Як встановити SSL-сертифікат: інструкція і важливі нюанси, про які розповідають не скрізь

SSL-сертифікат – обов’язковий атрибут будь-якого комерційного сайту. Без нього багато користувачів просто не зможуть потрапити на ваш веб-ресурс тому браузер буде «лаятися», попереджаючи, що «підключення не захищене і може бути небезпечним», всіляко перешкоджаючи завантаженню такого сайту. Буде неможливо організувати приймання платежів онлайн (платіжні сервіси відмовлять в підключенні). Швидше за все виникнуть проблеми з SEO-просуванням.

Ми в GMHOST підготували інструкцію по установці різних видів SSL-сертифікатів. Щоб встановити SSL-сертифікат, його треба купити.

Це робиться за допомогою центрів сертифікації (GeoTrust, Thawte, Symantec, Comodo, RapidSSL, Global Sign і ін.) Або у посередника. У нас в GMHOST можна купити та приєднати сертифікат в кілька кліків. Наші фахівці допоможуть вибрати та налаштувати підходящий варіант.

Залежно від специфіки сайту і ваших побажань можна вибрати один з варіантів:

• Сертифікат з перевіркою домену (Domain validation, DV).
• З перевіркою організації (Organization validation, OV).
• З розширеною перевіркою (Extended validation, EV).

Детальніше про їх особливості – в статті в нашому блозі. Механізм установки для всіх трьох різновидів однаковий. Він включає створення запиту в центр сертифікації, придбання SSL, установку, настройку і перенаправлення трафіку з HTTP на HTTPS. Розгляньмо всі ці етапи.

Випуск SSL починається зі створення SCR запиту

Щоб центр сертифікації випустив сертифікат, потрібно сформувати так званий SCR-запит. У нього в зашифрованому вигляді заноситься інформація про покупця (фізичну особу або компанії). Також в складі SCR-запиту міститься приватний ключ для підпису сертифікату.

Створити найзручніше через спеціальні онлайн-сервіси або панелі управління хостингом. Принцип в обох випадках однаковий – заповнюються поля з відомостями про покупця, і система формує запит, який відправляється в центр сертифікації.

Наприклад у нас в хостингу GMHOST з панеллю керування ISPmanager цей процес виглядає так (в інших панелях все робиться за аналогією):

• Зайдіть в розділ панелі управління WWW-> SSL-сертифікати.
• Клацніть по ярлику «Запити (SCR)».

• У вікні клацніть по кнопці «Створити». З’явиться форма для внесення даних про замовника. Заповніть поля та натисніть Ок.

Значення полів зрозуміле, головне – не помилитися в написанні при введенні інформації. Є критично важливий момент – адреса електронної пошти. Допускається використовувати тільки e-mail на вашому домені. Поштові скриньки з інших систем не підходять. При цьому допустимі 5 варіантів імен поштових скриньок: [email protected], [email protected], administrator @ …, admin @ або webmaster @. У більшості хостерів при введенні в поле e-mail невірного значення з’явиться помилка. Але все одно знати про цю обов’язкову вимогу треба. Мало яким сервісом для генерації SCR ви вирішите скористатися (ми в GMhost рекомендуємо робити це через панель управління хостингом).

В результаті генерації ви отримаєте текст запиту і приватний ключ. Ці відомості потрібні для покупки.

Купівля SSL-сертифікату

До оплати або після неї (в залежності від продавця) потрібно заповнити форму запиту на підпис сертифікату. Тут виберіть «Введення наявного SCR», а поле для запиту вставте текст, скопійований з поля «Текст запиту SSL-сертифіката», сформований на попередньому кроці.

Вміст поля копіюється в повному обсязі, починаючи з –BEGIN CERTIFICATE REQUEST–, закінчуючи –END CERTIFICATE REQUEST–, включно.

У наступній формі вводяться дані покупця (фізичної особи або компанії), пошта, термін дії.

Підтвердження права власності на домен

Після оформлення заявки на випуск потрібно підтвердити володіння доменом. Зробити це можна:

• За посиланням в e-mail. На пошту, вказану при формуванні запиту, приходить посилання. Для підтвердження потрібно перейти по ньому.
• З TXT-файлу. Центр сертифікації відправляє txt-файл, який потрібно розмістити в кореневій директорії сайту.
• Додавши txt-запис в конфігурацію DNS свого домену (докладна інструкція є в нашому блозі).
• Додавши метатег в код головної сторінки web-ресурсу.

Вибір способу залежить від центру сертифікації і ваших уподобань.

Зауваження для покупців OV і EV-сертифікатів

На поглиблену перевірку компанії потрібен деякий час. Тому лист з SSL-сертифікат і ланцюжком прийде не відразу. Вам ще належить надати центру сертифікації документи, які він запросить, і тільки після цього сертифікат буде випущений. Як правило, документи надаються в електронному вигляді (скани з печатками). Деякі центри сертифікації використовують для перевірки дані із загальнодоступних джерел (бази податкової, реєстру юридичних осіб та ін.).

Після всіх перевірок центр сертифікації надішле на вказану вами пошту лист з файлом, в якому міститься інформація про ваш SSL, і ланцюжок сертифікатів. Збережіть їх в надійному місці. Ці відомості знадобляться на наступних етапах.

Як встановити SSL-сертифікат на сайт

Перейдіть в розділ WWW-> SSL-сертифікати. Натисніть кнопку «Створити». У вікні поставте позначку навпроти пункту «Чинний» і натисніть «Далі».

З’явиться форма. Для заповнення. В полі

введіть ім’я, яке вказали при створенні SCR-запиту. Тут

вкажіть текст з файлу c SSL-сертифікат, який надіслав на пошту реєстратор.

В поле для ключа

вставте текст з розділу «перевірки ключ запиту SSL-сертифіката» зі сформованого раніше SCR-запиту.

Текст вставляється повністю, починаючи з –BEGIN RSA PRIVATE KEY–, закінчуючи –END RSA PRIVATE KEY–, включно.

Сюди вставте ланцюжок з листа, надісланого на e-mail центром сертифікації.

Готово. SSL-сертифікат підключений. Але це не все. Його ще потрібно активувати – «прив’язати» до домену.

Активація встановленого SSL

Активація відбувається через панель управління. Для прив’язки встановленого на хостинг SSL-сертифіката до домену перейдіть в розділ WWW-> WWW-домени і клікніть по потрібному. З’явиться форма для редагування відомостей про домен. Міняти в ній нічого не потрібно. Поставте галочку навпроти пункту SSL, а нижче в випадаючому списку виберіть ім’я сертифіката, який був доданий на попередньому кроці.

Готово. SSL – підключений, підключення до веб-ресурсу здійснюється по захищеному протоколу HTTPS.

Важливий нюанс, який може стосуватися вас

Після підключення обов’язково перевірте код веб-ресурсу на наявність абсолютних посилань на ресурси (файли стилів, скрипти, зображення та ін.) Без SSL (коли посилання починається з http, а не https). Особливо це актуально, якщо веб-ресурс створювався за допомогою онлайн-конструкторів та інших сервісів). Абсолютні лінки виду http://yoursite.xyz/page/ в більшості випадків розцінюються пошуковими системами як небезпечні. Тому по можливості поміняйте все абсолютні лінки з http на відносні або безпечні – з https.

Для WordPress і інших популярних систем управління контентом є спеціальні плагіни. Завдяки їм не доведеться копатися в коді і відловлювати всі посилання з абсолютними адресами – все робиться в автоматичному режимі. Вам потрібно буде тільки проконтролювати результат.

Редирект трафіку з HTTP на HTTPS

Для підвищення рівня захисту сайту після установки SSL-сертифіката не завадить зробити редирект незахищеного з’єднання на захищене (з HTTP на HTTPS). Для цього в кореневій теці веб-ресурсу потрібно змінити файл .htaccess (або додати, якщо його немає). Для редиректу в файлі повинні бути наступні рядки:

RewriteEngine On

RewriteCond% {HTTPS} off

RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Якщо сайт не новий і ви використовуєте його для продажу, зверніть увагу, що зміна протоколу з http на https може привести до «випадання» ресурсу з індексу пошукових систем на деякий час. В такому випадку рекомендуємо перед установкою сертифіката на сайт узгодити всі з вашими фахівцями з просування.

Як встановити безплатний SSL-сертифікат

Для деяких веб-ресурсів буде досить безплатного SSL-сертифіката. Встановити його також можна через панель управління хостингом. При цьому немає потреби звертатися в центр сертифікації – все робиться автоматично.

Розглянемо процес на прикладі безплатного Let’s Encrypt (саме його пропонує більшість хостерів). Щоб встановити його на сайт:

• Перейдіть в розділ WWW-> SSL-сертифікати.
• У вікні натисніть кнопку «Let’s Encrypt».
• З’явиться форма для вибору домену, який потрібно захистити за допомогою HTTPS. У списку виберіть сайт, для якого потрібно випустити безплатний «Let’s Encrypt».
• Натисніть ОК, сертифікат буде випущений і автоматично встановиться.

Let’s Encrypt як правило активується не відразу, чого не відбувається зі звичайними сертифікатами. У деяких випадках потрібно почекати до 30 хвилин.

Можна користуватися як є, а можна змінити відомості за замовчуванням. Клацніть по створеному сертифікату та натисніть кнопку «Інформація». З’явиться форма, яку за замовчуванням хостер заповнює ідентично для всіх клієнтів, що випускають безплатний Let’s Encrypt. У неї можна внести відомості про себе (якщо web-ресурс належить фізичній особі) або компанії (якщо веб-ресурс корпоративний). Чи обов’язково вносити свої дані? Ні. Але якщо ви хочете підвищити рівень довіри користувачів, які вирішать перевірити відомості, що містяться в SSL-сертифікат, рекомендуємо зробити це.

Якщо встановлюєте Let’s Encrypt або інше безплатне рішення, майте на увазі, що в більшості випадків термін дії обмежений 3 місяцями. Тобто щоквартально доведеться проробляти процедуру по його перевипуску.

У якості альтернативи Let’s Encrypt можна розглянути такі варіанти, як CAsert, AlwaysOnSSL, CloudFlare.

Як перевірити, що все встановлено і працює нормально

Для перевірки є відповідні сервіси в інтернеті, які легко знайти за допомогою пошукової системи за запитами виду «перевірити SSL». Якщо все ок, за результатами перевірки сервіс видасть повідомлення на кшталт

Або в подібному вигляді:

Як бачите, впоратися з установкою SSL-сертифіката реально своїми силами. Якщо ж щось не виходить, зверніться в службу підтримки свого хостера. Наприклад, ми в GMHOST надаємо клієнтам, які розміщують сайти на наших віртуальному хостингу і VPS/VDS, безплатну допомогу в таких питаннях.