Для чего нужны SSL-сертификаты и как получить бесплатно валидный сертификат

Внимание, найден ещё более простой способ работы с бесплатными SSL-сертификатами: доступно полностью автоматическое продление, подключение сертификата осуществляется в один клин. Для ознакомления с данной возможностью рекомендуется прочитать «Бесплатные валидные SSL-сертификаты с автоматическим продлением».

Давайте вместе представим, что провод, по которому ваша квартира подключёна к Интернету, — это прозрачная трубка. Она идёт от вашего компьютера (или роутера) до маршрутизатора где-то (например) на крыше дома. Провод от маршрутизатора до других сетевых устройств провайдера — это тоже прозрачная трубка. Провод от интернет-провайдера последней мили до вышестоящего провайдера — это ещё одна прозрачная трубка, только, может быть, сделанная по другой технологии (для повышения пропускной способности). Вышестоящий интернет-провайдер подключён другим прозрачным проводом к магистрали, которая является большой прозрачной трубой.

Представили это множество прозрачных трубок, по котором бегает туда-сюда информация и эту информацию может кто угодно просматривать и даже модифицировать на лету? Если вам удалось это представить, то поздравляю вас — теперь вы видите действительное положение вещей, ведь именно это и есть реальность!

Пусть вас не путает непрозрачность реальных проводов. Любой, кто имеет санкционированный или несанкционированный доступ «к проводам», может просматривать передаваемую информацию, сохранять её, модифицировать. Сюда относятся, в первую очередь, интернет-провайдеры; государственные органы, от которых интернет-провайдеры зависят на 100% (через механизм лицензирования и другие механизмы) и каждое (даже) негласное указание которых выполняют беспрекословно; ну а также хакеры, которые взломали ваш роутер или Wi-Fi точку доступа.

Почему эта проблема не на слуху? Совсем не от того, что этим никто не пользуется. Этим активно пользуются, просто не злоупотребляют. Хотя… Посмотрите на новость: «Белорусский интернет-монополист будет вырезать из сайтов чужую рекламу и вставлять собственную».

Вы думаете это невозможно или технически сложно? Ничего подобного — это элементарно как дважды два.

Какую информацию можно получить из прозрачных проводов? Вообще всю:

  • логины и пароли (для сайтов, FTP и т. д.);
  • отправленные сообщения;
  • просмотренные страницы;
  • загруженные картинки и любые другие файлы;
  • данные сессий, для входа в аккаунт не зная пароля.

Как можно модифицировать «бегающие» туда сюда данные? Вариантов много, всё зависит от фантазии:

  • заменять любую информацию на веб-сайте на свою (показывать свою рекламу, что-то вырезать или добавлять на страницы);
  • подменять скачиваемые файлы на свои (например, вместо файла программы передавать трояна);
  • подменять картинки;
  • подменять целые сайты;
  • настойчиво предлагать обновить браузер/плагин для браузера. Причём это предупреждение будет органически встроено в вёрстку сайта, будто бы его разместил сам владелец.

Для конечного пользователя всё будет совершенно незаметно. Он будет уверен, что эту омерзительную рекламу поставил владелец сайта, что именно владелец сайта разместил на своём сайте вирус и кто-то взломал сайт, если его учётная запись была украдена.

Как жить в прозрачном доме?

Такое положение вещей понимают многие. Многих же оно не устраивает. Например, вы уже не найдёте он-лайн банкинга, крупной социальной сети или любого крупного сайта, где не использовались бы SSL-сертификаты. Это стало стандартом. Так защищаются владельцы сайтов. Причём эта защита достаточно эффективная. Конечно, хакерская мысль не стоит на месте и предпринимаются разнообразные попытки понизить зашифрованное соединение до незашифрованного; понизить надёжное зашифрованное соединение до зашифрованного, но ненадёжного. Не будем заострять на этом слишком много внимания (статья о другом), о роли браузеров в этой борьбе, также не будем останавливаться на других методах шифрования передаваемого трафика (например VPN), просто кратко отметим — там, где на сцену выходит шифрование, хакеры скорее проигрывают.

Для чего сайтам нужны SSL-сертификаты

Выгоды получения SSL-сертификата — неочевидны. Если у вас есть сайт с низкой или средней посещаемостью и вы прямо сейчас купите для него сертификат, то не изменится ничего. Вообще ничего: не станет больше посетителей, не станет больше кликов по рекламе, поисковые системы не начнут больше любить ваш сайт. При этом стоимость самых дешёвых сертификатов сопоставима со стоимостью хостинга на год, а сертификаты с разными финтифлюшками могут стоить и 10 и 20 тысяч рублей.

Именно поэтому нельзя сказать, что сертификаты пошли в массы. Скажу честно, за деньги и я не стал бы ставить сертификат. Хотя сеошники меня бы, конечно, поправили, что Гугл заявил, что учитывает (или будет учитывать) наличие у сайта шифрования и будет давать больший приоритет тем, у кого оно есть. Ещё Mozilla не так давно выразились в том духе, что вообще не будут поддерживать протоколы без шифрования. Но, на мой взгляд, это всё «разговоры в пользу бедных».

Конечно, можно использовать самоподписанный сертификат. Но браузеры для посетителей будут писать страшные предупреждения о невозможности проверить подлинность и что возможно прямо сейчас кто-то ворует их персональные данные. Проще говоря, самоподписанные сертификаты не применимы для неопределённого круга лиц.

Другое дело, если вы хотите защитить разделы, к которым имеете доступ только вы (админку сайта), или если у вас маленькая группа людей, которые беспокоятся о конфиденциальности передаваемых на ваш сайт данных: вы все можете добавить сайт в исключения и пользоваться всеми преимуществами шифрования с самоподписанным сертификатом.

Бесплатные валидные SSL-сертификаты

А вот теперь мы подходим к самому интересному. Как я уже сказал валидные сертификаты стоят денег. Но, как я сам для себя недавно открыл, есть возможность получить пробные сертификаты. В зависимости от фирмы, они могут быть на разные сроки (мне попадались на 1 и на 3 месяца). Судя по всему, есть возможность сделать автопродление неограниченное число раз.

Учитывая, что всё совершенно бесплатно, то это очень хорошая возможность бесплатно протестировать и понять, нужно ли это лично вам или нет.

Я узнал об этой возможности только вчера — сразу же протестировал подключение одного сайта. Поскольку всё прошло замечательно, то я хотел бы поделиться своим алгоритмом.

Мой хостинг — это компания Хостлэнд. Как и многие другие они продают сертификаты. Правда, про пробные (бесплатные) сертификаты у них нет никаких упоминаний. Совсем недавно у них появилась новая БЕСПЛАТНАЯ услуга — установка сертификатов, которые вы приобрели в другом месте. Всё делается в графическом интерейсе и начинает работать через несколько минут.

Зато про пробные сертификаты есть у хостинг-компании Айхор. Там мне нравятся цены на VPS, но сайты там я не держу. Причём, получить бесплатный валидный сертификат можно без покупки хостинга и вообще без покупки каких-либо услуг. Но зарегистрироваться всё-таки нужно.

Процесс получения бесплатного SSL-сертификата

Вчера я установил сертификат для сайта https://kali.tools/. Сегодня, в качестве примера, давайте выберем сайт HackWare.ru.

В панели управления Айхор перейдите во вкладку "SSL сертификаты":

01

Нажмите "Заказать" и найдите там «Айхор Хостинг - Comodo Trial SSL»:

02

На следующей вкладке выберите «Генерация CSR и Private key» и заполните необходимые данные:

03

В следующем окне вы увидите закрытый ключ — сохраните его в текстовый файл — он пригодится.

Введите контактные данные:

05

Далее информация об организации. Поскольку реальной организации у меня нет, то данные полностью вымышленные:

06

А вот следующее окно вызвало у меня конфуз и задержало меня при получении сертификата.

07

Окно говорит, что нам нужно выбрать из имеющихся адресов, которые принадлежат домену, для которого мы получаем сертификат. Особых трудностей здесь нет — в панели управления Хостлэнд несколькими кликами можно наделать любые почтовые ящики для своих доменов. Так я и поступил — но в результате оказалось, что для Kali.Tools письма приходили на ту почту, которую я указывал в самом начале, а для домена HackWare.ru пришлось создавать новый адрес вида *@hackware.ru.

Поскольку услуга бесплатна, я выбрал автоматическое продление:

08

Теперь просто ждём писем на почту:

09

Пока ждём, можно посмотреть, список услуг и убедиться, что это стоит 0 рублей:

10

Нам придёт письмо. В нём нужно перейти по ссылке и ввести секретный код, который содержится в этом же письме.

После этого придут ещё два письма. В первом нам предлагают разместить значёчек (печать), мол соединение до сайта зашифровано. Во втором архив с двумя файлами. Именно он и интересен.

Настройка SSL-сертификата на виртуальном хостинге

Если у вас VPS, то, как и по поводу всего остального обслуживания системы/сервера, вам нужно позаботиться самому.

Если у вас виртуальный хостинг, то здесь уже зависит от хостера — есть ли у него такая услуга. У Хостлэнд, где и размещены все мои сайты, она есть. Причём в автоматическом режиме можно подключить сторонние сертификаты.

Для этого переходим в Панель управления, во вкладку «SSL», далее выбираем подвкладку «Загрузка собственного SSL». Видим четыре окна:

11

В первое окно мы вводим закрытый (секретный) ключ, который был сгенерирован на сайте Айхор. Во второе окно вводим сам сертификат (у меня это файл hackware_ru.crt). В поле «Промежуточный сертификат» вводим содержимое файла с расширением .ca-bundle. А в последнее, в четвёртое поле («Корневой сертификат») ничего не вводим, т.е. оставляем его пустым. Если вам прислали четыре файла, то в поле «Промежуточный сертификат» вводим последовательно содержимое файлов COMODORSADomainValidationSecureServerCA.crt и COMODORSAAddTrustCA.crt

Опять немного ждём, когда заявка обработается:

12

Довольно скоро надпись поменяется на такую:

13

Это означает, что вроде как всё готово, но на самом деле нужно ещё чуть подождать (несколько минут).

Настройка WordPress для работы с SSL-сертификатом

Вообще, умные браузеры сами буду загружать HTTPS версию. Но остаётся возможность принудительного понижения до HTTP. Всякие cURL вообще ни за никакие HTTPS ничего не знают. Мы можем полностью запретить HTTP и установить принудительную загрузку только через HTTPS. Для этого переходим к файлам сайта и открываем файл .htaccess. Туда мы добавляем такие строчки:

RewriteEngine on
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Этими строками мы принудительно переводим все HTTP соединения на HTTPS.

В принципе, всё работает. Но почти наверняка ваш браузер жалуется, что присутствуют небезопасные элементы. Это происходит от того, что у вас на сайте абсолютный пути до картинок JavsScript-скриптов, файлов каскадных таблицей стилей и прочих ресурсов. К примеру ссылка на картинку http://hackware.ru/wp-content/uploads/2015/12/03-300×210.jpg. Там указан протокол HTTP. Чтобы не было предупреждений о небезопасном содержимом, вам нужно везде прописать относительные пути, либо все протоколы на внутренние ресурсы сайта переправить с HTTP на HTTPS.

Как обычно, для WordPress есть готовый плагин, который всё сделает за вас сам. Я просто уверен, что таких плагинов много, для себя я выбрал SSL Insecure Content Fixer (просто он был первым, который я попробовал и он сразу заработал как надо).

Ещё в настройках сайта не забудьте добавить букву s к протоколу в адресах:

14

После этого может понадобиться косметическая подстройка — например, на одном из сайтов пришлось обновить аватар, т. к. плагин SSL Insecure Content Fixer его не «брал». Также в настройках этого плагина я переключился на «Content» (дополнительно исправлять проблемы в содержимом текстовых виджетов и на страницах).

Теперь адресная строка в любом браузере выглядит примерно так:

16

Вывод

На мой взгляд, практической потребности для небольших сайтов покупать SSL-сертификат нет. По крайней мере, пока на государственном уровне (как в Белоруссии) не производится подмена рекламы на свою.

Но вот с психологической точки зрения, признаюсь, мне очень понравилось, как теперь выглядит адресная строка в браузере. Есть в этом какая-то своя красота и серьёзность. Это точно стоит того, чтобы раз в три месяца продлевать бесплатный сертификат. Стоит ли это того, чтобы платить хотя бы 700 рублей в год? Не знаю, я для себя ещё не решил.

18

Ну и уже после публикации заметки у компании Хостлэнд появилась новая услуга, которая позволяет не только получать бесплатные SSL-сертификаты в один клик, но и автоматически продлевать их вообще без участия владельца сайта. Подробности в статье «Бесплатные валидные SSL-сертификаты с автоматическим продлением».

Рекомендуемые статьи:

Добавить комментарий

Ваш e-mail не будет опубликован.