Бесплатный SSL-сертификат для ленивых «чайников»
На текущий момент существует всего два способа получить бесплатный SSL-сертификат. Первый - это сертификат от Let's Encrypt, который выдается на 3 месяца и требует постоянно перевыпуска, второй - это универсальный сертификат от COMODO, который доступен клиентам Cloudflare, в том числе и на бесплатном тарифе.
В этой статье я опишу что из себя представляет Cloudflare и сертификат от него и чем он отличается от того же Let's Encrypt. Пошаговую инструкцию можете найти тут.
Для тех, кто не в курсе, Cloudflare - это такой посредник между сайтом и посетителем, который защищает сервер клиента (читай сайт), кроме того выступает в качестве CDN (Content Delivery Network) ускоряя загрузку сайта. Иными словами благодаря Cloudflare и подобным сервисам владельцам сайтов нет необходимости тратится на сервера и защиту от DDoS-атак. Вопрос доступа к сайту этот сервис берет на себя и фильтрует запросы, которые похожи на атаку. Большое количество функционала доступно бесплатно владельцу любого сайта.
То есть в довесок к халявному сертификату вы ещё получите кучу других полезных плюшек, в том числе и ускорение загрузки, что является одним из факторов ранжирования, существенным или нет - это уже вопрос другой.
Самое удивительное что SSL-сертификаты Cloudflare начала выдавать ещё в 2014 году, но почему-то сие не получило широкой огласки в отличии от остальных вариантов. Когда я уже целенаправленно стал искать информацию по тому или иному инструменту Cloudflare, то только тогда я начал натыкаться на статьи, новости и обзоры той или иной конфигурации Cloudflare. несмотря на популярность этого сервиса, как источник халявного SSL-сертификата его позиционируют редко и вскользь.
Для среднестатистического обладателя сайта без глубоких познаний Cloudflare - незаменимый вариант, поскольку некоторые вещи позволяет настраивать без ковыряния файлов на сервере, все делается элементарными действиями, которые легко выполнить под диктовку.
Минусы
Как у всего бесплатного, у данного решения конечно же есть минусы. Самый большой минус - это время, которое необходимо на то, чтобы Cloudflare заработал, поскольку DNS-сервера штука не часто обновляемая, то требуется выждать серьезный период времени, прежде чем обновления DNS достигнут самых нерасторопных в этом плане провайдеров(такого как мой).
Второй минус - это то, что назвать канал защищенным можно с натяжкой, поскольку защищенным он будет между клиентом и сервером Cloudflare, а вот между Cloudflare и вашим сайтом трафик будет идти по HTTP. По сути проблему в этом увидят фанаты безопасности и параноики, но это не трудно исправить установив на сервер сертификат от Cloudflare, , но тут уже потребуется заморочиться чуть больше. Сам по себе этот сертификат работать не будет и нужен он только в связке с Cloudflare.
Третий минус является следствием второго, поскольку при таком принципе возникают проблемы в работе WordPress, он утопает в бесконечных редиректах, от которых спасает плагин. За другие CMS ничего не могу сказать, не проверял и не изучал этот вопрос подробно.
Отличия от других серитификатов
Не совсем корректное сравнение, но тем не менее. Сам по себе сертификат не сильно отличается от того же бесплатного Let's Encrypt. Ключевым отличием является то, что HTPPS, в случае с сертификатом от Let's Encrypt, начинает работать сразу же после его установки на сервер и отсутствуют незащищенные участки. Но на этом кончаются преимущества и начинаются проблемы, поскольку сертификат от Let's Encrypt выдается всего на 3 месяца и необходимо изобретать костыли для автоматического обновления. К слову сказать в ISPmanager уже заложена такая функция и сертификат обновляется автоматически за 7 дней до окончания срока действия.
Как я уже говорил, в довесок с халявным сертификатом от Cloudflare мы получаем CDN, который ускоряет загрузку нашего сайта путем раздачи кешируемого контента с серверов, которые ближе всего расположены к посетителю и тем самым существенно экономит ресурсы, которых не так уж и много на хостинге. У Cloudflare один из самых быстрых DNS, если не самый быстрый, это также сказывается положительным образом на скорости загрузки сайта.
Как я это делаю
Добавляю сайт в Cloudflare, отключаю его, кликнув изображения облаков на вкладке «DNS».
Затем произвожу все необходимые настройки, в том числе и установку сертификата на сайт, а после на несколько дней забываю про Cloudflare. За это время все должно обновится и можно будет включить, не боясь каких-либо проблем. Обычно недели хватает для уверенности что информация об изменениях связанных с вашим сайтом достигла абсолютно всех. После чего можно смело приступать к переводу сайта на HTTPS.
Хабр переехал на vc? О_о
Хабр 5-летней давности...
А по сабжу - давно уже есть certbot на Питоне, который все делает за вас....
Статья тут нужна видимо только для того, чтобы пропиарить ресурс автора - dampi.ru...
когда есть десятки клиентов на разных языках, в т.ч. без кучи зависимостей и одним бинарником
Например какие десятки клиентов и о какой кучи зависимостей вы говорите?
Letsencrypt сам например советует использовать вышеупомянутый certbot.
https://letsencrypt.org/docs/client-options/
о какой кучи зависимостей вы говоритекоторые требуются для выполнения скриптов certbot'а (это же питон). На чистом ubuntu я говорю о 70+ пакетов размером в 200+ мб.
Вот это все для дернуть раз в три месяца let's encrypt ну правда перебор.
В случае например вот этого клиента, мы говорим об одном бинарнике размером в 15 мб (а он все умеет)
https://github.com/xenolf/lego
А вот бинарник размером 1.5 мб
https://github.com/jmccl/acme-lw
набор баш-скриптов 0.5 мб, из которых можно оставить 1-2 нужных конкретно вам (0.2 мб)
Letsencrypt сам например советует использовать вышеупомянутый certbot.https://github.com/Neilpang/acme.sh
они сделали, они и предлагают. Они же предлагают еще и сотню сторонних клиентов на все вкусы и потребности.
Статья “ни о чем”. Автор привел в пример Cloudflare и LE, но напрочь забыл рассказать про оба сертификата в деталях. Про их плюсы и минусы - сказано только из позиции Cloudflare и только в минусах.
А то, что Cloudflare предлагает:
* универсальный SSL на основе ECC и гарантирует самую строгую защиту соединения
* бесплатный SSL, который подписан лично Cloudflare
* сервисы для корп.сегмента
уж (видимо) все забыли.
Если не замечали, то любой трафик можно передавать по HTTPS, а не только по HTTP. Просто настройте комбинацию LE + Cloudflare.
Так же - сертификаты для CF выпускаются сроком на 6-9 месяцев и 3 месяца (соответственно) для Let's Encrypt. Это обосновано тем, что это сертификаты в формате “спец.заказа”.
Сертификаты ECC от Comodo выпускаются с другими условиями и ценами. Как правило, SSL от Comodo защищает только благодаря ключам RSA 2048-4096.
Либо удалите статью, либо перепишите.
Let's Encrypt - это бесплатный аналог Comodo, GlobalSign, GeoTrust. Да, LE подписывает сертификаты на 3 месяца, но автор так же забыл, что сейчас есть онлайн-сервисы для выпуска SSL, без доп. мучений со стороны клиента.
В ISPmanager (которую упоминал автор), так же есть модуль для выпуска сертификата в стиле “нажал и выпустил”.
А в чём, позвольте, мучения? В том, что нужно 5-10 минут подумать и сделать раз и навсегда? По мне, все эти бесплатные сертификаты имеют одну неприятную особенность: они могут вдруг перестать работать, так как договором это предусматривается. В своё время мы думали использовать бесплатные сертификаты, но решили отказаться от этого во имя безопасности, когда внезапно остаёшься безо всего безо всяких предупреждений.
Не бывает такого, чтобы любой SSL отменили без предуприждений. CA заранее предуприждает о сроке истечения сертификата.
LE предуприждает за месяц, 2 недели, неделю и 3 дня. Если ты не занимаешься “чернухой”, то никто твой сертификат отменять напрямую из CA не будет.
Хм... WoSign, по-моему, благодаря регистраторам превратилась в тыкву.
Это не аргумент. У Wosign была причина, по которой им отказали и удалили корневые сертификаты везде, где только можно.
Извините, я не соглашусь. Можно было сделать Revoke для левых сертификатов и держать на контроле. Это делать не захотели. Результат - имеем то, что имеем. Если вы думаете, что тут нет сговора, то зря. Comodo на том же палилась, но её так и не удалили.
среди сайтов находящихся в реестре заблокированных сайтов РФ есть и те кто cloudflare пользуется. И соотвественно будет недоступен ваш сайт
У CF много серверов, пока не сталкивался чтобы мои сайты на нем были недоступны, а их много. Но в целом бывает, некоторые зарубежные сайты действительно не открываются из РФ
Реально, статья ни о чем. Зато обратный линк автор заимел. Тьфу
Лично я рекомендую freessl.space - более удобный и быстрый. Сертификаты от Sectigo на 90 дней. Почитайте в их описании - они лучше Let's Encrypt. Партнеры - один из крупнейших центров сертфикации Sectigo CA и один из крупнейшиэ реселлеров SSL GoGetSSL. Более удобные способы верификации, чем у Let's Encrypt - по почте, CNAME или тоже HTTP.
Это спам, человек является партнером и впаривает вам 3 пробных месяца через свой сайт, после этого нужно будет платить. GoGetSSL не предоставляют беслатных сертификатов.
GoGetSSL предоставляют бесплатные сертификаты! Не знаете - напишите к ним в поддержку - они подтвердят партнёрство! Пожалуйста, не знаете - не врите. Это не 3 пробных месяца, а полноценные 3 месяца. Продления безлимитны и бесплатны. А про то что партнеры - это и написано на сайте.
Ок, глянул подробнее оказывается триал можно получать бесплатно, так что сойдет. Поддержка кстати не знает о вас, но то что триал бесконечный достаточно. Только фишка Let's Encrypt - в автоматическом продлении через их софт, а тут руками нужно?
А мне хостинг даёт бесплатный по нажатию одной кнопки
какой
куча хостингов уже так делает (:
Бегет сделал за 5 минут.
Info box ru даёт или нет? А то не доходили руки заняться
Мне тоже даёт, но только в том случае, если этот домен, поддомен находится на хостинге у него, а если домен поддерживается его DNS, но сайт вынесен за пределы хостинга - нет.
Комментарий удален модератором
уже давно все автоматом с le обновляется https://hub.docker.com/r/gordonchan/auto-letsencrypt/ как пример, есть уже полностью настроенные с веб серверами и тп
Cloudflare ещё хорош тем, что позволяет бороться с санкциями местных ИТ-регуляторов (повышает доступность сайтов под блокировками) и отражает DDOS-атаки. Главное, что самое технически доступное и раскрученное решение.
увы для рф, не работает норм и тормозит сильно
Комментарий удален модератором
Комментарий удален модератором
не актуально, более того ЦФ сильно медленнее в РФ, очень сильно тормозит,
статья тупая и старая - тупо копипаст для США, но не работает в РФ