Оффтоп Денис Бидюков
3 673

Бесплатный SSL-сертификат для ленивых «чайников»

На текущий момент существует всего два способа получить бесплатный SSL-сертификат. Первый - это сертификат от Let's Encrypt, который выдается на 3 месяца и требует постоянно перевыпуска, второй - это универсальный сертификат от COMODO, который доступен клиентам Cloudflare, в том числе и на бесплатном тарифе.

В закладки

В этой статье я опишу что из себя представляет Cloudflare и сертификат от него и чем он отличается от того же Let's Encrypt. Пошаговую инструкцию можете найти тут.

Для тех, кто не в курсе, Cloudflare - это такой посредник между сайтом и посетителем, который защищает сервер клиента (читай сайт), кроме того выступает в качестве CDN (Content Delivery Network) ускоряя загрузку сайта. Иными словами благодаря Cloudflare и подобным сервисам владельцам сайтов нет необходимости тратится на сервера и защиту от DDoS-атак. Вопрос доступа к сайту этот сервис берет на себя и фильтрует запросы, которые похожи на атаку. Большое количество функционала доступно бесплатно владельцу любого сайта.

То есть в довесок к халявному сертификату вы ещё получите кучу других полезных плюшек, в том числе и ускорение загрузки, что является одним из факторов ранжирования, существенным или нет - это уже вопрос другой.

Самое удивительное что SSL-сертификаты Cloudflare начала выдавать ещё в 2014 году, но почему-то сие не получило широкой огласки в отличии от остальных вариантов. Когда я уже целенаправленно стал искать информацию по тому или иному инструменту Cloudflare, то только тогда я начал натыкаться на статьи, новости и обзоры той или иной конфигурации Cloudflare. несмотря на популярность этого сервиса, как источник халявного SSL-сертификата его позиционируют редко и вскользь.

Для среднестатистического обладателя сайта без глубоких познаний Cloudflare - незаменимый вариант, поскольку некоторые вещи позволяет настраивать без ковыряния файлов на сервере, все делается элементарными действиями, которые легко выполнить под диктовку.

Минусы

Как у всего бесплатного, у данного решения конечно же есть минусы. Самый большой минус - это время, которое необходимо на то, чтобы Cloudflare заработал, поскольку DNS-сервера штука не часто обновляемая, то требуется выждать серьезный период времени, прежде чем обновления DNS достигнут самых нерасторопных в этом плане провайдеров(такого как мой).

Второй минус - это то, что назвать канал защищенным можно с натяжкой, поскольку защищенным он будет между клиентом и сервером Cloudflare, а вот между Cloudflare и вашим сайтом трафик будет идти по HTTP. По сути проблему в этом увидят фанаты безопасности и параноики, но это не трудно исправить установив на сервер сертификат от Cloudflare, , но тут уже потребуется заморочиться чуть больше. Сам по себе этот сертификат работать не будет и нужен он только в связке с Cloudflare.

Третий минус является следствием второго, поскольку при таком принципе возникают проблемы в работе WordPress, он утопает в бесконечных редиректах, от которых спасает плагин. За другие CMS ничего не могу сказать, не проверял и не изучал этот вопрос подробно.

Отличия от других серитификатов

Не совсем корректное сравнение, но тем не менее. Сам по себе сертификат не сильно отличается от того же бесплатного Let's Encrypt. Ключевым отличием является то, что HTPPS, в случае с сертификатом от Let's Encrypt, начинает работать сразу же после его установки на сервер и отсутствуют незащищенные участки. Но на этом кончаются преимущества и начинаются проблемы, поскольку сертификат от Let's Encrypt выдается всего на 3 месяца и необходимо изобретать костыли для автоматического обновления. К слову сказать в ISPmanager уже заложена такая функция и сертификат обновляется автоматически за 7 дней до окончания срока действия.

Как я уже говорил, в довесок с халявным сертификатом от Cloudflare мы получаем CDN, который ускоряет загрузку нашего сайта путем раздачи кешируемого контента с серверов, которые ближе всего расположены к посетителю и тем самым существенно экономит ресурсы, которых не так уж и много на хостинге. У Cloudflare один из самых быстрых DNS, если не самый быстрый, это также сказывается положительным образом на скорости загрузки сайта.

Как я это делаю

Добавляю сайт в Cloudflare, отключаю его, кликнув изображения облаков на вкладке «DNS».

Серые со стрелкой в обход - отключено, оранжевые - включено.

Затем произвожу все необходимые настройки, в том числе и установку сертификата на сайт, а после на несколько дней забываю про Cloudflare. За это время все должно обновится и можно будет включить, не боясь каких-либо проблем. Обычно недели хватает для уверенности что информация об изменениях связанных с вашим сайтом достигла абсолютно всех. После чего можно смело приступать к переводу сайта на HTTPS.

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Денис Бидюков", "author_type": "self", "tags": [], "comments": 25, "likes": 8, "favorites": 61, "is_advertisement": false, "subsite_label": "flood", "id": 45223, "is_wide": false }
00
дни
00
часы
00
мин
00
сек
(function(){ var banner = document.querySelector('.teaserSberbank'); var isAdsDisabled = document.querySelector('noad'); if (!isAdsDisabled){ var countdownTimer = null; var timerItem = document.querySelectorAll('[data-sber-timer]'); var seconds = parseInt('15388' + '59599') - now(); function now(){ return Math.round(new Date().getTime()/1000.0); } function timer() { var days = Math.floor(seconds / 24 / 60 / 60); var hoursLeft = Math.floor((seconds) - (days * 86400)); var hours = Math.floor(hoursLeft / 3600); var minutesLeft = Math.floor((hoursLeft) - (hours * 3600)); var minutes = Math.floor(minutesLeft / 60); var remainingSeconds = seconds % 60; if (days < 10) days = '0' + days; if (hours < 10) hours = '0' + hours; if (minutes < 10) minutes = '0' + minutes; if (remainingSeconds < 10) remainingSeconds = '0' + remainingSeconds; if (seconds <= 0) { clearInterval(countdownTimer); } else { timerItem[0].textContent = days; timerItem[1].textContent = hours; timerItem[2].textContent = minutes; timerItem[3].textContent = remainingSeconds; seconds -= 1; } } timer(); countdownTimer = setInterval(timer, 1000); } else { banner.style.display = 'none'; } })();
{ "id": 45223, "author_id": 128979, "diff_limit": 1000, "urls": {"diff":"\/comments\/45223\/get","add":"\/comments\/45223\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/45223"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

25 комментариев 25 комм.

Популярные

По порядку

Написать комментарий...
6

Статья “ни о чем”. Автор привел в пример Cloudflare и LE, но напрочь забыл рассказать про оба сертификата в деталях. Про их плюсы и минусы - сказано только из позиции Cloudflare и только в минусах.

А то, что Cloudflare предлагает:

* универсальный SSL на основе ECC и гарантирует самую строгую защиту соединения

* бесплатный SSL, который подписан лично Cloudflare

* сервисы для корп.сегмента

уж (видимо) все забыли.

Если не замечали, то любой трафик можно передавать по HTTPS, а не только по HTTP. Просто настройте комбинацию LE + Cloudflare.

Так же - сертификаты для CF выпускаются сроком на 6-9 месяцев и 3 месяца (соответственно) для Let's Encrypt. Это обосновано тем, что это сертификаты в формате “спец.заказа”.

Сертификаты ECC от Comodo выпускаются с другими условиями и ценами. Как правило, SSL от Comodo защищает только благодаря ключам RSA 2048-4096.

Либо удалите статью, либо перепишите.

Ответить
2

Let's Encrypt - это бесплатный аналог Comodo, GlobalSign, GeoTrust. Да, LE подписывает сертификаты на 3 месяца, но автор так же забыл, что сейчас есть онлайн-сервисы для выпуска SSL, без доп. мучений со стороны клиента.

В ISPmanager (которую упоминал автор), так же есть модуль для выпуска сертификата в стиле “нажал и выпустил”.

Ответить
0

А в чём, позвольте, мучения? В том, что нужно 5-10 минут подумать и сделать раз и навсегда? По мне, все эти бесплатные сертификаты имеют одну неприятную особенность: они могут вдруг перестать работать, так как договором это предусматривается. В своё время мы думали использовать бесплатные сертификаты, но решили отказаться от этого во имя безопасности, когда внезапно остаёшься безо всего безо всяких предупреждений.

Ответить
0

Не бывает такого, чтобы любой SSL отменили без предуприждений. CA заранее предуприждает о сроке истечения сертификата.

LE предуприждает за месяц, 2 недели, неделю и 3 дня. Если ты не занимаешься “чернухой”, то никто твой сертификат отменять напрямую из CA не будет.

Ответить
0

Хм... WoSign, по-моему, благодаря регистраторам превратилась в тыкву.

Ответить
0

Это не аргумент. У Wosign была причина, по которой им отказали и удалили корневые сертификаты везде, где только можно.

Ответить
0

Извините, я не соглашусь. Можно было сделать Revoke для левых сертификатов и держать на контроле. Это делать не захотели. Результат - имеем то, что имеем. Если вы думаете, что тут нет сговора, то зря. Comodo на том же палилась, но её так и не удалили.

Ответить
3

Хабр переехал на vc? О_о

Ответить
7

Хабр 5-летней давности...
А по сабжу - давно уже есть certbot на Питоне, который все делает за вас....
Статья тут нужна видимо только для того, чтобы пропиарить ресурс автора - dampi.ru...

Ответить
0

certbot на Питоне

когда есть десятки клиентов на разных языках, в т.ч. без кучи зависимостей и одним бинарником

Ответить
0

Например какие десятки клиентов и о какой кучи зависимостей вы говорите?
Letsencrypt сам например советует использовать вышеупомянутый certbot.

Ответить
0

какие десятки клиентов

https://letsencrypt.org/docs/client-options/

о какой кучи зависимостей вы говорите

которые требуются для выполнения скриптов certbot'а (это же питон). На чистом ubuntu я говорю о 70+ пакетов размером в 200+ мб.
Вот это все для дернуть раз в три месяца let's encrypt ну правда перебор.

В случае например вот этого клиента, мы говорим об одном бинарнике размером в 15 мб (а он все умеет)
https://github.com/xenolf/lego

А вот бинарник размером 1.5 мб
https://github.com/jmccl/acme-lw

набор баш-скриптов 0.5 мб, из которых можно оставить 1-2 нужных конкретно вам (0.2 мб)
https://github.com/Neilpang/acme.sh

Letsencrypt сам например советует использовать вышеупомянутый certbot.

они сделали, они и предлагают. Они же предлагают еще и сотню сторонних клиентов на все вкусы и потребности.

Ответить
1

А мне хостинг даёт бесплатный по нажатию одной кнопки

Ответить
0

куча хостингов уже так делает (:

Ответить
0

Бегет сделал за 5 минут.

Ответить
0

Info box ru даёт или нет? А то не доходили руки заняться

Ответить
0

Мне тоже даёт, но только в том случае, если этот домен, поддомен находится на хостинге у него, а если домен поддерживается его DNS, но сайт вынесен за пределы хостинга - нет.

Ответить
1

3 месяца назад я написал эту песню... Стоп, это из другой истории.
Вот тут я подробненько написал с гифками как подключить себе CF сертификат и перестать беспокоиться https://vk.com/@landbomb-https-cloudflare
Хотя действительно, многие хостинги делают это по нажатию кнопки. CF мне нравится мгновенным переключением домена на другой адрес и простым и быстрым способом создания поддоменов, пользуюсь уже года 4 им почти для всех доменов

Ответить
1

уже давно все автоматом с le обновляется https://hub.docker.com/r/gordonchan/auto-letsencrypt/ как пример, есть уже полностью настроенные с веб серверами и тп

Ответить
0

Cloudflare ещё хорош тем, что позволяет бороться с санкциями местных ИТ-регуляторов (повышает доступность сайтов под блокировками) и отражает DDOS-атаки. Главное, что самое технически доступное и раскрученное решение.

Ответить
0

среди сайтов находящихся в реестре заблокированных сайтов РФ есть и те кто cloudflare пользуется. И соотвественно будет недоступен ваш сайт

Ответить
0

У CF много серверов, пока не сталкивался чтобы мои сайты на нем были недоступны, а их много. Но в целом бывает, некоторые зарубежные сайты действительно не открываются из РФ

Ответить
0

Реально, статья ни о чем. Зато обратный линк автор заимел. Тьфу

Ответить
0

Это шутка какая-то? :)
Автор, очнись, на дворе 2018 год!

Let's Encrypt есть буквально у каждого адекватного хостера из коробки и на всех тарифах.
reg.ru, beget.com, sweb.ru, sprinthost.ru, timeweb.ru, majordomo.ru, peterhost.ru, hc.ru
И это только в СПБ и то, что я смог вспомнить.

Сертификат устанавливается в 2 клика и активируется буквально через 3-5 минут.
Халява уже давно плотно вошла в наши дома :)

И чтобы не быть голословным, вот тебе промо-код на месяц на Спринтхост.ру https://sprinthost.ru/promo/SPH5V14772

Правда это младший тариф, но хватит, чтобы потыкаться в Let's Encrypt и покурить связку с Cloudflare. Для WP точно хватит.

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Голосовой помощник выкупил
компанию-создателя
Подписаться на push-уведомления