Бесплатный SSL-сертификат для ленивых «чайников»

На текущий момент существует всего два способа получить бесплатный SSL-сертификат. Первый - это сертификат от Let's Encrypt, который выдается на 3 месяца и требует постоянно перевыпуска, второй - это универсальный сертификат от COMODO, который доступен клиентам Cloudflare, в том числе и на бесплатном тарифе.

В этой статье я опишу что из себя представляет Cloudflare и сертификат от него и чем он отличается от того же Let's Encrypt. Пошаговую инструкцию можете найти тут.

Для тех, кто не в курсе, Cloudflare - это такой посредник между сайтом и посетителем, который защищает сервер клиента (читай сайт), кроме того выступает в качестве CDN (Content Delivery Network) ускоряя загрузку сайта. Иными словами благодаря Cloudflare и подобным сервисам владельцам сайтов нет необходимости тратится на сервера и защиту от DDoS-атак. Вопрос доступа к сайту этот сервис берет на себя и фильтрует запросы, которые похожи на атаку. Большое количество функционала доступно бесплатно владельцу любого сайта.

То есть в довесок к халявному сертификату вы ещё получите кучу других полезных плюшек, в том числе и ускорение загрузки, что является одним из факторов ранжирования, существенным или нет - это уже вопрос другой.

Самое удивительное что SSL-сертификаты Cloudflare начала выдавать ещё в 2014 году, но почему-то сие не получило широкой огласки в отличии от остальных вариантов. Когда я уже целенаправленно стал искать информацию по тому или иному инструменту Cloudflare, то только тогда я начал натыкаться на статьи, новости и обзоры той или иной конфигурации Cloudflare. несмотря на популярность этого сервиса, как источник халявного SSL-сертификата его позиционируют редко и вскользь.

Для среднестатистического обладателя сайта без глубоких познаний Cloudflare - незаменимый вариант, поскольку некоторые вещи позволяет настраивать без ковыряния файлов на сервере, все делается элементарными действиями, которые легко выполнить под диктовку.

Минусы

Как у всего бесплатного, у данного решения конечно же есть минусы. Самый большой минус - это время, которое необходимо на то, чтобы Cloudflare заработал, поскольку DNS-сервера штука не часто обновляемая, то требуется выждать серьезный период времени, прежде чем обновления DNS достигнут самых нерасторопных в этом плане провайдеров(такого как мой).

Второй минус - это то, что назвать канал защищенным можно с натяжкой, поскольку защищенным он будет между клиентом и сервером Cloudflare, а вот между Cloudflare и вашим сайтом трафик будет идти по HTTP. По сути проблему в этом увидят фанаты безопасности и параноики, но это не трудно исправить установив на сервер сертификат от Cloudflare, , но тут уже потребуется заморочиться чуть больше. Сам по себе этот сертификат работать не будет и нужен он только в связке с Cloudflare.

Третий минус является следствием второго, поскольку при таком принципе возникают проблемы в работе WordPress, он утопает в бесконечных редиректах, от которых спасает плагин. За другие CMS ничего не могу сказать, не проверял и не изучал этот вопрос подробно.

Отличия от других серитификатов

Не совсем корректное сравнение, но тем не менее. Сам по себе сертификат не сильно отличается от того же бесплатного Let's Encrypt. Ключевым отличием является то, что HTPPS, в случае с сертификатом от Let's Encrypt, начинает работать сразу же после его установки на сервер и отсутствуют незащищенные участки. Но на этом кончаются преимущества и начинаются проблемы, поскольку сертификат от Let's Encrypt выдается всего на 3 месяца и необходимо изобретать костыли для автоматического обновления. К слову сказать в ISPmanager уже заложена такая функция и сертификат обновляется автоматически за 7 дней до окончания срока действия.

Как я уже говорил, в довесок с халявным сертификатом от Cloudflare мы получаем CDN, который ускоряет загрузку нашего сайта путем раздачи кешируемого контента с серверов, которые ближе всего расположены к посетителю и тем самым существенно экономит ресурсы, которых не так уж и много на хостинге. У Cloudflare один из самых быстрых DNS, если не самый быстрый, это также сказывается положительным образом на скорости загрузки сайта.

Как я это делаю

Добавляю сайт в Cloudflare, отключаю его, кликнув изображения облаков на вкладке «DNS».

Серые со стрелкой в обход - отключено, оранжевые - включено.

Затем произвожу все необходимые настройки, в том числе и установку сертификата на сайт, а после на несколько дней забываю про Cloudflare. За это время все должно обновится и можно будет включить, не боясь каких-либо проблем. Обычно недели хватает для уверенности что информация об изменениях связанных с вашим сайтом достигла абсолютно всех. После чего можно смело приступать к переводу сайта на HTTPS.

0
29 комментариев
Написать комментарий...
Дмитрий Щербаков

Хабр переехал на vc? О_о

Ответить
Развернуть ветку
GS

Хабр 5-летней давности...
А по сабжу - давно уже есть certbot на Питоне, который все делает за вас....
Статья тут нужна видимо только для того, чтобы пропиарить ресурс автора - dampi.ru...

Ответить
Развернуть ветку
Aleksandr Zelenin
certbot на Питоне

когда есть десятки клиентов на разных языках, в т.ч. без кучи зависимостей и одним бинарником

Ответить
Развернуть ветку
GS

Например какие десятки клиентов и о какой кучи зависимостей вы говорите?
Letsencrypt сам например советует использовать вышеупомянутый certbot.

Ответить
Развернуть ветку
Aleksandr Zelenin
какие десятки клиентов

https://letsencrypt.org/docs/client-options/

о какой кучи зависимостей вы говорите

которые требуются для выполнения скриптов certbot'а (это же питон). На чистом ubuntu я говорю о 70+ пакетов размером в 200+ мб.
Вот это все для дернуть раз в три месяца let's encrypt ну правда перебор.

В случае например вот этого клиента, мы говорим об одном бинарнике размером в 15 мб (а он все умеет)
https://github.com/xenolf/lego

А вот бинарник размером 1.5 мб
https://github.com/jmccl/acme-lw

набор баш-скриптов 0.5 мб, из которых можно оставить 1-2 нужных конкретно вам (0.2 мб)
https://github.com/Neilpang/acme.sh

Letsencrypt сам например советует использовать вышеупомянутый certbot.

они сделали, они и предлагают. Они же предлагают еще и сотню сторонних клиентов на все вкусы и потребности.

Ответить
Развернуть ветку
Константин Соболев

Статья “ни о чем”. Автор привел в пример Cloudflare и LE, но напрочь забыл рассказать про оба сертификата в деталях. Про их плюсы и минусы - сказано только из позиции Cloudflare и только в минусах.

А то, что Cloudflare предлагает:

* универсальный SSL на основе ECC и гарантирует самую строгую защиту соединения

* бесплатный SSL, который подписан лично Cloudflare

* сервисы для корп.сегмента

уж (видимо) все забыли.

Если не замечали, то любой трафик можно передавать по HTTPS, а не только по HTTP. Просто настройте комбинацию LE + Cloudflare.

Так же - сертификаты для CF выпускаются сроком на 6-9 месяцев и 3 месяца (соответственно) для Let's Encrypt. Это обосновано тем, что это сертификаты в формате “спец.заказа”.

Сертификаты ECC от Comodo выпускаются с другими условиями и ценами. Как правило, SSL от Comodo защищает только благодаря ключам RSA 2048-4096.

Либо удалите статью, либо перепишите.

Ответить
Развернуть ветку
Константин Соболев

Let's Encrypt - это бесплатный аналог Comodo, GlobalSign, GeoTrust. Да, LE подписывает сертификаты на 3 месяца, но автор так же забыл, что сейчас есть онлайн-сервисы для выпуска SSL, без доп. мучений со стороны клиента.

В ISPmanager (которую упоминал автор), так же есть модуль для выпуска сертификата в стиле “нажал и выпустил”.

Ответить
Развернуть ветку
Sergei Timofeyev

А в чём, позвольте, мучения? В том, что нужно 5-10 минут подумать и сделать раз и навсегда? По мне, все эти бесплатные сертификаты имеют одну неприятную особенность: они могут вдруг перестать работать, так как договором это предусматривается. В своё время мы думали использовать бесплатные сертификаты, но решили отказаться от этого во имя безопасности, когда внезапно остаёшься безо всего безо всяких предупреждений.

Ответить
Развернуть ветку
Константин Соболев

Не бывает такого, чтобы любой SSL отменили без предуприждений. CA заранее предуприждает о сроке истечения сертификата.

LE предуприждает за месяц, 2 недели, неделю и 3 дня. Если ты не занимаешься “чернухой”, то никто твой сертификат отменять напрямую из CA не будет.

Ответить
Развернуть ветку
Sergei Timofeyev

Хм... WoSign, по-моему, благодаря регистраторам превратилась в тыкву.

Ответить
Развернуть ветку
Константин Соболев

Это не аргумент. У Wosign была причина, по которой им отказали и удалили корневые сертификаты везде, где только можно.

Ответить
Развернуть ветку
Sergei Timofeyev

Извините, я не соглашусь. Можно было сделать Revoke для левых сертификатов и держать на контроле. Это делать не захотели. Результат - имеем то, что имеем. Если вы думаете, что тут нет сговора, то зря. Comodo на том же палилась, но её так и не удалили.

Ответить
Развернуть ветку
Василий Пупкин

среди сайтов находящихся в реестре заблокированных сайтов РФ есть и те кто cloudflare пользуется. И соотвественно будет недоступен ваш сайт

Ответить
Развернуть ветку
Валентин Остапенко

У CF много серверов, пока не сталкивался чтобы мои сайты на нем были недоступны, а их много. Но в целом бывает, некоторые зарубежные сайты действительно не открываются из РФ

Ответить
Развернуть ветку
Виталий Подольский

Реально, статья ни о чем. Зато обратный линк автор заимел. Тьфу

Ответить
Развернуть ветку
Эмиль Зарипов

Лично я рекомендую freessl.space - более удобный и быстрый. Сертификаты от Sectigo на 90 дней. Почитайте в их описании - они лучше Let's Encrypt. Партнеры - один из крупнейших центров сертфикации Sectigo CA и один из крупнейшиэ реселлеров SSL GoGetSSL. Более удобные способы верификации, чем у Let's Encrypt - по почте, CNAME или тоже HTTP.

Ответить
Развернуть ветку
GP

Это спам, человек является партнером и впаривает вам 3 пробных месяца через свой сайт, после этого нужно будет платить. GoGetSSL не предоставляют беслатных сертификатов.

Ответить
Развернуть ветку
Эмиль Зарипов

GoGetSSL предоставляют бесплатные сертификаты! Не знаете - напишите к ним в поддержку - они подтвердят партнёрство! Пожалуйста, не знаете - не врите. Это не 3 пробных месяца, а полноценные 3 месяца. Продления безлимитны и бесплатны. А про то что партнеры - это и написано на сайте.

Ответить
Развернуть ветку
GP

Ок, глянул подробнее оказывается триал можно получать бесплатно, так что сойдет. Поддержка кстати не знает о вас, но то что триал бесконечный достаточно. Только фишка Let's Encrypt - в автоматическом продлении через их софт, а тут руками нужно?

Ответить
Развернуть ветку
ДИРЕКТОР

А мне хостинг даёт бесплатный по нажатию одной кнопки

Ответить
Развернуть ветку
Алексей Терещенков

какой

Ответить
Развернуть ветку
Angel Vivaldi

куча хостингов уже так делает (:

Ответить
Развернуть ветку
Artem Dzyuba

Бегет сделал за 5 минут.

Ответить
Развернуть ветку
Юрий Б.

Info box ru даёт или нет? А то не доходили руки заняться

Ответить
Развернуть ветку
Sergei Timofeyev

Мне тоже даёт, но только в том случае, если этот домен, поддомен находится на хостинге у него, а если домен поддерживается его DNS, но сайт вынесен за пределы хостинга - нет.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Vadim Chin

уже давно все автоматом с le обновляется https://hub.docker.com/r/gordonchan/auto-letsencrypt/ как пример, есть уже полностью настроенные с веб серверами и тп

Ответить
Развернуть ветку
Максим Ростокин

Cloudflare ещё хорош тем, что позволяет бороться с санкциями местных ИТ-регуляторов (повышает доступность сайтов под блокировками) и отражает DDOS-атаки. Главное, что самое технически доступное и раскрученное решение.

Ответить
Развернуть ветку
Mix Max

увы для рф, не работает норм и тормозит сильно

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Mix Max

не актуально, более того ЦФ сильно медленнее в РФ, очень сильно тормозит,
статья тупая и старая - тупо копипаст для США, но не работает в РФ

Ответить
Развернуть ветку
26 комментариев
Раскрывать всегда