можуть дозволити собі малу маржу.

До слова, найбільш авторитетними і популярними є такі центри сертифікації:

• Geotrust
• Thawte
• Symantec
• Trustwave
• Comodo

Найвигідніше купувати сертифікати у посередників, раджу пошукати їх самостійно, оскільки ціни постійно змінюються. Наприклад, можете поглянути на ціни в Ukrnames , Сертифікат рівня Comodo Positive SSL (DV) можна придбати менш ніж за 10 у.о.

Чи є безкоштовні SSL-сертифікати?

Власники некомерційних проектів цілком закономірно можуть задатися питанням, як бути, якщо немає зайвих грошей на сертифікат, але є бажання перейти на HTTPS?

Особисто мені відомо, по крайней мере, 2 варіанти.

Перший варіант - проект Let's Enrypt , З недоліків, термін дії сертифіката становить всього 3 місяці. Благо, процедуру продовження сертифіката можна автоматизувати. Складнощі можуть виникнути у тих, хто використовує платний хостинг. Останнім часом все більше хостерів пропонує своїм клієнтам послуги з видачі та встановленні сертифіката Let's Encrypt.

Другий варіант - StartSSL , Це шостий за величиною центр сертифікації в світі. На поточний момент він забезпечує сертифікатами більш ніж півмільйона доменів. StartSSL крім платних сертифікатів видає безкоштовні DV-сертифікати для некомерційних проектів. Мабуть, це один з найцікавіших і простих варіантів.

Якщо вам відомі інші варіанти - пишіть в коментарях.

Як запросити сертифікат з перевіркою домену (Domain Validation)

Процедура отримання звичайного DV-сертифікату досить проста, більш детальну інформацію ви можете запитати у обраного постачальника.

Якщо коротко, необхідно згенерувати CSR, для чого буде потрібно скористатися спеціальним онлайн-генератором. Знову ж звертайтеся за роз'ясненнями до постачальника.

У заявці необхідно буде вказати наступні дані (англійською):

• Common Name - ваш домен;
• Organization - використовується для OV, для приватних осіб вказується або прізвище, або Private Person;
• Organization Unit - підрозділ організації, для приватних осіб зазвичай IT або Private Person;
• Locality - ваше місто;
• State- область або штат
• Country - двобуквений код країни, наприклад UA або RU;
• Email - контактний email технічного адміністратора або служби підтримки на тому ж домені, для якого заправшівается сертифікат;

Після генерації запиту, на виході ви отримаєте зашифрований запит (CERTIFICATE REQUEST) і ключ (PRIVATE KEY). Шифрований запит необхідно буде скопіювати при подачі заявки на отримання сертифіката. Обов'язково збережіть згенерований PRIVATE KEY! В іншому випадку у вас не вийде встановити сертифікат на сервер.

Після відправлення запиту, якщо все зроблено правильно, на вказаний Email (в межах домену) ви отримаєте запит про підтвердження прав на сам домен (необхідно буде перейти по посиланню для підтвердження). Після підтвердження протягом декількох хвилин на поштову скриньку ви отримаєте сам сертифікат.

Сертифікат може бути відправлений як вигляді файлів * .cer, так і у вигляді тексту. Сам сертифікат складається з сертифіката (CERTIFICATE) і ланцюжки сертифікатів (CA-BUNDLE).

В панелі управління хостингом, необхідно активувати SSL для домену. У випадку з ISPManager це необхідно зробити заздалегідь, до установки сертифіката. При створенні сертифіката скопіюйте до відповідних поля CERTIFICATE, PRIVATE KEY і CA-BUNDLE.

Правильний перехід з HTTP на HTTPS

На цьому власне процес установки сертифіката завершений, якби не одне але. Вся справа в тому, що отримання сертифікату і його установки мало для правильного переходу.

В мережі ви можете знайти безліч інструкцій, від хороших - до повного маразму. Далі розглянемо послідовність всіх дій.

Зміни на сайті

В обов'язковому порядку в вихідному коді і шаблонах приберіть все абсолютні посилання на ваш домен виду http: // (на картинки, стилі, скрипти і т.д.), замість них потрібно використовувати відносні шляхи, що починаються із слеша / (або двох Слеш / /).

Згенеруйте новий Sitemap, в якому посилання будуть вже з HTTPS.

Внесіть правки в robots.txt, змінивши директиву Host як в прикладі:

User-agent: * Allow: / Host: https://weblance.com.ua User-agent: Yandex Sitemap: https://weblance.com.ua/sitemap.xml

З точки зору Google

В панелі для вебмайстрів додайте новий сайт з HTTPS, налаштуйте Sitemap та інші параметри як ви це робите при додаванні сайту. Далі Google все зробить сам. Єдине що після склейки, на яку потрібен час, необхідно буде серед дзеркал вибрати основний домен.

На підтвердження моїх слів, більш детально можна почитати в довідковому розділі Google Search Console ( довідка 1 , довідка 2 ).

З точки зору Яндекс

У випадку з пошуковою системою Яндекс все куди цікавіше. По-перше, ні в якому разі не робіть відразу 301-й редирект з http на https, в іншому випадку ви отримаєте випадання з пошукової видачі і обнулення тІЦ на термін 1-2 місяці.

Насамперед зайдіть в Яндекс.Вебмайстер і в розділі «Індексування - Переїзд сайту» встановіть галочку на https.

Перенесення займе час, зазвичай 3-4 тижні, так що запасіться терпінням. Додатково можна додати «новий сайт» в панель, як і в випадку з Google Webmaster і виконати «переобход». На підтвердження моїх слів, більш детально можна почитати в офіційному блозі Яндекса ( пост 1 , пост 2 ).

Тільки після того, як Яндекс виконає перенесення сайту, можна активувати 301-ю переадресацію з http на https. Реалізувати це можна за допомогою .htaccess. Існують різні варіанти, деякі з них, в залежності від налаштувань сервера, можуть іноді не працювати. Нижче пара прикладів:

Обов'язково перевіряємо атрибут

RewriteEngine On

Перший варіант редиректу

RewriteCond% {SERVER_PORT}! ^ 443 $ RewriteRule. * Https: //% {SERVER_NAME}% {REQUEST_URI} [R = 301, L]

Другий варіант редиректу

RewriteCond% {HTTPS} = off RewriteRule (. *) Https: //% {HTTP_HOST}% {REQUEST_URI} [QSA, L]

На цьому власне все. Якщо ви виконали все саме в тому порядку, в якому описано вище - просадки не буде.