Еще несколько лет назад шифрованной версией протокола http пользовались только популярные веб-сервисы и сайты крупных компании. Теперь это более распространенное явление

Виды бесплатных SSL сертификатов и установка на WordPress

Еще несколько лет назад шифрованной версией протокола http пользовались только популярные веб-сервисы и сайты крупных компании. Теперь это более распространенное явление не только на Западе, но также и в России. В соответствии с последними статистическими данными, 6,20% русского Интернета работает через защищенный протокол https, за последний год (2017 год) эта цифра увеличилась в 4 раза по сравнению с 2015 годом. И это число постоянно увеличивается. Это связано, прежде всего, с изменением политики в Сети и новыми стандартами в защите сайтов от различных атак.

Если у вас есть веб-сайт, то вы, наверное, тоже подумали о возможности перехода на протокол https? Если да, то вы должны ознакомиться с данной статьей, в ней подготовлена краткая информация, в которой есть ответы на основные вопросы по поводу бесплатных ssl-сертификатов и о способе установки их на сайт под управлением CMS WordPress.

Что такое SSL-сертификат? Зачем он нужен?

SSL-сертификат - это инструмент, который шифрует данные, передаваемые между клинетом и сервером в целях предотвращения перехвата конфиденциальных данных. Кроме того, для шифрования данных, которыми обмениваются клиент-сервер, обеспечивает также подлинность сайта перед пользователями.

Миллионы сайтов используют SSL-шифрование для обеспечения безопасности. Это важный элемент защиты. Поэтому, если вы заботитесь о безопасности личных данных пользователей (в том числе и о платежных данных), вы обязательно должны перевести свой сайт на https-протокол. О типах ssl-сертификатов вы можете прочитать здесь.

Уже некоторое время Google официально сообщает, что наличие HTTPS влияет на позиции в поиске, это преимущественно касается интернет-магазинов.

Где можно получить бесплатный SSL сертификат

SSL-сертификат можно купить или получить бесплатно в специальной компании, которая имеет лицензию на предоставление данного вида услуг. При этом цены на такие сертификаты разные, которые зависят от типа сертификата, популярности сервиса, типа шифрования. Если вы собираетесь использовать платные SSL сертификаты, то также рекомендую еще раз ознакомится с этой статьей. Поэтому не буду останавливаться на этом вопросе подробно.

Я выбрал несколько сервисов, где можно получить бесплатный SSL сертификат для сайта:

• Let’s Encrypt
• STARTSSL (StartCom)
• Cloudflare One-Click SSL

Let’s Encrypt

Let's Encrypt является наиболее популярным сервисом для создания бесплатных SSL-сертификатов. Его спонсорами выступают крупные компании: Google, Facebook, Mozilla и даже Automattic! Несмотря на то, что сертификат на 100% бесплатный, он практически ничем не отличается от платных сертификатов SSL.

Единственная потенциальная проблема SSL-сертификата от Let's Encrypt заключается в необходимости поддержки его компанией веб-хостинга. Большинство крупных хостингов позволяют установить и использовать этот сертификат без каких-либо проблем. Однако, есть хостинговые компании, которые не позволяют этого сделать. Поэтому, если вы не нашли в веб-панели хостинга информацию об установке SSL от Let's Encrypt, то нужно связаться с отделом технической поддержки, чтобы убедиться, что хостинг поддерживает установку и использование сертификата от Let's Encrypt.

Для того, чтобы воспользоваться этим сертификатом, необходимо верифицировать домен. Подробная информация на эту тему находится в документации, доступной на странице этого сайта, поэтому не буду на этом останавливаться, тем более, если хостинг предоставляет возможность использования Let's Encrypt, то в панели хостера, скорее всего все настроено так, что вам нужно лишь нажать несколько кнопок и сертификат установлен. Обратите внимание, что SSL-сертификат выдается на 3 месяца! Но процесс его продления можно автоматизировать скриптом, что также реализовано почти на всех хостингах, которые предоставляют услугу по установке SSL от Let's Encrypt.

Cloudflare

Сервис CloudFlare может быть известен Вам через свою сеть CDN и ресурсами защиты от DDoS атак, но он также предлагает бесплатные SSL-сертификаты. Так как этот сервис работает как прокси-сервер, его SSL сертификаты работает немного по-другому, в отличие от сертификата от Let's Encrypt.

Если Вы собираетесь использовать сертификат Flexible SSL от CloudFlare, вам нужно обратить внимание на следующие нюансы:

• Передача данных шифруется на пути от пользователя до сервера CloudFlare, но не шифруется от сервера CloudFlare до вашего сервера (рис. 1)! Это делает Flexible SSL менее безопасным, чем полноценный SSL-сертификат.
• CloudFlare обеспечивает полную поддержку SSL, однако, чтобы его использовать, SSL-сертификат должен быть установлен на сервере-источнике.

Исходя из этого, сертификат Flexible SSL от CloudFlare является приемлемым вариантом, в противном случае вы можете выбрать платную версию сертификата, которую предлагает этот сервис или использовать бесплатный сертификат от другой компании.

STARTSSL (StartCom)

Еще один сервис, предлагающий платные и бесплатные SSL-сертификаты. При этом STARTSSL не позволяет использовать свои сертификаты для коммерческих целей, что ограничивает число потенциальных пользователей. Кроме того, если получение сертификата - бесплатно, но его аннуляция является платной услугой. Компания взимает плату около $25 за каждую операцию ануляции. Это тоже является большой проблемой для пользователей, желающих отказаться от решения этого сайта.

При этом, компания STARTSSL предоставляет Вам бесплатный сертификат типа X509, который распространяется на основной домен и один дополнительный домен (например, для сайта „с www” и „без www”).

Как установить SSL на сайте с WordPress?

После получения SSL-сертификата и его настройки на хостинге, его необходимо настроить на сайте с WordPress. Поэтому необходимо выполнить несколько шагов, описанных ниже. При этом мы рекомендуем создать резервную копию сайта, чтобы ничего не поломать.

Шаг 1. Переводим админ панель WordPress на https

Панель администратора - это очень важная часть сайта. Поэтому сначала рекомендую перевести его на зашифрованную версию протокола http. Чтобы сделать это, добавьте следующую строку кода в файл wp-config.php, который находится в корневом каталоге WordPress:

define( ‘FORCE_SSL_ADMIN’, true );1define( ‘FORCE_SSL_ADMIN’, true );

Шаг 2. Меняем адрес сайта с http на https

Для этого следует пройти в раздел Настройки – Общие. Далее, в полях" Адрес Wordpress (URL) и Адрес сайта (URL), изменить протокол с http на https.

Обратите внимание, что иногда, особенно, когда речь идет о больших веб-сайтах, может возникнуть проблема при сохранении этих изменений. Это связано с конфликтом страниц, в адресе которых не удалось заменить один протокол на другой. Чтобы этого не случилось, можно воспользоваться плагином Really Simple SSL. Он поможет быстро ввести все необходимое и подскажет, какие проблемы необходимо решить, чтобы перевести сайт на протокол https.

Шаг 3. Поиск и замена всех ссылок на https.

Проблема смешенного содержимого и абсолютных ссылок. Если вы давно работаете с сайтом, безусловно, он имеет много различных веб-страниц. После смены протокола, все их адреса должны начинаться с https, но этого может не случиться, если на сайте используются абсолютные пути (ссылки), а не относительные:

• Пример абсолютной ссылки: https://ex-pl.com/blog/kak-vybrat-ssl-dlya-kommercheskogo-proekta-3-tipa-ssl-sertifikatov
• Пример относительной ссылки: /blog/kak-vybrat-ssl-dlya-kommercheskogo-proekta-3-tipa-ssl-sertifikatov

Поэтому, чтобы не искать такие страницы и не менять, один протокол на другой, рекомендуем воспользоваться плагином Download Better Search Replace, который находится в хранилище WordPress.

Указанный плагин позволяет найти все сайты, в адресах которых есть протокол http, и заменить его на https. После установки плагина, следует перейти в раздел" Инструменты" и выбрать подраздел Better Seach Replace. Дальше в поле Искать (Search for) установить адрес страницы в виде http://ex-pl.com и в поле Изменить на (Replace with) – https://ex-pl.com. Обратите внимание, http(s)://ex-pl.com – заменить на адрес вашего сайта.

Шаг 4. Редирект с http на https

В зависимости от настроек хостинга, после перехода на протокол https, сайт может оказаться недоступным по протоколу http, вследствие пользователи у которых сайт в закладках не смогут попасть на сайт, также ссылки с других ресурсов на ваш сайт с версией http перестанут быть актуальными, кроме того, ссылки перестанут передавать вес. Поэтому необходимо настроить 301 редирект, чтобы «рассказать» поисковым системам, что ваш сайт теперь работает по https.

Сделать это можно следующим образом, добавив в файл .htaccess, который находится в корне вашего сайта следующий кусок кода:

<IfModule mod_rewrite.c><br /> RewriteEngine On<br /> RewriteCond %{SERVER_PORT} 80<br /> RewriteRule ^(.*)$ https://www.ex-pl.com/$1 [R,L] </IfModule>

Шаг 5. Тестирование

После выполнения этих шагов, вы должны проверить, все ли работает нормально. Вот несколько советов как проверить работоспособность:

• воспользуйтесь сервисом SSLLabs, чтобы получить детальную информацию о конфигурации SSL
• посетите несколько страниц сайта, чтобы убедиться, что все страницы в адресной строке имеют зеленый замочек, в противном случае на странице может быть смешанное содержимое
• если появится проблема со смешанным содержимым, вы можете использовать плагин SSL Insecure Content Fixer.

Резюме

Использование SSL-сертификата показывает пользователям, что владелец сайта заботится о безопасности и персональных данных клиентов. Благодаря этому они относятся к сайту с большим доверием, чем к тому, который не имеет такого сертификата. Кроме того, сайты, использующие шифрованную версию протокола http, получают дополнительный вес в некоторых поисковых системах (например, Google). Это благодарность за поддержку концепции безопасного развития Интернета. Поэтому если вы еще до сих пор не перевели сайт на https, безусловно, уже нужно задуматься о переводе сайта на безопасный протокол, тем более, что существуют бесплатные ssl-сертификаты. В итоге сайт получит дополнительные преимущества в глазах клиентов и поисковых систем.