Бесплатный SSL-сертификат

Клиенты FirstVDS с панелью ISPmanager на виртуальном сервере могут устанавливать бесплатные сертификаты Let's Encrypt для любого количества сайтов. Let's Encrypt представляет собой обычный SSL-сертификат с проверкой домена (DV), который выдается на неограниченный срок.

Как установить сертификат?

1. Зайдите в панель ISPmanager с правами супер-пользователя (root).

2. Перейдите в раздел ИнтеграцияМодули, установите бесплатный плагин Let’s Encrypt

3. Перейдите в Настройки web-сервераSSL-сертификаты, выберите Let’s Encrypt

4. Выберите пользователя и домен, на который хотите установить сертификат. Домен должен быть делегирован, т.е. по нему должен открываться сайт — иначе сертификат не будет выдан. Заполните остальную форму.

5. Сертификат автоматически установится на сайт с выбранным доменом. Сначала на сайт устанавливается самоподписанный сертификат, который после завершения процесса заменяется полноценным. Дождитесь выпуска сертификата — тип должен смениться на «Существующий».

6. Готово! Ваш сайт защищен подписанным сертификатом Let’s Encrypt — в адресной строке должен быть зеленый замок. Сертификат действует бессрочно.

Для чего подходит?

Сертификаты Let's Encrypt подходят для защиты веб-сайтов. Сертификат не получится использовать для подписи кода и шифрования email.

Какие типы проверки выполняются?

Только проверка домена (DV, domain validation). Поддержка проверок OV и EV отсутствует и не планируется.

Как быстро выпускается?

Сертификат Let's Encrypt выпускается и начинает работать в течение нескольких минут. Главное условие — домен, к которому привязывается сертификат, должен быть делегирован. Проверить просто: напишите доменное имя сайта в адресной строке браузера и нажмите Enter. Если вы увидите свой сайт, то всё в порядке — можно приступать к получению сертификата.

Сколько действует сертификат?

Вечно, при наличии на сервере панели управления ISPmanager. При отсутствии панели сертификат продляться не будет! Почему так? Сертификаты Let's Encrypt выпускаются на 3 месяца. Плагин ISPmanager обновляет сертификат автоматически за 7 дней до окончания очередного срока. Если удалить панель, то при окончании очередных 3-х месяцев сертификат не обновится и перестанет определяться браузерами — появится перечеркнутый значок HTTPS и предупреждение о небезопасном подключении. В этом случае обновлять сертификат придется вручную каждые 3 месяца, либо самостоятельно настроить авто-обновление с помощью стороннего ПО.

Будет ли сертификат определяться браузерами как доверенный?

Да, будет. Поддерживается большинство современных браузеров. Детальную информацию о совместимости можно найти на официальном форуме поддержки.

Можно ли использовать в коммерческих целях?

Да, можно. Именно для таких целей сертификат и создавался.

Поддерживаются ли национальные домены (IDN)?

Сертификаты Let's Encrypt поддерживают IDN — доменные имена с использованием символов национальных алфавитов. Вы можете использовать сертификат для кириллических доменов вида мойсайт.рф.

Поддерживаются ли поддомены (wildcard)?

Сейчас поддержка wildcard отсутствует. Придется выпускать сертификаты отдельно для каждого поддомена. Однако, возможно появление такой поддержки в будущем.

Поддерживается ли мультидомен (SAN)?

Нет. Сам сертификат поддерживает SAN до 100 разных доменов, но автоматизированный процесс привязки в панели исключает использование этой возможности. Каждый домен придется настраивать отдельно.

Как настроить автоматический редирект на HTTPS?

Даже если на сайте установлен сертификат, посетитель может набрать в браузере адрес через http://..., либо перейти по старой ссылке в поисковой системе. В этом случае его подключение не будет безопасным, и он не узнает, что сайт использует SSL-сертификат для шифрования передаваемых данных. Чтобы все запросы посетителей сайта шифровались сертификатом, необходимо настроить редирект HTTPHTTPS.

Редирект на связке Apache+Nginx

1. В панели управления ISPmanager перейдите в ДоменыWWW-домены, выберите домен с сертификатом и нажмите Изменить.

2. В настройках установите галочку Перенаправлять HTTP-запросы в HTTPS и примените изменения.

3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.

Редирект на чистом Apache

Внимание! Все изменения в конфигурационном файле Apache вы делаете на свой страх и риск! Настройки, описанные ниже, сработают для большинства случаев, но могут вызвать проблемы на специфических конфигурациях. Доверьтесь специалистам, если не уверены в результате вносимых изменений.

 

1. В панели управления ISPmanager перейдите в ДоменыWWW-домены, выберите домен с сертификатом и нажмите Конфиг.

2. В конце первого блока VirtualHost (перед первой строкой </VirtualHost>) добавьте код:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}  

3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.

Смотри также