Как открыть протоколы сайта

Обновлено: 04.07.2024

Когда клиент оформляет покупку в он раскрывает свои личные данные: имя, адрес, телефон, реквизиты банковской карты. Задача — обеспечить защиту данных покупателя от хакеров, которые могут украсть информацию и использовать в своих целях.

Спойлер для владельцев : данные ваших покупателей уже надежно защищены, а SSL сертификат может пригодиться для других целей. Поэтому тоже предлагаем прочитать статью.

В интернете все данные передаются от устройства к устройству по определенным правилам — протоколу.

Шифрование данных. Злоумышленник не сможет подглядеть, какую информацию пользователь ввел на сайте, а также отследить его действия на других страницах или получить доступ к его данным. Это как с передачей записок, написанных с помощью шифра — их сможет прочитать только тот, кто знает ключ.
Сохранность данных. Никто не сможет подменить или исказить передаваемые данные. Так же, не зная ключа, невозможно дописать в нашу записку или переписать её совсем, добавив неверные данные.
Аутентификация гарантирует, что пользователь попал на надежный сайт, а не на страницу злоумышленника. Если ключ к шифру знают только двое, каждый сразу понимает, от кого пришла записка. Посторонний не может передать свою записку и обманом узнать нужную ему информацию.

SSL сертификаты выдают специальные организации — центры сертификации.

Я использую стартовый сайт Эквида

Каждый, кто зарегистрировался в Эквиде, бесплатно получает готовый сайт со встроенным — стартовый сайт Эквида.

Если вы используете этот сайт, то у вас уже есть SSL сертификат по умолчанию. Магазин на стартовом сайте Эквида соответствует всем требованиям международного стандарта безопасности передачи данных.

Хотите привязать (или уже привязали) к стартовому сайту собственный домен? SSL сертификат для него вы получите автоматически и бесплатно. Для этого:

Я поставил Эквид на собственный сайт

Магазин от Эквида можно поставить на любой сайт и не беспокоиться за сохранность данных клиентов. Всё потому, что данные вашего магазина хранятся и обрабатываются на наших серверах, то есть вне вашего сайта. Наши сервера надежно защищены SSL сертификатом и данные ваших покупателей в безопасности.

Если ваш сайт сделан с помощью конструктора:

Для сайтов на WordPress, Adobe Muse, Joomla нужно получить (как, рассказываем ниже) и подключить сертификат самостоятельно на хостинге (уточните порядок установки в службе поддержки своего хостинга или следуйте инструкции для WordPress и инструкции для Joomla).

Если используете другой конструктор, обратитесь в его службу поддержки с вопросом про SSL сертификат.

У вас собственный сайт, разработанный с нуля (вами или подрядчиком)? Вам тоже нужно получить и установить SSL сертификат самостоятельно.

Виды SSL сертификатов

Есть 3 вида сертификатов, они отличаются скоростью выдачи и глубиной проверки компании:

Сертификаты с проверкой домена (Domain Validation — DV).
Самый простой. После покупки на адрес администратора домена приходит ссылка для проверки владения доменом. Выдается DV практически моментально, он самый дешевый, есть и бесплатные.
Сертификаты с проверкой организации (Organization Validation — OV).
Во время получения OV вам нужно будет подтвердить существование своего ИП или ООО, права на домен, предоставив необходимые документы. Срок выдачи — дня, сертификат платный.
Сертификат с расширенной проверкой (Extended Validation — EV).
Такой сертификат можно узнать по названию компании на зеленом фоне около адреса сайта. При его выдаче проводится тщательная проверка, поэтому посетитель может быть уверен, что домен принадлежит конкретной компании и надежно защищен. Срок выдачи — дней. Подойдет для больших сервисов, банков, платежных систем.

Самые популярные из доверенных центров:

Сертификаты этих центров можно купить у регистраторов доменов, хостеров и других продавцов. Кроме них есть еще бесплатные сертификаты. Вариантов много, сейчас поможем вам разобраться:

1. Купить SSL сертификат у своего регистратора домена или хостера

Вот условия популярных сервисов:

Стоимость SSL сертификата от 3 600 рублей за год.

GoDaddy
Стоимость SSL сертификата от 2 729 рублей за год при покупке на 3 года, либо от 5 459 рублей при покупке на год.

2. Получить бесплатный SSL сертификат

Если ваш хостер не продает SSL сертификаты или ваш бюджет ограничен, можете установить бесплатный сертификат. Они бывают только одного вида — с проверкой домена (DV). Для защиты данных этого достаточно.

Для получения бесплатного сертификата рекомендуем сервисы:

Cloudflare
Выдает бесплатный SSL сертификат на срок до 15 лет. Кроме защиты данных у сервиса есть другие плюсы:

базовая защита от
автоматическое ускорение работы сайта.

Но есть и минусы:

Для получения сертификата зарегистрируйтесь на сайте Cloudflare и следуйте инструкции по настройке.

Let’s Encrypt
Бесплатный сертификат без недостатков Cloudflare, но тут есть свои ограничения.

Let’s Encrypt выдает SSL сертификат только на 3 месяца, поэтому для него нужно настраивать автоматическое продление. Для этого вам будут необходим доступ к своего сайта и навыки администрирования (либо наемный специалист).

Получить SSL сертификат от Let’s Encrypt можно двумя способами:

3. Купить SSL сертификат у продавца

Если вы не готовы тратить время на настройку сертификата от Let’s Encrypt и не хотите использовать Cloudflare, можно купить сертификат у одного из множества продавцов, например:

Выбирайте SSL сертификат с проверкой домена (DV) на понравившемся вам сервисе. Как мы уже говорили, нет смысла покупать дорогой, потому что все они работают одинаково.

Мой магазин не на Эквиде

Если ваш сайт не защищен SSL сертификатом, следуйте описанным выше инструкциям.

Как не потерять трафик при переходе

Чтобы помочь тем, кто заботится о безопасности своих посетителей, популярные поисковые системы разработали своды рекомендаций. Следуя им, вы не только сохраните позиции, но и улучшите их:

Чтобы не упустить клиентов потери позиций в поиске, обязательно используйте эти советы, если устанавливаете SSL сертификат самостоятельно. Или задайте вопрос службе поддержки своего конструктора сайтов, соблюдены ли рекомендации поисковиков.

Если остались вопросы про безопасность задавайте их нашей команде поддержки или в комментариях к этой статье.

13.11.2018

itpro

Вопросы и ответы

комментариев 25

В Opera и Яндекс Браузер ошибка выглядит примерно также. Как мне открыть такие сайты?

Ответ

Очистите кэш и куки браузера, SSL кэш

Кэш и куки браузера могут быть частой причиной возникновения ошибок с SSL сертификатами. Рекомендуем сначала очистить в браузере кэш и куки. В Chrome нужно нажать сочетание клавиш Ctrl + Shift + Delete, выберите промежуток времени (Все время) и нажмите кнопку очистки данных (Удалить данные / Clear Data).

Чтобы очистить SSL кэш в Windows:

Отключите сторонние расширения в браузере

Рекомендуем отключить (удалить) сторонние расширения браузера, особенно всякие анонимайзеры, прокси, VPN, расширения антивируса и другие подобные Addon-ы, которые могут вмешиваться в прохождение трафика до целевого сайта. Посмотреть список включенных расширения в Chrome можно, перейдя в Настройки -> Дополнительные инструменты -> Расширения, или перейдя на страницу chrome://extensions/. Отключите все подозрительные расширения.

Проверьте настройки антивируса и файрвола

Проверьте настройки даты и времени

Проверьте что у вас установлено правильно время и часовой пояс. Если время постоянно сбивается – смотри статью “Сбивается время на компьютере при выключении: что делать?”.

Обновите корневые сертификаты Windows

Если ваш компьютер находится в изолированном сегменте, давно не обновлялся или на нем совсем отключена служба автоматического обновления, на вашем компьютере могут отсутствовать новые корневые доверенные сертификаты (TrustedRootCA). Рекомендуем выполнить обновление системы: установить последние обновления безопасности, в случае с Windows 7 – обязательно установить SP1 (KB976932) и обновления часовых поясов (KB2998527).

Отключите поддержку протокола QUIC

Включите поддержку протоколов TLS и SSL

И самый последний пункт – скорее всего для решения проблемы вам достаточно будет включить поддержку старых версий протоколов TLS и SSL. В большинстве случае он окажется самым эффективным, но я намеренно перенес его в конец статьи. Объясню почему.

Современные браузеры и ОС уже давно отказались от поддержки устаревших и уязвимых протоколов SSL/TLS (SSL 2.0, SSL 3.0 и TLS 1.1). Стандартном сейчас считаются TLS 1.2 и TLS 1.3

Если на стороне сайта используется меньшая версия протокола SSL/TLS, чем поддерживается клиентом/браузером, пользователь видит ошибку установки безопасного подключения.

Чтобы включить старые версии протоколов SSL/TLS (еще раз отмечаю – это небезопасно):

1. Проверить, что в файле C:\Windows\System32\drivers\etc\hosts отсутствуют статические записи;
2. Попробуйте использовать публичные DNS сервера, например – DNS сервер Google. В настройках сетевого подключения в качестве предпочитаемого DNS сервера укажите IP адрес 8.8.8.8;
3. В Панели управления -> свойства браузера, убедитесь, что для зоны Интернет выбрана уровень безопасности Выше среднего или Средний. Если выбрана зона Высокий, некоторые SSL подключения могут блокироваться браузером.
4. Возможно проблема связана с сертификатом сайта – проверьте его с помощью онлайн утилит SSL Checker;
5. В Chrome проверьте, включен ли протокол TLS 1.3:
  - В адресной строке перейдите в раздел настроек chrome://flags;
  - С помощью поиска найдите параметр TLS 1.3;
  - Убедитесь, что он включен (Enabled) или находится в состоянии Default. Если отключен – его нужно включить.
Автор: Константин Гайдук, независимый специалист по продвижению сайтов. В SEO с 2010 года. Работает в Москве.

Какие бывают виды сертификатов?

Классификация сертификатов, их возможности и отличия, уже много раз освещались. С практической точки зрения можно отметить только, что для большинства пользователей важно деление на платные и бесплатные. Самый популярный из бесплатных - Let’s Encrypt. Установка такого сертификата обычно требует минимальных усилий (несколько кликов в панели управления хостингом) и обычно предоставляется хостингами и регистраторами бесплатно. Let’s Encrypt можно выписать не только для домена, но и для поддоменов сайта.

В процессе работы было сделано интересное наблюдение: Let’s Encrypt предлагают наиболее качественные хостинги с ценником выше среднего по рынку. В более дешевых можно установить, как правило, только платные сертификаты.

Перевод сайта на защищенный протокол по шагам

Например, типовой случай для Вордпресса:
- во всех меню сайта,
- сквозных блоках,
- ссылки в разделе head страницы на файлы стилей, скрипты, шрифты.
4. Ссылки на внешние ресурсы должны быть указаны с учетом наличия сертификата безопасности.

Например, шрифты Гугл доступны по двум адресам:

Необходимо указать адрес с сертификатом.

Если внешний ресурс доступен только по незащищенному протоколу, то адрес необходимо указать так:

5. Проверка в Браузерах
- Открываем каждую страницу сайта в Mozilla Firefox и проверяем не высвечивается ли ошибка рядом с адресом сайта:
Если страниц на сайте много, проверяем выборочно.
- Открываем каждую страницу сайта в Google Chrome и проверяем, не высвечивается ли ошибка рядом с адресом сайта (если страниц много, также проверяем выборочно). При проверке в этом браузере страницы необходимо обновлять каждый раз при открытии.Также в Гугл Хроме нужно следить за появлением иконки справа от адреса:
Если на сайте есть скрипт, ссылающийся на незащищенный ресурс, Гугл Хром по умолчанию его не загрузит. На сайте, например, может перестать работать форма обратной связи или что-то другое.

Идентифицировать проблемный скрипт можно, вызвав в Гугл Хроме "Инструменты разработчика" (сочетание клавиш Ctrl + Shift + I) и открыв вкладку "Console":

6. Если адрес сайта в числе прочих настроек указывается в административной панели, как, например, делается в Джумле и Вордпрессе, необходимо там поменять на версию с защищенным протоколом.

В ряде случаев протокол может задаваться в файле конфигураций. Для Вордпресса это wp-config.php:

В некоторых случаях необходимо прописать такое выражение:

В некоторых:

8. Устанавливаем 301 редирект на новую версию сайта с других (неглавных зеркал), если таковые имеются.

Например, если ранее редирект с неглавного зеркала:

10. Сканируя весь сайт, проверяем, не осталось ли ссылок с редиректами. Исправляем на прямые ссылки.

11. Создаем новую карту сайта sitemap.xml и загружаем на сервер.

12. В файле robots прописываем новый адрес карты сайта.

13. Добавляем сайт с защищенным протоколом в панель Яндекс.Вебмастера. В разделе "Переезд сайта" указываем новое главное зеркало. Загружаем обновленную карту сайта.

14. Добавляем сайт с защищенным протоколом в панель Google Search Console. Загружаем обновленную карту сайта.

Результаты переезда сайтов на защищенный протокол в чистом виде

Сайт 1, Яндекс:

Сайт 1, Google:

Сайт 2, Яндекс:

Сайт 2, Google:

Как бы там ни было, работа сайтов на защищенном протоколе - это будущее, которое уже наступило. Если ранее переход был для многих сайтов лишь делом личного выбора вебмастера или владельца, то с июля 2018 - стал объективной необходимостью для всех.

Вывод в топ-5 сайта доставки цветов или Цветы стоят ссылок

О том, как за 4 месяца подготовить сайт к пику продаж и вывести его в топ-5 результатов выдачи по высокочастотным запросам, на примере бизнеса по доставке цветов

Начнем с самого базового.

Для описания процесса общения между клиентом и сервером используется куча акронимов, они часто путают людей, недостаточно хорошо разбираются в внутреннем строении интернета.

Зашифрованный канал устанавливается с помощью протокола Transport Layer Security (TLS), который раньше назывался Secure Socket Layer (SSL). Эти сроки, как правило, взаимозаменяемы, ведь SSL 3.0 был заменен TLS 1.0. SSL был протоколом, разработанным Netscape, в то время как TLS — стандарт IEFT. Все версии SSL (1.0, 2.0, 3.0) считаются устаревшими из-за проблем с безопасностью и будут вызывать предупреждения в браузеров. Версии TLS (1.0, 1.1, 1.2) используются и сейчас, а TLS 1.3 находится в разработке.

Конфиденциальность

Целостность

Идентификация

Криптография: короткое интро

Конфиденциальность

Конфиденциальность — основа приватности. Именно она гарантирует, что информацию не получат третьи лица. Обычно для этого информацию обрабатывают таким образом, что она по понятной (так называемой plaintext) становится непонятной (шифротекст, ciphertext). Этот процесс называется шифрованием (encryption). Обратный процесс — расшифровкой (decryption). Делать это можно по-разному, и для этого создано много алгоритмов шифрования.

И если две стороны хотят общаться с шифрованием, они должны согласовать два аспекта:

Алгоритм шифрования.
С какими параметрами, паролем или правилами (секретом) происходит шифрования.
Существует два вида алгоритмов шифрования:

Асимметричные методы такой проблемы нет. Они используют пару ключей: когда информацию зашифровано с помощью одного ключа, расшифровать ее можно только другим.

Как это работает? Представим, что Алиса и Боб хотят обмениваться какой-либо информацией конфиденциально. Каждый из них имеет пару ключей: частный и публичный. Частные ключи известны только их владельцам, публичные доступны любому.

Теперь в игру вступает симметричное шифрование, ведь оно куда быстрее асимметричное. Когда клиент и сервер конфиденциально обменялись ключами, для дальнейшего общения используется алгоритмы симметричного шифрования.

Первая асимметричная часть рукопожатие (handshake) называется обменом ключами (key exchange).

Целостность

Идентификация

CA — это организации, которым доверено подписывать сертификаты. Операционные системы как Windows, macOS, iOS и Android имеют собственный список доверенных сертификатов. Также его имеет Firefox.

Позже все сертификаты проверяются и считаются доверенными — операционной системой, браузером или другим доверенным объектом. Этот механизм называется цепочкой доверия.

Вы можете сами добавить CA в список доверенных, это очень удобно при работе с самопидписанимы сертификатами (о них мы поговорим позже).

В большинстве ситуаций нужно достоверно идентифицировать только сервер. Пользователи магазина должны быть уверенными в его подлинности, поэтому сертификат нужен только сервера. В других системах, например государственных, нужно также точно идентифицировать и клиента, тогда им обоим нужны сертификаты, но это уже выходит за рамки данной статьи.

Есть несколько типов сертификатов, но все можно разделить по категориям.

1. Валидация сервера- Domain validated (DV)

Extended validation (EV)

EV сертификат гарантирует, что домен принадлежит определенной компании. Это вид сертификата, вызывает наибольшее доверие. Он выдается после проверки CA организации, обладающей доменом. Это проверка:

Теперь рядом с замочком отображаться название компании, владеющей доменом, клик по которой покажет детали о компании, например, ее название и адрес. Стоят такие сертификаты от 150 до 300 USD в год.

Organization validated (OV)

Эти сертификаты похожи на EV, они гарантируют, что домен принадлежит организации, но ее название не отображается перед URL. То есть вам нужно соблюсти все правила как и для EV-сертификата, но без его плюсов. Поэтому этот сертификат наименее популярен. Стоит от 40 до 100 USD в год.

2. Количество доменов

Один домен

Несколько доменов (UCC / SAN)

Такие типы сертификатов еще называют Unified Communications Certificate (UCC) или Subject Alternative Names (SAN), они могут покрывать сразу несколько доменов (или поддоменов) до определенного лимита. Обычно в цену включена оплата трех-пяти доменов, а остальные можно добавить за дополнительную цену.

Wildcard

Конфигурация

Каждый из этих пунктов имеет свой набор возможных алгоритмов (некоторые из них уже устарели), которые используют ключи разной длины. Частью handshake является согласование между клиентом и сервером, какие алгоритмы будут использованы.

И поэтому вам нужно будет сделать несколько решений в конфигурации.

Коды

Решения, шифры использовать — балансирование между широкой поддержкой и безопасностью, ведь для поддержания старых браузеров сервер нужен поддерживать старые алгоритмы шифрования, многие из которых уже не считаются безопасными.

Список комбинаций, поддерживаемых OpenSSL, устроен таким образом, что самая надежная комбинация расположена сверху, а слабая — снизу. Это имеет смысл, ведь выбор комбинации происходит перебором этого списка, пока не найдется комбинация, которая поддерживается и сервером и браузером. Поэтому лучше сначала попробовать более защищены способы.

На Википедии есть сравнительный список алгоритмов и их поддержка различными версиями SSL и TLS.

Тип ключа

Сертификаты с использованием эллиптической криптографии быстрее и меньше нагружают CPU, чем RSA-сертификаты, играет важную роль на мобильных устройствах. Но некоторые сервисы (на момент написания, 12 июля 2017 года, среди них были Amazon, CloudFront и Heroku) не поддерживают такие сертификаты.

256-битный ECC ключ признано достаточным.

Вы, наверное, заметили, что я не привел никаких конкретных цифр относительно влияния на быстродействие. Серверы бывают разные по комплектации, мощностями, а также на быстродействие влияет количество посетителей сайта.

Процедура получения сертификата

Для начала, существует два формата хранения информации — DER и PEM. Первый является бинарным форматом, а другой это base64-encoded (текстовый) DER-файл. По умолчанию Windows использует DER-формат направления, в то время как мир open-source (Linux, UNIX) используют PEM. Конечно, существуют инструменты для конвертирования между этими двумя форматами.

Файлы, которые мы будем использовать в примерах:

Имена (и расширения) файлов не является стандартом и могут быть любыми. Я использую такие имена, ведь считаю, что они понятное показывают, что есть что.

Храните ваши личные ключи в тайне! Установите им достаточно ограниченные права (600) и не сообщайте посторонним лицам.

Его напарник, публичный ключ, выглядит так:

Запрос на подписание сертификата (CSR) выглядит так:

Все части связаны между собой. Этот сертификат еще называют самопидписаним, ведь он не был подписан ни одной CA.

Шаг первый: создание частного ключа и запроса на подписание сертификата (CSR)

cPanel
- Новый CSR будет создан, вы увидите подтверждение.
Новый CSR будет создан, вы увидите подтверждение.

Linux, FreeBSD

Убедитесь, что OpenSSL установлен:

Если OpenSSL отсутствует, то нужно его установить:
- Debian, Ubuntu и подобные
- Red Hat, CentOS и подобные
- FreeBSD
Теперь сгенерировать ключ и CSR мы можем одной командой:

Будет сгенерирован частный ключ, а вам попросят ввести определенные данные для CSR:

Internet Infromation Server (IIS)

Общая инструкция

Самоподписанные сертификаты

Также сертификат можно подписать самому, без помощи CA. Он будет так же криптографически надежным по сертификат от CA, с этой лишь разницей, что браузеры не будут ему доверять. Но это очень полезно для тестирования.

Пример сертификата выше является самоподписанным. А создать сертификат самому можно с помощью OpenSSL:

После этого вы сможете установить его на своем сервере. Если вы покупали сертификат в своего хостинг-провайдера (так часто бывает), скорее всего, является автоматизированная система по установлению сертификата. Если нет — вам нужно будет сделать это самому.

Шаг третий: установка сертификата

cPanel

Если этот файл уже существует, то скопируйте только две последние строчки и вставьте сразу после строки RewriteEngine On.

Linux, FreeBSD

Переместите ваш ключ, CSR и сертификат в соответствующие им места:

Debian, Ubuntu и подобные, FreeBSD

Red Hat, CentOS и подобные

Владельцем этих файлов должен быть супер-пользователь, а разрешения установлены в 600.

Debian, Ubuntu и подобные

Red Hat, CentOS и подобные
- убедиться, что mod_ssl установлено на вашем сервере,
- загрузить сертификат на сервер,
- редактировать конфиги Apache
Начнем с mod_ssl. В зависимости от вашей ОС, должна работать какая-то из этих команд

Если модуль не установлен, выполните следующие команды:

Debian, Ubuntu и подобные

Red Hat, CentOS и подобные

Измените конфиг Apache:

Debian, Ubuntu и подобные

Red Hat, CentOS и подобные

Эта конфигурация была сгенерирована с помощью Mozilla SSL Configuration Generator. Удостоверьтесь, что вы указали пути к сертификату и частного ключа.

Nginx

Измените конфиг nginx:

Debian, Ubuntu, Red Hat, CentOS

Internet Infromation Server (IIS)

Читайте также: