21 февраля, 2017 
AdminGWP
Тo, для чeгo нужнo SSL сeртификaт, чтo лучшe выбрaть, и кaк устaнoвить
Дaтa oпубликoвaния: 15.02.2017
С 1 янвaря 2017 гoдa пришли три вaжныx сoбытия в жизни интeрнeт-мaгaзинoв:
Google и Mozilla выпустилa нoвыe вeрсии пoпулярныx брaузeрoв Google Chrome и Firefox, кoтoрыe нaчaли флaг нa сaйты, кoтoрыe рaбoтaют бeз ssl сeртификaт, кaк oпaснo. И прeдупрeждaют oб этoм пoльзoвaтeлeй. Ничeгo стрaшнoгo, нo дoвeрия тaкиe сaйты сoкрaщaeтся.
Пoиск нaчaл нaклaдывaeтся нaзвaниe сaйтoв, рaбoтaющиx HTTPS, ssl сeртификaт.
Нaчaлaсь пoдгoтoвкa к пeрeдaчe дaнныx в oнлaйн oплaтax в интeрнeт-мaгaзинax ФНС чeрeз oпeрaтoрoв фискaльныx дaнныx. Oбязaтeльнo пoдключeниe интeрнeт-дoмaрeв нaчнeтся с 01 июля 2017 гoдa. Для пeрeдaчи пoтрeбуeтся SSL сeртификaт:
Кaк пoлучить вoждeлeннoe ssl-сeртификaт, этo тoжe бeсплaтнo.
Нeoбxoдимo вeб-сaйт, мoбильнoe прилoжeниe, услуги пo SEO или кoнтeкстнaя рeклaмa? Кoнкурснaя плoщaдкa WORKSPACE пoмoжeт выбрaть oптимaльный и). База проекта насчитывает более 10 500 агентств. Услуга действует БЕСПЛАТНО или заказчиков и исполнителей.
План работ
SSL-сертификат, который используется для шифрования трафика между сервером через интернет-магазин и браузер пользователя. В большинстве случаев он гарантирует, что никто не слышит и не заменит данные.
Таким образом, мы должны перевести через интернет-магазин HTTPS. Эта проблема решается в несколько крупных шагов:
Получить ssl сертификат:
Установить ssl сертификат хостинг.
Создать сайт.
Уведомить поисковые системы о переходе на HTTPS.
Обо всем по порядку.
Шаг 1. Чтобы купить или устанавливает бесплатный SSL сертификат
Базовый сертификат ssl (domain длительный слушайте — DV)
Как правило, ssl сертификат идут в 1 год и старше (далее его надо снова купить). Минимальная стоимость ssl сертификата — 600 рублей, за эту цену очень легко найти через поисковые системы. За 600 рублей можно приобрести базовую ssl сертификат компании Comodo на 1 год для одного домена, например, magazin.ru и www.magazin.ru.
Сертификаты такого уровня дает нормальную базовую защиту (проверяется только факт принадлежности вам домен), признается много браузеров, но имеют дополнительное подтверждение: ваше имя компании не покажется проверки сертификата. Заветная иконка замочка показаны на сайте, но многие браузеры партия, он серого цвета. Как, например, у нас :):
Если вам нужен сертификат на несколько доменов, его стоимость увеличивается. Групповой-сертификаты, которые можно установить на любое число поддоменов, например, test.magazin.ru, piter.magazin.ru, ufa.magazin.ru стоят 7 тысяч рублей и выше. В крупных магазинах, может быть, это не проблема, но средние и малые магазины, лучше тратить эти деньги на развитие сайта.
Подведем результат: Базовый ssl сертификат:
шифрует трафик;
повышает доверие клиентов сайта;
подтверждают только доменное имя сайта.
добавляет желанного замочек в браузере адрес сайта;
можно купить один или несколько поддоменов;
доступна физическим или юридическим лицам;
очень и сердито).
Бизнес-ssl сертификат (Company/Organization длительный слушайте)
Отличается от базовой процесс проверки компании, которая идет в сертификат, ЕГРЮЛ. Название компании, адрес, его местонахождение должно быть отражено в дополнительной информации сертификата. Но это «вожделенное замочек» по-прежнему серый. Стоимость начинается с таких сертификатов 5000 р. Для кириллических доменов, есть информация, дешевле.
Особенности бизнес-ssl сертификат:
шифрует трафик;
повышает доверие клиентов сайта;
утверждает доменное имя, название и адрес компании;
добавляет серый замочек адрес сайта в браузере;
можно купить один или несколько поддоменов;
доступен только юридическим лицам;
добавляет компанию в реестр dnb.ru или yp.ru
не так дешево, но и менее сердито 8).
SSL сертификат расширенной проверки (тот же зеленый замочек b7aa017f475ed96546e981336f4509fe.png — EV)
Дает максимальное доверие пользователей, но должны быть только крупные интернет-магазины: Сертификат для получения необходимо пройти расширенную проверку в телефонной компании, юридического лица, должностного лица, представляющего заявку: Процедура ускоряется, если компания уже имеет регистрацию в реестрах.
Оплата 13 000 рублей и, наконец, арам i следит за заветного зеленого замочка, достигают своей мечты.
Особенности настройки ssl сертификат:
шифрует трафик, а также другие виды сертификат;
дает максимальное доверие клиентов сайта;
удалите имя компании рядом с адресом сайта.
добавляет зеленый замочек в браузере адрес сайта;
можно приобрести только один домен;
доступен только юридическим лицам;
добавляет компанию в реестр dnb.ru или yp.ru
Самый дорогой вариант.
Как получить ssl-сертификат бесплатно
Для того, чтобы надежно через интернет, крупные западные корпорации совместно с фондом Electronic Frontier Foundation создала первый коммерческий авторизационный центр let’s Шифровать. Подробно см. по ссылке (на английском языке): Сервис разработан и поддерживается в компании Internet Research Group (ISRG).
Суть этой службы в том, что теперь любой сайт может бесплатно получить ssl-сертификат и продлить его без ограничения срока.
Получить бесплатный ssl-сертификат можно двумя способами:
Вручную на сайте letsencrypt.org/getting-started далее через раздел Manual — manual mode
Полуавтоматически или автоматически (в зависимости от вашего сервера, в которых работает интернет-магазин, сайт или Битрикс24) через бота Certbot
Если Вы решили получить сертификат вручную, а затем установить его на Виртуальную машину Bitrix VM, воспользоваться готовой инструкции по установке ssl сертификата виртуальной машины Битрикс.
Шаг 2. Установка ssl сертификата на сервер
Если ваш интернет-магазин, сайт, или портал Битрикс24 коробка работает на виртуальной машине Битрикс, вы можете установить и настроить ssl сертификат на let’s Шифровать случае вам базовые знания администрирования серверов на Unix. Если не хотите тратить свое время, или не владеет такими навыками, пожалуйста, обратитесь в нашу компанию, мы поможем перевести ваш сайт на HTTPS.
Если сайт работает ссылка-хостинг, стоит обратиться к хостинг-провайдеру для установки ssl-сертификат. Процедура установки сертификата let’s Шифровать сервер, без виртуальной машины принципиально не отличаются. Помогите нужно на этот мастер на сайте Certbot.
Стоит отметить, что большинство веб-серверов Certbot работает в автоматическом режиме, он получает определение и продляет сертификаты самостоятельно: Например, Apache на Ubuntu Server 16.10. А вот Nginx в CentOS 6 не содержит в своем репозитории Certbot и работает только в автоматическом режиме: Подробно см. certbot.eff.org
Установка ssl сертификата let’s Шифрования Виртуальной машины Битрикс
Как мы помним, работа HTTPS виртуальной машины Битрикс отвечает NGINX. Мы идем к тому, что только получить сертификат.
1
Для начала вернемся к установке Certbot
Вернемся к серверу через интернет-магазин — ssh с root и установить Certbot папку /usr/local/sbin непосредственно на сайте EFF.
$ cd /usr/local/sbin
$ sudo wget https://dl.eff.org/certbot-auto
Чтобы получить последнюю версию Certbot можно также Github (убедитесь, что у вас есть git-з):
$ cd /tmp
$ git clone https://github.com/certbot/certbot
Более того, проходит каталог » свежескаченным Certbot-й и дадим боту права на исполнение.
$ sudo chmod a+x /usr/local/sbin/certbot-авто
2
Перейдем к получению сертификата
Сертификат для получения необходимо выполнить команду вызов Certbot»a определенные параметры:
$ certbot-авто certonly —корневой директории —agree-tos —e-mail myemail@domen.ru -w /home/bitrix/www/ -d domen.ru -d www.domen.ru
где,
—корневой директории специальный ключ, который надежность работы Certbot под Nginx;
—agree-tos — автоматическое согласие с Условиями предоставления услуг (Terms of Services;
—e-mail myemail@domen.ru — Ваш e-mail: будьте осторожны, что он не может изменить, он должен, например, для восстановления доступа в домен и его продление;
-w /home/bitrix/www — показать корневой каталог сайта главная сайта; если у вас есть несколько многосайтовая конфигурация, укажите путь доп. на сайте — /home/bitrix/ext_www/
-d domen.ru — ключ -d мы показывают, что домены мы просим сертификат. Нужно начать с домена второго уровня domen.ru и тот же ключ показать поддомены, например:- d www.domen.ru -d opt.domen.ru
Сценарий Certbot начинает свою работу, предлагает установить дополнительные пакеты, для решения и ждать завершения работы.
После успешного завершения работы Certbot поздравляет Вас с генерацией сертификата и выдает следующее сообщение:
IMPORTANT NOTES:
— If you lose ваш account credentials, you can recover through
электронной почты sent to sammy@digitalocean.com
— Поздравляем! Your certificate and сеть have been saved at
/etc/letsencrypt/live/domen.com/fullchain.pem. Your
cert will expire on 2017-03-12. To obtain a new version of the
certificate in the future, simply run let’s Зашифровать снова.
— Ваш account credentials have been saved in your let’s Шифровать
регулирует каталог в /etc/letsencrypt. You should make a
secure backup of this folder now. This регулирует directory will
also contain certificates and private ключи получены let’s by
Шифровать so making regular резервное копирование of this folder is ideal.
— Если как let’s Шифровать, please consider поддержку our work.
Donating to ISRG / let’s Шифровать: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
* если вместо этого сообщения появляется ошибка «Failed to connect to host for DVSNI challenge «, то вы должны настроить ваш Firewall так, что допускается TCP-трафик на портах 80 и 443.
* * если вы используете услуги типа Cloudflare для вашего домена, предварительно отключить их производитель сертификат.
3
Настройка Nginx
Ура! Мы получили бесплатный ssl сертификат на 3 месяца. Нам остается только настроить Nginx и установить автоматическое продление сертификата cron.
Но сначала давайте поднимем уровень безопасности и сгенерируем группа Диффи — Хеллмана. Это увеличит шифрования, и помогает нам дальше, чтобы получить оценку А+ инспекции сертификат.
$ openssl dhparam -out /etc/nginx/ssl/c/dhparam.pem 2048
Ждем около 2-4 минут и проходит конфигурированию Nginx.
Открываем файл /etc/nginx/bx/conf/ssl.conf и прописываем его в пути, что полученные сертификатам.
ssl_certificate /etc/letsencrypt/live/infospice.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/infospice.ru/privkey.pem;
Ниже вы можете найти дополнительные инструкции Nginx, который позволяет вам получить оценку А+ инспекции сертификат sslanalyzer:
# SSL шифрование parameters
ssl on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ‘ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECD$
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 секунд = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling —
# fetch OCSP records-from URL в ssl_certificate and them кэш
ssl_stapling on;
распознаватель 8.8.8.8 8.8.4.4 valid=600s;
ssl_stapling_verify on;
ssl_dhparam /etc/nginx/ssl/dhparam.pem;
ssl_certificate /etc/letsencrypt/live/domen.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/domen.ru/privkey.pem;
# performance
ssl_session_cache ссылка:SSL:10m;
ssl_session_timeout 10m;
Сохраняем изменения, чтобы проверить конфигурацию Nginx:
$ nginx -t
Если никакой ошибки нет, перезапускаем Nginx:
$ service nginx reload
И идем проверить свежеустановленный сертификат SSL службы анализатора функции.
Если вы все правильно, то должны увидеть красивую картинку, потому что это:
Для автоматического обновления сертификата необходимо добавить в крон команды запуска certbot:
$ nano /etc/кронтаб
И добавить строки
30 2 * * 1 /usr/local/sbin/certbot-автоматическое обновление >> /var/логин/le-обновить.доступ
35 2 * * 1 /etc/init.d/nginx reload
Теперь каждый понедельник в 2-30 наш сертификат (ы) продляться автоматически, результат запишется доступ. Сша-2-35, после продления сертификата, перезагрузится настройки Nginx.
Вручную же, можно продлить сертификаты следующая команда:
$ certbot-авто обновить
Потому что наши сертификаты уже сгенерированы, Certbot их просто продлит.
Если сейчас вы хотите, чтобы пройти весь трафик HTTPS, что ВМ Битрикс это делается согласно инструкции.
Азербайджанцы
Мы узнали, почему нужно ssl сертификат, какие виды сертификатов бывают.
Получили бесплатный ssl сертификат или купить его.
Установили ssl сертификат на сайт и увидеть, что в настоящее время сайт работает на HTTPS, как он достиг большой Google и иже с ними.
О настройке интернет-магазина под HTTPS и информирование поисковых систем мы можем написать следующую статью.
Благодарю всех, кто дочитал до конца.
Опубликовано в рубрике