Бесплатный SSL сертификат для кириллического домена

Распечатать
Поделиться статьей: ardua.ru/cyrillic-ssl

Содержание

Как получить бесплатный ssl сертификат для русского домена с помощью CloudFlare? + Бонусы CDN.

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (59 оценок, среднее: 5,00 из 5)

Загрузка...

Хороший SSL-сертификат для кириллического домена

Воспользовавшись бесплатным сервисом CDN CloudFlare вы получите как минимум два преимущества:

  1. бесплатный SSL сертификат от проверенного сертификационного сервиса, которому доверяют Mozilla Firefox, Google Chrome и другие;
  2. бесплатную сеть доставки контента вашего сайта (CDN — Content Delivery Network), что даст прирост к скорости загрузки его страниц.

Читайте в статье подробную инструкцию получения SSL сертификата для кириллического домена. Помимо этого поясню влияние проблемных сертификатов (красный замок) на конверсию сайта, блога или интернет-магазина.

Предупреждение в Google Chrome у сайта по протоколу https.

В связи с недавним выходом новой версии Chrome 57 (начиная с Chrome 56) — сайты у которых сертификаты WoSign или StartSSL — стали частично недоступны.

Больше нет зелёного замка в адресной строке браузера.

Халява кончилась? На самом деле нет — ответ найдете в статье.

Красный замок в адресной строке Google Chrome
Красный замок в адресной строке Google Chrome

Почему холява кончилась? WoSign и StartSSL.

Ранее сообщалось (осень 2016 года) о том, что эти сертификационные центры не выполняют требования по безопасности.

Firefox, Chrome и другие теперь не покажут зелёный замочек в адресной строке. Больше скажу, теперь сложнее получить доступ к ресурсам с этими сертификатами.

Гугл хром, например, предупреждает о плохом сертификате, и показывает это пользователю при открытии любой страницы домена.

Злоумышленники могу попытаться похитить ваши данные с сайта.

Но делает это так, что человек, открывший сайт, может испугаться. Не понимая истинной причины такого сообщения — человек уйдет с «опасного» сайта.

Выглядит это примерно так:

Google Chrome: Ваше подключение не защищено
Google Chrome: Ваше подключение не защищено (NET::ERR_CERT_AUTHORITY_INVALID)

И чтобы получить доступ к такому сайту, еще нужно исхитриться и нажать «Дополнительные» (видимо трудности перевода) и найти там  «пройти на сайт xxx».

Google Chrome: Подключение не защищено - перейти на сайт
Google Chrome: Сервер не может подтвердить связь с доменом — перейти на сайт (небезопасно)

А после подтверждения перехода на сайта в адресной строке все красное:

Google Chrome: соединение не защищено в адресной строке
Google Chrome: соединение не защищено в адресной строке

К такому сайту резко падает доверие пользователей и они сразу его покидают. Хотя сомневаюсь, что они его не закроют на предыдущем этапе.

 

ps. Вообще, это касается сайтов, не входящих в первых миллион по версии Alexa, но проверить этого не могу.

Вопрос: как сделать зеленый замок в адресной строке браузера?

Google Chrome и зеленый замок в адресной строке
Google Chrome и зеленый замок в адресной строке — надежный сайт.

Ответ: нужен валидный сертификат SSL от сертификационного центра (Symantec, Comodo, GlobalSign,  и др.), которому доверяют крупные производители браузеров.

  • Купить сертификат с поддержкой IDN (интернационализованные доменные имена: .рф, .москва — в общем нелатинские домены). Не все сертификаты имеют IDN и обычно стоят дороже.
  • Бесплатно воспользоваться услугами CloudFlare — то есть схитрить.

С помощью чего сделать зеленый замок в адресной строке для кириллического домена бесплатно?

Для того, чтобы у нашего сайта был хороший SSL- сертификат, которому доверяют Google Chrome, Mozilla Firefox, Opera и другие — мы воспользуемся услугами CDN сервиса CloudFlare.

Этому сервису доверяют такие крупные компании как Zendesk, Eurovision, DigitalOcean и другие. Со всем списком можно ознакомиться по ссылке: cloudflare.com/case-studies/.

Краткая инструкция. 4 шага.

Инструкция по включению SSL-сертификата в Cloudflare:

  1. Зарегистрироваться в сервисе;
  2. Выбрать домен и следовать инструкциям помощника;
  3. Изменить DNS сервера у домена, в панели управления доменом — там где регистрировали домен;
  4. Включить нужный режим SSL в панели Cloudflare. Готово!

А теперь подробнее рассмотрим каждый шаг. С некоторыми вы и без этой статьи справитесь, но на некоторых шагах у вас могут возникнуть проблемы в первый раз.

Подробная инструкция со скриншотами по настройке Cloudflare и подключение бесплатного SSL сертификата к вашему домену.

Регистрация в Cloudflare.

Всё начинается с регистрации в сервисе Cloudflare.

Переходим на эту страницу cloudflare.com/a/sign-up и вводим email и пароль для аккаунта.

Форма регистрации в CloudFlare
Форма регистрации в CloudFlare

Используйте двухфакторную авторизацию в CloudFlare.

Регистрируемся и, желательно, подключаем двухфакторную аутентификацию на странице cloudflare.com/a/account/my-account. Можно этот пункт опустить.

В правом верхнем углу после авторизации нажимаем на свой EMAIL (он будет там) а дальше My settings -> Two-Factor Authentication ->

Двух-факторная авторизация CloudFlare
Двух-факторная авторизация CloudFlare

Это добавит  безопасности как аккаунту, так и сайтам, подключенным к сервису.

Добавление сайта в CloudFlare.

После регистрации вам сразу будет предложено добавить первый домен.

Добавляем сайт в CloudFlare
Добавляем сайт в CloudFlare

Процесс может занять несколько минут. Когда Status будет Scan Complete нажмите Continue Setup. 

На втором шаге можете спокойно нажать Continiue.Всегда можно вернуться к этим настройкам после завершения работы помощника перейдя в настройки cloudflare.com/a/dns/ваш_домен.

Выбираем план подписки Free Website
Выбираем план подписки Free Website

Третьим шагом будет выбор подписки CloudFlare — выбираем Free Website (Бесплатный план) — то ради чего мы здесь и собрались. Его можно использовать в личных, некоммерческих целях, подробности тут: cloudflare.com/plans/

Нужно изменить текущие на указанные DNS сервера у выбранного домена на хостинге
Нужно изменить текущие на указанные DNS сервера у выбранного домена на хостинге

Добавили свой сайт в панель cloudflare и на последнем шаге нас просят изменить DNS сервера на те, что предложены сервисом. В моем случае это duke.ns.cloudflare.com и olga.ns.cloudflare.com. Идём в панель управления хостинга или регистратора и меняем текущие сервера имён на новые.

Учтите, что эта процедура может занять время. Зона днс может распространяться от шести до 48 часов. Ну в последнее время это гораздо быстрее происходит.

Проверка NS серверов у домена с помощью Google Dig.

Важно, чтобы у сайта появился новый ip. Это и будет индикатором смены DNS.

Проверка NS и IP у домена с помощью Google Dig
Проверка NS и IP у домена с помощью Google Dig

Периодически можно проверять через утилиту Dig от гугл. Находится по адресу //toolbox.googleapps.com/apps/dig/. Помимо серверов днс, там можно проверить почтовый сервер и другие параметры.

Клаудфлер активный статус сайта
Клаудфлер активный статус сайта

Всё. Теперь когда зона DNS распространилась, клаудфлер это видит и меняет статус сайта на Activ.

Получение бесплатного SSL сертификата в 2017 году от CloudFlare.

Теперь о самом главном — включение https протокола для сайта.

Режим SSL CloudFlare: Full — по умолчанию.

Режим SSL Cloudflare - Full
Режим SSL Cloudflare — Full

По умолчанию, после добавления сайта, SSL-сертификат к домену подключается с режимом Full.

Если у вашего сайта уже есть доступ по HTTPS — то можно ничего не делать. SSL-сертификат сайта будет валидным для браузеров.

 

Но если у вас не было прежде SSL-сертификата или вы не хотите с ним заморачиваться то читайте дальше.

Включение режима Flexible в CloudFlare.

Переходим во вкладку Crypto и включаем Flexible на странице cloudflare.com/a/crypto/ваш_домен. Всего доступно 4 режима cloudflare, но о них в другой раз.

Включение режима SSL Flexible
Включение режима SSL Flexible

Клаудфлэр нас предупреждает, что на создание SSL-сертификата может потребоваться время равное одним суткам. И некоторое время мы будем видеть ошибку ERR_SSL_PROTOCOL_ERROR.

И вот, теперь когда у нас сайт доступен по протоколу Https можно смело себя поздравить — вы справились!

ps. Если у вас открывается сайт, но показывает «mixed content» в Security Overview консоли разработчика Google Chrome то нужно добавить правило в CloudFlare.

Mixed content на сайте по HTTPS. CloudFlare Page Rules.

Избавляемся от Mixed content в CloudFlare
Избавляемся от Mixed content в CloudFlare

Чтобы на сайте не было смешанного контента нужно перейти на вкладку Page Rules и настроить правило. Нажимаем Create Page Rule и пишем следующее:

//*ваш_домен/*

И добавляем настройку (Then the settings are: -> Add a Setting) Always Use HTTPS.

Создаем правило всегда использовать HTTPS - CloudFlare
Создаем правило всегда использовать HTTPS — CloudFlare

Нажимаем Save and Deploy — и проблема будет решена.

Невозможно получить SSL сертификат для кириллического домена (.рф, .рус) в панели управления VESTA

Кстати, да. Невозможно получить SSL сертификат для доменов .рф, .рус.
Панель управления Vesta (которая бесплатна) на данный момент имеет проблемы с кириллическими доменами (IDN домены, национальные) и автоматическим получением SSL сертификатов от Let’s Encrypt для них.
В связи с этим проблемно бесплатно получить SSL сертификат в VestaCP от Let’s Encrypt.

Баг 477 VestaCP SSL для кириллического домена
Баг 477 VestaCP SSL для кириллического домена

Этот баг известен и сейчас пока находится на этапе обсуждения. В перспективе, решение будет в ближайшем обновлении. Ну а пока придется использовать CloudFlare и их Flexible&Full режимы.
Источник: LetsEncrypt challenge request 400 на рф доменах (к сожалению, только после регистрации). Просьба, голосуем, чтобы ускорить решение проблемы.

Бонус — оптимизация трафика с помощью Cloudflare для сайта.

Оптимизация загрузки сайта с помощью CloudFlare
Оптимизация загрузки сайта с помощью CloudFlare
  1. Минимизации css и Javascript кода. 
  2. Сокращение html файла и его сжатие. 

Все эти плюшки находятся на странице cloudflare.com/a/performance/ваш_домен

Информация
Бесплатный SSL сертификат для кириллического домена
Название статьи
Бесплатный SSL сертификат для кириллического домена
Описание
Как получить бесплатный кириллический SSL-сертификат с помощью CloudFlare. Альтернатива WoSign и StartSSL. Инструкция по включению HTTPS для русского домена
Автор
Публикатор
Ardua
Лого публикатора

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

15 − 9 =

13 комментариев

  1. А в чём собственно хитрость то в получении SSL сертификата на CloudFlare?
    Там же DNS нужно их прописывать, то-есть привязывать к ним домен.
    Или потом можно сменить DNS и юзать сайт с //?
    Или я что то не понял в этом хитрости совсем.
    Перечитал трижды, хитрости не нашол.
    Если не сложно, то поясните.
    Заранние благодарю

    1. В данном случае этот совет рассчитан на тех, у кого хостинг не предоставляет бесплатные сертификаты от Let’s Encrypt. В отдельных случаях бывает и так, что Let’s Encrypt настроен, но не для IDN (кириллических и международных интернациональных доменов, хотя поддержка таковых заявлена еще с осени 2016 года).

      IDN Support

      Enabled: October 20, 2016
      Let’s Encrypt now supports issuance for Internationalized Domain Names (IDNs).

      letsencrypt.org/2016/10/21/introducing-idn-support.html

      Тут и может выручить CloudFlare.

      CloudFlare является посредником между клиентом (браузером) и вашим сервером, на котором находится контент.

      Да, действительно DNS сервера меняются и браузеры обращаются за контентом на IP адреса CDN сервиса, а он, если имеется в кэше, сразу отдает статику.
      Если нет, то берет с вашего сервера (где лежит сайт) документы.

      У CloudFlare есть несколько преимуществ:

      • защита от DDOS;
      • как сам по себе CDN — то есть сайт будет практически одинаково доступен из разных точек в мире — задержки будут сведены к минимуму;
      • можно не иметь своего SSL сертификата (он предоставляет свои сертификаты клиенту);
      • Сжатие html, css, js.

      Об остальных особенностях сервиса можно почитать в тематических статьях, которые подробно описывают CLoudFlare. Целью этой статьи является показать еще один способ получения бесплатного сертификата для сайта.

      По сути это прокси — пропускает через себя трафик. Еще одно из преимуществ — сайт рухнул (хостинг) — а статику все равно отдает, закэшированную у себя на серверах CloudFlare.

      Встречается информация о том, что бывают высокие задержки (ping). Тестировали на некоторых сайтах для московского региона — пинг порядка 90ms. Более менее терпимо.

      Ultra posse nemo obligatur

  2. Все выполнил по инструкции, перехожу на сайт, протокол сам браузер автоматом выбрал, замочек зеленый висит, но перебрасывает на сайт.руcgi-sys/defaultwebpage.cgi ошибку

    1. Приветствую.
      Из описанного сделан был следующий вывод: нужен .htaccess файл в корне сайта с примерно такими параметрами:

      <IfModule mod_rewrite.c>
      Options -ExecCGI
      </IfModule>
      

      Решение проблемы с defaultwebpage.cgi https

      Источник решения проблемы (EN): cPanel redirecting to /cgi-sys/defaultwebpage.cgi

      Например, для WordPress выглядит так (работоспособность не проверял):

      <IfModule mod_rewrite.c>
      RewriteEngine On
      RewriteBase /
      RewriteRule ^index\.php$ - [L]
      RewriteCond %{REQUEST_FILENAME} !-f
      RewriteCond %{REQUEST_FILENAME} !-d
      RewriteRule . /index.php [L]
      </IfModule>
      <IfModule mod_rewrite.c>
      Options -ExecCGI
      </IfModule>
      

      В любом случае, лучше уточнить у поддержки хостинга и описать весь процесс (по шагам) всего того, что делалось с сервером и сайтом.

      ps. в источниках, на которых была найдена эта информация говорилось о том, что данная запись применима только если не используется код в категории CGI (то есть с сайтом не общается какая — та сторонняя программа на сервере)

      Nil inultum remanebit.

  3. Здравствуйте, спасибо за статью, очень пригодилась для кириллического домена и с первого раза всё получилось. Есть вопрос, с можно таким образом, подключить международный домен? Например в зоне .world

    1. Добрый день, как я вижу уже и домен привязан и отдается контент с 104.27.132.76:443.
      Поздравляю)
      А по поводу зоны .world — стоит проверить документацию cloudflare или сразу добавить псевдодомен, если еще на руках нет такового.

      VELOCITER — FACILITER

  4. Пока ещё не добавил, но думаю что можно, но я всё таки приобрету сертификат, что бы в дальнейшем не было сюрпризов.
    Кстати в этом же аккаунте добавил домен ****.ru только почему-то https не позеленел. Может знаете почему, домен установлен на движок WordPress.

    1. Знаю. Потому что «Mixed content».

      Читая содержимое html-документа, парсер браузера обращается к содержимому по протоколу HTTP, а не HTTPS.
      Весь контент должен быть:

      • либо жестко прописан как HTTPS:// (и доступен по этому протоколу),
      • либо иметь относительный путь js/pic.js,
      • либо неявно указывать протокол «//site.com/js/pic.js»

      Говорить, что это важно не стану — важно исправить эти проблемы, и еще до перехода на HTTPS версию.
      Например, Яндекс карты вовсе перестанут доступны по протоколу HTTPS — в некоторых браузера скрипт Yandex карт не будет грузиться по причине HTTP:// пути в версии скрипта на странице. Как то так.

      Рекомендую, прежде чем переходить на HTTPS версию протокола — ознакомиться с готовыми инструкциями, коих в интернете уже уйма.
      Там как очевидные проблемы будут описаны, так и не совсем. Пару-тройку статей (20-ти минуток) почитай и потом смело приступай к переводу сайта на HTTPS версию. Удачи!

      FESTINA LENTE

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5 × 2 =