Где и как можно получить бесплатный сертификат SSL?
Где и как можно получить бесплатный сертификат SSL?
Кто повелся на уговоры и решился перейти на SSL (сокращ. Secure Socket Layer), повысить ли рейтинг в глазах Гугла или по причине безопасности, то тем нужен сертификат для сайта. У кого есть возможность платить за это деньги, тот может найти его без проблем, а кто желает сэкономить, тому нужно будет либо приложить усилия поискать такой бесплатный сертификат, либо почитать статью и ваша проблема решена.
Когда я заморочался перейти на https, то начал искать где бы его взять, причем платных было много, так же нашел и бесплатные, но у того что я нашел был недостаток. О нём я расскажу ниже.
Вообще мне пришлось полазить по инету большую часть дня, чтобы найти именно тот сертификат, который бы меня устраивал полностью. Такой я конечно же нашел, но потратил много времени. Вам уже проще, так как вам достаточно прочитать и сделать нехитрые манипуляции и вопрос решен.
Чтобы было всем понятно, сертификат SSL нужен для безопасного (зашифрованного) соединения между пользователем и веб-сервером. Это означает, что вся информация, которой вы обмениваетесь между собой не станет достоянием хакеров и прочих «редисок»-воришек.
Какие бывают бесплатные сертификаты SSL?
Начнем с того, что многие предлагают именно бесплатный сертификат, НО у них есть свои изъяны:
1. Многие не соответствуют уровню безопасности — это значит, что их алгоритм шифрования либо устарел, либо банально не соответствует требованиям. Таким образом, они не внушают доверия, а зачем нам таковые?
В таком случае мы решаем вопрос так, если нам нужен сертификат только для того чтобы поднять рейтинг из-за внедрения https, тогда можно поставить такой, но если у вас на сайте будет внедрена денежная оплата или шифрованный обмен данными, то это не ваш вариант.
В таком случает я советую вам перейти на платный сертификат SSL.
Когда я говорил о слабом алгоритме шифрования, я имел ввиду устаревший алгоритм SHA-1, который Гугл считает опасным для взлома, поэтому в Гугл Хроме слева от командной строки вы можете увидеть надпись «небезопасный». Об этом можно почитать здесь, по английски конечно.
Так что алгоритм SHA-1 будет из Хрома совсем исключен с 2019 года. Это означает, что все сертификаты с оным алгоритмом не будут восприниматься, более того будут блокироваться.
2. Срок жизни сертификата — этот показатель вроде бы и не критичен, но если срок жизни составляет 90 дней, то вряд ли кому захочется его ставить каждые 3 месяца. А вдруг забыл дату следующей замены?
Хотя те, кто его предлагают объясняют такую частую смену тоже безопасностью, т.е. если он оказался взломан, то при частой смене сертификата SSL, придется заново ломать, что бывает не удобно для хакера. Тут нужно отдавать отчет, если того стоит, то хакер и зайца в поле загоняет и использует все варианты взлома.
Весь интернет кишит предложениями бесплатного получения сертификата у фирмы letsencrypt.org, но они то и предлагают на 3 месяца, а на больший срок только за деньги.
Вообще нужно знать, что включение https на своем сайте не является 100% защитой от взлома, это обезопасит вас лишь частично и только в вопросе обмена информации. Просто вариантов взлома множество, что является за рамками данной статьи.
2. Wosign — на китайском сайте, нужно регистрироваться (я не пробовал).
3. StartCom — бесплатный сертификат на 3 года, но со старым алгоритмом шифрования. Гугл его не принимает, так что не советую.
4. Сloudflare — бесплатный сертификат до 15 лет, советую, тем более, что сертификат Comodo, с общепринятым алгоритмом шифрования, считается надежным.
Конечно я перечислил не все варианты, но те, что я предложил, вам будет достаточно. Из вышеназванного списка я предпочел сертификат от Сloudflare (клаудфларе). Почему? Потому, что там дадут не только бесплатный сертификат на длительный срок, но и этот сервис может предложить кучу других полезных услуг. Включая защиту от DDOS атак.
Может не всем стоит опасаться такого натиска хакеров, но это случается рано или поздно, поэтому нужно обезопасить себя. А с остальным списком этого сервиса можете ознакомиться самостоятельно.
Как получить бесплатный сертификат SSL на Сloudflare?
Для начала нужно зайти на страницу регистрации Сloudflare, где вы впишите эл. почту и пароль, поставите галочку подтвердив свое согласие с данным соглашением. Затем на почту придет письмо, где вы должны нажать на ссылку, для активации вашего аккаунта.
Далее заходите на сайт и справа вверху нажимаете на +Add Site, то есть добавить сайт. Здесь хочу предупредить, что процедура добавления сайта обязательна, занимает не так много времени.
Далее открывается окно, в котором нужно ввести имя вашего сайта и нажать на Begin Scan (начать сканирование)
После чего домен просканируется и далее нажать на Continue Setup (продолжить установку).
здесь нужно добавить в поле Name символ @, в поле IPv4 address 8.8.8.8 и нажать Continue (продолжить). Это означает, что мы прописываем использование DNS гугла (8.8.8.8). Кто желает посмотреть чуть подробнее, тот может глянуть короткое видео от CloudFlare, где вкратце показывается эта процедура.
Здесь нужно выбрать тариф Free Website, если вы хотите получить сервис бесплатно, а кто желает получить более полные услуги, тот может и раскошелиться. Здесь ведь главное изучить возможности этого сервиса, а по описаниям он может многое. В этом же окне жмите на Продолжить
На данном этапе говорится, что нужно на своем хостинге сменить NS адреса c ваших на их. в данном случае адрес ns1.r01.ru нужно сменить на mira.ns.cloudflare.com и ns2.r01.ru на woz.ns.cloudflare.com. Это нужно для того, чтобы добавить ваш домен в этот сервис, чтобы далее получить сертификат.
Вам нужно самим сменить или обратиться в тех.поддержку с просьбой о смене NS адресов, указав новые NS сервера. Эта процедура по замене займет около 8 часов, но ваш сайт останется работоспособным, так что можно не переживать.
Как только смените адреса, ваш домен будет бесплатно добавлен в этот сервис. Что позволит вам перейти к процедуре получения сертификата клаудфларе и как только нажмете Продолжить (после смены NS адресов), то увидите, что ваш домен добавлен.
Далее открываете раздел Crypto, нажав в графическом меню кнопку Crypto(см. ниже)
Промотайте ниже и найдите следующий раздел (смотрите на картинку ниже)
Нажмите на синюю кнопку Create Sertificate (создать сертификат)
В высветившемся окне нужно только ввести имя своего сайта, для примера я ввёл свой.
Напомню, что ранее, вы меняли NS адреса, если не сменили, то не сможете продвинуться дальше.
А ниже нужно указать срок жизни сертификата SSL, выбор здесь богаче, чем то что я видел в других местах. Можно выбрать до 15 лет, что я и сделал. Ну уж если вам это кажется слишком много, то можете заходить почаще сюда и менять его хоть каждые пол года, никто возражать не будет.
Если у вас есть желание сделать сертификат еще для сайта www.myborder.ru (а не только myborder.ru), добавляйте таким образом: *.myborder.ru
Далее нажимаете зеленую кнопку Next (Далее), где откроется новое окно
В котором нужно скопировать все символы как указано на картинке и создать например на рабочем столе текстовый файл и вставить эти символы туда. Этот файл можно назвать как угодно (например sertificate), но расширение обязательно нужно сменить на crt. Теперь вы стали обладателем сертификата для вашего домена.
Но не спешите, нужен ещё ключевой файл, вернемся к нашему окну и прокрутим чуть ниже, далее вы увидите
в разделе Private Key в сером окне также много символов и как вы уже догадались их тоже нужно скопировать и так же создать текстовый файл и вставить их туда. Затем обзовите это файл, например private и обязательно замените расширение с txt на key.
Вот теперь вы полностью готовы для перехода на https, у вас на руках есть два заветных файла, с которыми нужно пройти к своему хостеру и там их указать. Дело в том, что у каждого хостера свой интерфейс, поэтому я не смогу всем сказать где нужно указать, но вы можете воспользоваться тех. поддержкой, там без труда покажут.
Хочу ещё напомнить, что если кто-то не знает как устанавливать сертификат SSL на локальном компе или VPS, то на последнем скриншоте внизу есть раздел Web Server for Installation, просто нужно выбрать ваш вариант и справа нажать на Read Instructions for this server type (читайте инструкции для указанного типа сервера).
Как всегда писал больше, чем само получение того сертификата. В целом, когда я искал подобный сертификат для перехода на https, то перелопатил вышеназванные сайты и перепробовал их, пусть не полностью, но во-первых на английском это происходит помедленнее, а во вторых время на пробы и испытания уходит куда больше.
После подключения сертификата, можно проверить его правильную установку на сайте с помощью которого сможете проверить правильность установки, более того выдаст вам информацию по вашему сертификату, а может и выдаст ошибки. Вообщем пользуйтесь.
В свое время я не нашел в инете похожей инструкции и решил написать на своем опыте, чтобы другим было проще сделать.
Так что пользуйтесь моим творением и если чего не ясно, то задавайте вопросы или можете предложить еще сайты для получения бесплатных сертификатов.
Напоминалка: ни в коем случае не выкладывайте в общий доступ файл privat.key, с его помощью ваш сайт легко взломают.
Итог
Если вы прошли все данные этапы, то вы стали участником сервиса CloudFlare, где вы уже находитесь под минимальной защитой от DDOS атак и получили сертификат SSL, с помощью которого можете перейти к безопасному режиму работы своего сайта. Более того, если вы хотите увеличить безопасность, то можно получить их в данном сервисе. А если, не дай бог, ваш сайт начали сильно атаковать по DDOS и ваш провайдер не справляется с ними, то Клаудфларе сможет помочь, но уже за определенную плату.
Вот всё хорошо с сервисом клаудфларе, но использовать их сертификат SSL можно только тогда, когда вы подключены к ихнему CDN, т.е. подключены через их DNS, тогда сертификат будет подключен правильно и будет работоспособным. В остальных случаях сертификат будет неактивным.
В случае, если вам этот сервис не нужен, то после получения сертификата, можете сменить NS адреса и вернуться в прежний режим работы, но уже используя полученные сертификаты.