Рассказали, что такое SSL, как установить и настроить SSL-протокол на сайте, а также почему важно использовать HTTPS-соединение.
Что такое HTTP, HTTPS и SSL
HTTP — протокол передачи данных формата клиент-сервер (к примеру, между браузером и веб-сайтом), изначально предназначенный для передачи HTML-текста — гипертекста (HTTP — это аббревиатура от Hypertext Transfer Protocol). HTTP-запросы и ответы не зашифрованы и представляют собой текстовые сообщения, которые легко может прочитать любой желающий, даже неавторизованный участник передачи. Поэтому использование HTTP не является безопасным и несёт в себе много рисков.
HTTPS или HTTP Secure (HyperText Transfer Protocol Secure) — надстройка незащищённого HTTP-протокола, делающая интернет-соединение более безопасным и конфиденциальным. HTTPS-протокол работает в связке с криптографическими сертификатами SSL и TLS для шифрования данных. Также при HTTPS-передаче по умолчанию установлен TCP-порт 443 (в HTTP задействован TCP-порт 80). Кроме повышенной безопасности HTTPS имеет и другие преимущества:
- загрузка с большей скоростью (по сравнению с HTTP),
- веб-ресурсы выше ранжируются в поисковых системах,
- легче отслеживаются реферальные ссылки,
- сайты отмечены в браузере как безопасные, и поэтому им доверяют посетители.
SSL (Secure sockets layer) и более современная его версия TSL (Transport layer security) — это криптографические протоколы, поверх которых происходит передача HTTPS. SSL/TSL обеспечивают конфиденциальный обмен данными за счёт аутентификации и шифрования. SSL размещается между протоколом, который использует клиент (HTTP, HTTPS или другие) и транспортным протоколом TCP, согласовывает ключ и алгоритм шифрования и аутентифицирует сервер, что исключает вмешательство посторонних в коммуникацию и перехват данных.
Для чего нужен SSL-сертификат
SSL пользуется сертификатами открытого ключа, чтобы подтвердить принадлежность ключа реальному владельцу. Обычно сертификаты выдаются центрами сертификации, но встречаются самоподписанные и «пустые» сертификаты, однако они не вызывают доверия.
Распространены три вида SSL-сертификатов:
- Domain Validation (DV). Удостоверяющий центр проверяет право владельца на адрес, для которого оформляется сертификат. DV гарантирует, что посетитель попал именно на тот ресурс, на который намеревался.
- Organization Validation (OV). Предназначен только для юридических лиц. Проверяется связь доменного имени с сервером, удостоверяется владелец-юрлицо. OV-сертификаты предназначены для ресурсов с подключёнными платёжными системами.
- Extended Validation (EV). Проводится периодическая и более глубокая проверка: ежегодно удостоверяются данные домена. Центр сертификации проверяет также деятельность, которую ведёт организация-владелец. SSL-сертификат содержит расширенные данные: название владельца и регион его расположения.
Активация SSL-сертификата
Первый шаг к тому, чтобы включить SSL, — приобретение сертификата.
Чтобы сделать это на AdminVPS, войдите в учётную запись, перейдите в раздел «Услуги», затем в подраздел «Заказать новую услугу» и в «SSL сертификаты»:
На странице перечислены доступные сертификаты, выберите нужный под ваши потребности. Кликните по «Заказать» и оплатите услугу.
Следующее действие — активация приобретённого сертификата.
В открывшемся окне кликните по ссылке «Настроить»:
Затем кликните на «Сгенерировать CSR»:
Заполните поля формы нужными данными. Не заполняйте поле «Организация», если сертификат выпускается на физическое лицо. В поле «Домен» введите доменное имя, начиная с «WWW» (если включаете SSL-сертификат для сайта с доменным именем 2-го уровня). Отметьте галочкой чекбокс «Выслать CSR запрос на почтовый ящик» и затем кликните по «Сгенерировать CSR»:
- Сгенерированный CSR скопируйте в поле «CSR»:
После этих действий вам на почту будут высланы промежуточный сертификат и ключ.
Валидация SSL-сертификата
Рассмотрим валидацию SSL-сертификата по email.
В разделе «Настройка сертификата» выберите адрес электронной почты на вашем домене и кликните по «Отправить запрос на валидацию». Важный нюанс: имя почтового ящика для валидации задаётся поставщиком сертификата, чаще всего оно имеет вид webmaster@доменное_имя (administrator@, admin@), выбранный email должен существовать к моменту валидации, поэтому позаботьтесь о его создании заранее.
На указанный почтовый ящик придёт сообщение для подтверждения заказа, содержащее валидационный код. Перейдите по ссылке в сообщении и введите полученный код на странице подтверждения.
Примеры писем со ссылками и валидационным кодом от разных поставщиков:
На этом валидация пройдена, и на вашу электронную почту будет отправлено письмо с SSL-сертификатом.
Как включить SSL-сертификат
Рассмотрим установку SSL-сертификата на VPS через ispmanager. Для этого нужны:
- сертификат с расширением .crt, полученный после валидации,
- сертификат формата .ca-bundle,
- ключ — файл формата .key.
Ключ и ca-bundle-сертификат были получены после активации.
В левом вертикальном меню ispmanager выберите пункт «SSL-сертификаты», затем в окне справа нажмите «Добавить сертификат»:
В поле «Тип SSL-сертификата» выберите «Существующий» и нажмите «Далее»:
Укажите владельца сертификата, внесите содержимое файлов .crt и .key в поля «SSL-сертификат» и «Ключ SSL-сертификата». Содержимое ca-bundle-файла вставьте в поле «Цепочка SSL-сертификатов». Затем кликнете на «Завершить»:
SSL-сертификат загружен, но пока не используется. Это видно в соответствующей графе напротив его имени:
В левом вертикальном меню кликните по пункту «Сайты», в рабочей области справа отметьте доменное имя выбранного для подключения SSL-сертификата сайта. В верхнем меню нажмите «Управление сайтом» и в выпадающем списке «Настройки сайта»:
Отметьте галочкой чекбокс «Защищённое соединение SSL» для активации SSL-cертификата. Также рекомендуется настроить перенаправление с HTTP на HTTPS — отметьте соответствующий чекбокс. В поле «SSL-сертификат» выберите созданный сертификат.
На этом установка SSL-cертификата подошла к концу, проверьте корректно ли он работает. Введите в веб-браузере адрес вашего сайта, начинающийся с HTTPS в формате https:// имя_сайта.доменная_зона. Если соединение защищено, то сертификат работает корректно. Затем попытайтесь перейти на ваш сайт по протоколу HTTP и проверьте настройку перенаправления.
Читайте в блоге: