Бесплатный SSL-сертификат для ленивых «чайников»

На текущий момент существует всего два способа получить бесплатный SSL-сертификат. Первый - это сертификат от Let's Encrypt, который выдается на 3 месяца и требует постоянно перевыпуска, второй - это универсальный сертификат от COMODO, который доступен клиентам Cloudflare, в том числе и на бесплатном тарифе.

Бесплатный SSL-сертификат для ленивых «чайников»

В этой статье я опишу что из себя представляет Cloudflare и сертификат от него и чем он отличается от того же Let's Encrypt. Пошаговую инструкцию можете найти тут.

Для тех, кто не в курсе, Cloudflare - это такой посредник между сайтом и посетителем, который защищает сервер клиента (читай сайт), кроме того выступает в качестве CDN (Content Delivery Network) ускоряя загрузку сайта. Иными словами благодаря Cloudflare и подобным сервисам владельцам сайтов нет необходимости тратится на сервера и защиту от DDoS-атак. Вопрос доступа к сайту этот сервис берет на себя и фильтрует запросы, которые похожи на атаку. Большое количество функционала доступно бесплатно владельцу любого сайта.

То есть в довесок к халявному сертификату вы ещё получите кучу других полезных плюшек, в том числе и ускорение загрузки, что является одним из факторов ранжирования, существенным или нет - это уже вопрос другой.

Самое удивительное что SSL-сертификаты Cloudflare начала выдавать ещё в 2014 году, но почему-то сие не получило широкой огласки в отличии от остальных вариантов. Когда я уже целенаправленно стал искать информацию по тому или иному инструменту Cloudflare, то только тогда я начал натыкаться на статьи, новости и обзоры той или иной конфигурации Cloudflare. несмотря на популярность этого сервиса, как источник халявного SSL-сертификата его позиционируют редко и вскользь.

Для среднестатистического обладателя сайта без глубоких познаний Cloudflare - незаменимый вариант, поскольку некоторые вещи позволяет настраивать без ковыряния файлов на сервере, все делается элементарными действиями, которые легко выполнить под диктовку.

Минусы

Как у всего бесплатного, у данного решения конечно же есть минусы. Самый большой минус - это время, которое необходимо на то, чтобы Cloudflare заработал, поскольку DNS-сервера штука не часто обновляемая, то требуется выждать серьезный период времени, прежде чем обновления DNS достигнут самых нерасторопных в этом плане провайдеров(такого как мой).

Второй минус - это то, что назвать канал защищенным можно с натяжкой, поскольку защищенным он будет между клиентом и сервером Cloudflare, а вот между Cloudflare и вашим сайтом трафик будет идти по HTTP. По сути проблему в этом увидят фанаты безопасности и параноики, но это не трудно исправить установив на сервер сертификат от Cloudflare, , но тут уже потребуется заморочиться чуть больше. Сам по себе этот сертификат работать не будет и нужен он только в связке с Cloudflare.

Третий минус является следствием второго, поскольку при таком принципе возникают проблемы в работе WordPress, он утопает в бесконечных редиректах, от которых спасает плагин. За другие CMS ничего не могу сказать, не проверял и не изучал этот вопрос подробно.

Отличия от других серитификатов

Не совсем корректное сравнение, но тем не менее. Сам по себе сертификат не сильно отличается от того же бесплатного Let's Encrypt. Ключевым отличием является то, что HTPPS, в случае с сертификатом от Let's Encrypt, начинает работать сразу же после его установки на сервер и отсутствуют незащищенные участки. Но на этом кончаются преимущества и начинаются проблемы, поскольку сертификат от Let's Encrypt выдается всего на 3 месяца и необходимо изобретать костыли для автоматического обновления. К слову сказать в ISPmanager уже заложена такая функция и сертификат обновляется автоматически за 7 дней до окончания срока действия.

Как я уже говорил, в довесок с халявным сертификатом от Cloudflare мы получаем CDN, который ускоряет загрузку нашего сайта путем раздачи кешируемого контента с серверов, которые ближе всего расположены к посетителю и тем самым существенно экономит ресурсы, которых не так уж и много на хостинге. У Cloudflare один из самых быстрых DNS, если не самый быстрый, это также сказывается положительным образом на скорости загрузки сайта.

Как я это делаю

Добавляю сайт в Cloudflare, отключаю его, кликнув изображения облаков на вкладке «DNS».

Серые со стрелкой в обход - отключено, оранжевые - включено.
Серые со стрелкой в обход - отключено, оранжевые - включено.

Затем произвожу все необходимые настройки, в том числе и установку сертификата на сайт, а после на несколько дней забываю про Cloudflare. За это время все должно обновится и можно будет включить, не боясь каких-либо проблем. Обычно недели хватает для уверенности что информация об изменениях связанных с вашим сайтом достигла абсолютно всех. После чего можно смело приступать к переводу сайта на HTTPS.

1010
29 комментариев

Хабр переехал на vc? О_о

5

Хабр 5-летней давности...
А по сабжу - давно уже есть certbot на Питоне, который все делает за вас....
Статья тут нужна видимо только для того, чтобы пропиарить ресурс автора - dampi.ru...

7

Статья “ни о чем”. Автор привел в пример Cloudflare и LE, но напрочь забыл рассказать про оба сертификата в деталях. Про их плюсы и минусы - сказано только из позиции Cloudflare и только в минусах.

А то, что Cloudflare предлагает:

* универсальный SSL на основе ECC и гарантирует самую строгую защиту соединения

* бесплатный SSL, который подписан лично Cloudflare

* сервисы для корп.сегмента

уж (видимо) все забыли.

Если не замечали, то любой трафик можно передавать по HTTPS, а не только по HTTP. Просто настройте комбинацию LE + Cloudflare.

Так же - сертификаты для CF выпускаются сроком на 6-9 месяцев и 3 месяца (соответственно) для Let's Encrypt. Это обосновано тем, что это сертификаты в формате “спец.заказа”.

Сертификаты ECC от Comodo выпускаются с другими условиями и ценами. Как правило, SSL от Comodo защищает только благодаря ключам RSA 2048-4096.

Либо удалите статью, либо перепишите.

6

Let's Encrypt - это бесплатный аналог Comodo, GlobalSign, GeoTrust. Да, LE подписывает сертификаты на 3 месяца, но автор так же забыл, что сейчас есть онлайн-сервисы для выпуска SSL, без доп. мучений со стороны клиента.

В ISPmanager (которую упоминал автор), так же есть модуль для выпуска сертификата в стиле “нажал и выпустил”.

2

среди сайтов находящихся в реестре заблокированных сайтов РФ есть и те кто cloudflare пользуется. И соотвественно будет недоступен ваш сайт

1

У CF много серверов, пока не сталкивался чтобы мои сайты на нем были недоступны, а их много. Но в целом бывает, некоторые зарубежные сайты действительно не открываются из РФ

Реально, статья ни о чем. Зато обратный линк автор заимел. Тьфу

1