SSL

Бесплатный SSL сертификат для кириллического домена

Опубликовано Автор: ardua / 13 комментариев
Распечатать
Поделиться статьей: ardua.ru/cyrillic-ssl

Содержание

Как получить бесплатный ssl сертификат для русского домена с помощью CloudFlare? + Бонусы CDN.

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (60 оценок, среднее: 5,00 из 5)

Загрузка...



Хороший SSL-сертификат для кириллического домена

Воспользовавшись бесплатным сервисом CDN CloudFlare вы получите как минимум два преимущества:

  1. бесплатный SSL сертификат от проверенного сертификационного сервиса, которому доверяют Mozilla Firefox, Google Chrome и другие;
  2. бесплатную сеть доставки контента вашего сайта (CDN — Content Delivery Network), что даст прирост к скорости загрузки его страниц.

Читайте в статье подробную инструкцию получения SSL сертификата для кириллического домена. Помимо этого поясню влияние проблемных сертификатов (красный замок) на конверсию сайта, блога или интернет-магазина.

Предупреждение в Google Chrome у сайта по протоколу https.

В связи с недавним выходом новой версии Chrome 57 (начиная с Chrome 56) — сайты у которых сертификаты WoSign или StartSSL — стали частично недоступны.

Больше нет зелёного замка в адресной строке браузера.

Халява кончилась? На самом деле нет — ответ найдете в статье.

Красный замок в адресной строке Google Chrome
Красный замок в адресной строке Google Chrome

Почему холява кончилась? WoSign и StartSSL.

Ранее сообщалось (осень 2016 года) о том, что эти сертификационные центры не выполняют требования по безопасности.

Firefox, Chrome и другие теперь не покажут зелёный замочек в адресной строке. Больше скажу, теперь сложнее получить доступ к ресурсам с этими сертификатами.

Гугл хром, например, предупреждает о плохом сертификате, и показывает это пользователю при открытии любой страницы домена.

Злоумышленники могу попытаться похитить ваши данные с сайта.

Но делает это так, что человек, открывший сайт, может испугаться. Не понимая истинной причины такого сообщения — человек уйдет с «опасного» сайта.



Выглядит это примерно так:

Google Chrome: Ваше подключение не защищено
Google Chrome: Ваше подключение не защищено (NET::ERR_CERT_AUTHORITY_INVALID)

И чтобы получить доступ к такому сайту, еще нужно исхитриться и нажать «Дополнительные» (видимо трудности перевода) и найти там  «пройти на сайт xxx».

Google Chrome: Подключение не защищено - перейти на сайт
Google Chrome: Сервер не может подтвердить связь с доменом — перейти на сайт (небезопасно)

А после подтверждения перехода на сайта в адресной строке все красное:

Google Chrome: соединение не защищено в адресной строке
Google Chrome: соединение не защищено в адресной строке

К такому сайту резко падает доверие пользователей и они сразу его покидают. Хотя сомневаюсь, что они его не закроют на предыдущем этапе.

 



ps. Вообще, это касается сайтов, не входящих в первых миллион по версии Alexa, но проверить этого не могу.

Вопрос: как сделать зеленый замок в адресной строке браузера?

Google Chrome и зеленый замок в адресной строке
Google Chrome и зеленый замок в адресной строке — надежный сайт.

Ответ: нужен валидный сертификат SSL от сертификационного центра (Symantec, Comodo, GlobalSign,  и др.), которому доверяют крупные производители браузеров.

  • Купить сертификат с поддержкой IDN (интернационализованные доменные имена: .рф, .москва — в общем нелатинские домены). Не все сертификаты имеют IDN и обычно стоят дороже.
  • Бесплатно воспользоваться услугами CloudFlare — то есть схитрить.

С помощью чего сделать зеленый замок в адресной строке для кириллического домена бесплатно?

Для того, чтобы у нашего сайта был хороший SSL- сертификат, которому доверяют Google Chrome, Mozilla Firefox, Opera и другие — мы воспользуемся услугами CDN сервиса CloudFlare.

Этому сервису доверяют такие крупные компании как Zendesk, Eurovision, DigitalOcean и другие. Со всем списком можно ознакомиться по ссылке: cloudflare.com/case-studies/.

Краткая инструкция. 4 шага.

Инструкция по включению SSL-сертификата в Cloudflare:

  1. Зарегистрироваться в сервисе;
  2. Выбрать домен и следовать инструкциям помощника;
  3. Изменить DNS сервера у домена, в панели управления доменом — там где регистрировали домен;
  4. Включить нужный режим SSL в панели Cloudflare. Готово!

А теперь подробнее рассмотрим каждый шаг. С некоторыми вы и без этой статьи справитесь, но на некоторых шагах у вас могут возникнуть проблемы в первый раз.

Подробная инструкция со скриншотами по настройке Cloudflare и подключение бесплатного SSL сертификата к вашему домену.

Регистрация в Cloudflare.

Всё начинается с регистрации в сервисе Cloudflare.

Переходим на эту страницу cloudflare.com/a/sign-up и вводим email и пароль для аккаунта.

Форма регистрации в CloudFlare
Форма регистрации в CloudFlare

Используйте двухфакторную авторизацию в CloudFlare.

Регистрируемся и, желательно, подключаем двухфакторную аутентификацию на странице cloudflare.com/a/account/my-account. Можно этот пункт опустить.

В правом верхнем углу после авторизации нажимаем на свой EMAIL (он будет там) а дальше My settings -> Two-Factor Authentication ->

Двух-факторная авторизация CloudFlare
Двух-факторная авторизация CloudFlare




Это добавит  безопасности как аккаунту, так и сайтам, подключенным к сервису.

Добавление сайта в CloudFlare.

После регистрации вам сразу будет предложено добавить первый домен.

Добавляем сайт в CloudFlare
Добавляем сайт в CloudFlare

Процесс может занять несколько минут. Когда Status будет Scan Complete нажмите Continue Setup. 

На втором шаге можете спокойно нажать Continiue.Всегда можно вернуться к этим настройкам после завершения работы помощника перейдя в настройки cloudflare.com/a/dns/ваш_домен.

Выбираем план подписки Free Website
Выбираем план подписки Free Website

Третьим шагом будет выбор подписки CloudFlare — выбираем Free Website (Бесплатный план) — то ради чего мы здесь и собрались. Его можно использовать в личных, некоммерческих целях, подробности тут: cloudflare.com/plans/

Нужно изменить текущие на указанные DNS сервера у выбранного домена на хостинге
Нужно изменить текущие на указанные DNS сервера у выбранного домена на хостинге

Добавили свой сайт в панель cloudflare и на последнем шаге нас просят изменить DNS сервера на те, что предложены сервисом. В моем случае это duke.ns.cloudflare.com и olga.ns.cloudflare.com. Идём в панель управления хостинга или регистратора и меняем текущие сервера имён на новые.

Учтите, что эта процедура может занять время. Зона днс может распространяться от шести до 48 часов. Ну в последнее время это гораздо быстрее происходит.

Проверка NS серверов у домена с помощью Google Dig.

Важно, чтобы у сайта появился новый ip. Это и будет индикатором смены DNS.

Проверка NS и IP у домена с помощью Google Dig
Проверка NS и IP у домена с помощью Google Dig

Периодически можно проверять через утилиту Dig от гугл. Находится по адресу //toolbox.googleapps.com/apps/dig/. Помимо серверов днс, там можно проверить почтовый сервер и другие параметры.

Клаудфлер активный статус сайта
Клаудфлер активный статус сайта

Всё. Теперь когда зона DNS распространилась, клаудфлер это видит и меняет статус сайта на Activ.

Получение бесплатного SSL сертификата в 2017 году от CloudFlare.

Теперь о самом главном — включение https протокола для сайта.

Режим SSL CloudFlare: Full — по умолчанию.

Режим SSL Cloudflare - Full
Режим SSL Cloudflare — Full

По умолчанию, после добавления сайта, SSL-сертификат к домену подключается с режимом Full.

Если у вашего сайта уже есть доступ по HTTPS — то можно ничего не делать. SSL-сертификат сайта будет валидным для браузеров.

 

Но если у вас не было прежде SSL-сертификата или вы не хотите с ним заморачиваться то читайте дальше.

Включение режима Flexible в CloudFlare.

Переходим во вкладку Crypto и включаем Flexible на странице cloudflare.com/a/crypto/ваш_домен. Всего доступно 4 режима cloudflare, но о них в другой раз.

Включение режима SSL Flexible
Включение режима SSL Flexible

Клаудфлэр нас предупреждает, что на создание SSL-сертификата может потребоваться время равное одним суткам. И некоторое время мы будем видеть ошибку ERR_SSL_PROTOCOL_ERROR.

И вот, теперь когда у нас сайт доступен по протоколу Https можно смело себя поздравить — вы справились!

ps. Если у вас открывается сайт, но показывает «mixed content» в Security Overview консоли разработчика Google Chrome то нужно добавить правило в CloudFlare.

Mixed content на сайте по HTTPS. CloudFlare Page Rules.

Избавляемся от Mixed content в CloudFlare
Избавляемся от Mixed content в CloudFlare

Чтобы на сайте не было смешанного контента нужно перейти на вкладку Page Rules и настроить правило. Нажимаем Create Page Rule и пишем следующее:

//*ваш_домен/*

И добавляем настройку (Then the settings are: -> Add a Setting) Always Use HTTPS.

Создаем правило всегда использовать HTTPS - CloudFlare
Создаем правило всегда использовать HTTPS — CloudFlare

Нажимаем Save and Deploy — и проблема будет решена.

Невозможно получить SSL сертификат для кириллического домена (.рф, .рус) в панели управления VESTA

Кстати, да. Невозможно получить SSL сертификат для доменов .рф, .рус.
Панель управления Vesta (которая бесплатна) на данный момент имеет проблемы с кириллическими доменами (IDN домены, национальные) и автоматическим получением SSL сертификатов от Let’s Encrypt для них.
В связи с этим проблемно бесплатно получить SSL сертификат в VestaCP от Let’s Encrypt.



Баг 477 VestaCP SSL для кириллического домена
Баг 477 VestaCP SSL для кириллического домена

Этот баг известен и сейчас пока находится на этапе обсуждения. В перспективе, решение будет в ближайшем обновлении. Ну а пока придется использовать CloudFlare и их Flexible&Full режимы.
Источник: LetsEncrypt challenge request 400 на рф доменах (к сожалению, только после регистрации). Просьба, голосуем, чтобы ускорить решение проблемы.

Бонус — оптимизация трафика с помощью Cloudflare для сайта.

Оптимизация загрузки сайта с помощью CloudFlare
Оптимизация загрузки сайта с помощью CloudFlare
  1. Минимизации css и Javascript кода. 
  2. Сокращение html файла и его сжатие. 

Все эти плюшки находятся на странице cloudflare.com/a/performance/ваш_домен



Информация
Бесплатный SSL сертификат для кириллического домена
Название статьи
Бесплатный SSL сертификат для кириллического домена
Описание
Как получить бесплатный кириллический SSL-сертификат с помощью CloudFlare. Альтернатива WoSign и StartSSL. Инструкция по включению HTTPS для русского домена
Автор
Публикатор
Ardua
Лого публикатора
, , , ,
ardua
ardua

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

четыре × 3 =

13 комментариев

  2. А в чём собственно хитрость то в получении SSL сертификата на CloudFlare?
    Там же DNS нужно их прописывать, то-есть привязывать к ним домен.
    Или потом можно сменить DNS и юзать сайт с //?
    Или я что то не понял в этом хитрости совсем.
    Перечитал трижды, хитрости не нашол.
    Если не сложно, то поясните.
    Заранние благодарю

    Ответить

    1. В данном случае этот совет рассчитан на тех, у кого хостинг не предоставляет бесплатные сертификаты от Let’s Encrypt. В отдельных случаях бывает и так, что Let’s Encrypt настроен, но не для IDN (кириллических и международных интернациональных доменов, хотя поддержка таковых заявлена еще с осени 2016 года).

      IDN Support

      Enabled: October 20, 2016
      Let’s Encrypt now supports issuance for Internationalized Domain Names (IDNs).

      letsencrypt.org/2016/10/21/introducing-idn-support.html

      Тут и может выручить CloudFlare.

      CloudFlare является посредником между клиентом (браузером) и вашим сервером, на котором находится контент.

      Да, действительно DNS сервера меняются и браузеры обращаются за контентом на IP адреса CDN сервиса, а он, если имеется в кэше, сразу отдает статику.
      Если нет, то берет с вашего сервера (где лежит сайт) документы.

      У CloudFlare есть несколько преимуществ:

      • защита от DDOS;
      • как сам по себе CDN — то есть сайт будет практически одинаково доступен из разных точек в мире — задержки будут сведены к минимуму;
      • можно не иметь своего SSL сертификата (он предоставляет свои сертификаты клиенту);
      • Сжатие html, css, js.

      Об остальных особенностях сервиса можно почитать в тематических статьях, которые подробно описывают CLoudFlare. Целью этой статьи является показать еще один способ получения бесплатного сертификата для сайта.

      По сути это прокси — пропускает через себя трафик. Еще одно из преимуществ — сайт рухнул (хостинг) — а статику все равно отдает, закэшированную у себя на серверах CloudFlare.

      Встречается информация о том, что бывают высокие задержки (ping). Тестировали на некоторых сайтах для московского региона — пинг порядка 90ms. Более менее терпимо.

      Ultra posse nemo obligatur

      Ответить

  3. Все выполнил по инструкции, перехожу на сайт, протокол сам браузер автоматом выбрал, замочек зеленый висит, но перебрасывает на сайт.руcgi-sys/defaultwebpage.cgi ошибку

    Ответить

    1. Приветствую.
      Из описанного сделан был следующий вывод: нужен .htaccess файл в корне сайта с примерно такими параметрами:

      <IfModule mod_rewrite.c>
Options -ExecCGI
</IfModule>

      Решение проблемы с defaultwebpage.cgi https

      Источник решения проблемы (EN): cPanel redirecting to /cgi-sys/defaultwebpage.cgi

      Например, для WordPress выглядит так (работоспособность не проверял):

      <IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
<IfModule mod_rewrite.c>
Options -ExecCGI
</IfModule>

      В любом случае, лучше уточнить у поддержки хостинга и описать весь процесс (по шагам) всего того, что делалось с сервером и сайтом.

      ps. в источниках, на которых была найдена эта информация говорилось о том, что данная запись применима только если не используется код в категории CGI (то есть с сайтом не общается какая — та сторонняя программа на сервере)

      Nil inultum remanebit.

      Ответить

  4. Здравствуйте, спасибо за статью, очень пригодилась для кириллического домена и с первого раза всё получилось. Есть вопрос, с можно таким образом, подключить международный домен? Например в зоне .world

    Ответить

    1. Добрый день, как я вижу уже и домен привязан и отдается контент с 104.27.132.76:443.
      Поздравляю)
      А по поводу зоны .world — стоит проверить документацию cloudflare или сразу добавить псевдодомен, если еще на руках нет такового.

      VELOCITER — FACILITER

      Ответить

  6. Пока ещё не добавил, но думаю что можно, но я всё таки приобрету сертификат, что бы в дальнейшем не было сюрпризов.
    Кстати в этом же аккаунте добавил домен ****.ru только почему-то https не позеленел. Может знаете почему, домен установлен на движок WordPress.

    Ответить

    1. Знаю. Потому что «Mixed content».

      Читая содержимое html-документа, парсер браузера обращается к содержимому по протоколу HTTP, а не HTTPS.
      Весь контент должен быть:

      • либо жестко прописан как HTTPS:// (и доступен по этому протоколу),
      • либо иметь относительный путь js/pic.js,
      • либо неявно указывать протокол «//site.com/js/pic.js»

      Говорить, что это важно не стану — важно исправить эти проблемы, и еще до перехода на HTTPS версию.
      Например, Яндекс карты вовсе перестанут доступны по протоколу HTTPS — в некоторых браузера скрипт Yandex карт не будет грузиться по причине HTTP:// пути в версии скрипта на странице. Как то так.

      Рекомендую, прежде чем переходить на HTTPS версию протокола — ознакомиться с готовыми инструкциями, коих в интернете уже уйма.
      Там как очевидные проблемы будут описаны, так и не совсем. Пару-тройку статей (20-ти минуток) почитай и потом смело приступай к переводу сайта на HTTPS версию. Удачи!

      FESTINA LENTE

      Ответить

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

двадцать + семнадцать =