Бесплатный SSL-сертификат и HTTPS для WordPress-сайта: где его найти

SSL-сертификат защищает ваш сайт путем шифрования соединения между сайтом и конечным пользователем.

Поскольку 59,66% пользователей используют браузер Chrome, важно, чтобы ваш веб-сайт WordPress имел защищенный SSL и HTTPS. Это поможет посетителям доверять вашему сайту.

Получить SSL-сертификат можно быстро и бесплатно. Let’s Encrypt является надежным поставщиком бесплатных сертификатов SSL через официально рекомендованного Certbot.

Сегодня мы расскажем подробнее о SSL, HTTPS, Let’s Encrypt и Certbot. И самое главное как вручную установить, управлять и обновлять бесплатный SSL-сертификат на вашем веб-сервере. Это необходимый элемент защиты вашего WordPress-сайта. Сайты с HTTPS-протоколом не дают ошибки в Chrome. Это позитивно отражается на SEO сайта.

Что такое SSL и HTTPS и зачем это нужно?

Сертификат SSL (аббревиатура от Secure Sockets Layer, дословно: протокол безопасных соединений) – это общедоступный цифровой документ, выданный центром сертификации, который связывает криптографический ключ с прикрепленным к нему веб-сайтом. Представляет собой шифрование на основе безопасного и надежного обмена информацией между сайтом и его посетителелями.

Все веб-сайты с действующим SSL-сертификатом используют протокол HTTPS и SSL, которые шифруют связь между сервером веб-сайта и браузером конечного пользователя. Вы замечали, что есть сайты, которые начинаются с http, и те, у которых https? SSL-сертификат и служит для получения этой самой —s, что позволяет иметь долгожданный зеленый замок в браузере.

Сайты с SSL имеют весомое защитное обозначение:

Сайты, которые не перешли на HTTPS имеют cкучный серый вид информационного знака: 

Наличие действующего SSL-сертификата подтверждает, что ваш сайт заслуживает доверия пользователей. Они могут вводить конфиденциальные данные и быть при этом надежно защищены. Чего нельзя сказать о сайтах, имеющих «http» в своем URL-адресе. А еще SSL сертификат блокирует хакерские атаки и защищает от несанкционированного доступа.

Раньше SSL использовали только для интернет-магазинов, банков и сайтов, где обрабатывается конфиденцальные данные. Однако сейчас сертификат стал доступен всем.

В июле 2018 Google объявил, что абсолютно все сайты без HTTPS будет помечать как «не защищенные». Совсем скоро всем им будет выдаваться вот такой значок:

Что такое Let’s Encrypt?

Одним из главных аргументов Google в защиту политики безопасности и является проект Let’s Encrypt (одно из решений Linux Foundation). Некоммерческая организация бесплатно выдает SSL-сертификаты. Получить сертификат может каждый желающий как вручную на https://www.sslforfree.com/, так и автоматически: запустив процесс верификации и перевыпуска по открытыму протоколу ACME.

Из множества клиентских реализаций под разные веб-серверы, официально рекомендуемый клиент — CertBot (он и развивает Electronic Frontier Foundation). Есть хорошая новость — с февраля 2018 года они стали выдавать wildcard сертификаты.

Let’s Encrypt — это автоматизированный центр сертификации, предоставленный Исследовательской группой Internet Security Research (ISRG), некоммерческой организацией, которая посвятила себя созданию более безопасного интернет-пространства. Это наиболее популярный сервис по созданию бесплатных SSL-сертификатов. Его развивают таких гиганты рынка, как Google, Facebook, Mozilla. Такой сертификат бесплатный, но и такой же надежный, как любой другой SSL-сертификат.

Типы сертификатов

Let’s Encrypt предлагает получить самозаверенный сертификат (domain validaed). Он является сертификатом самого низкого уровня и подтверждает, что веб-сайт владеет доменным именем, на которое претендует. Есть еще один тип сертификата — extended validation. Это проверка личности владельца сертификата специалистами выдачи. Если у вас сайт на WordPress, то вам достаточно получить самозаверенный сертификат.

С января 2018 года Let’s Encrypt педлагает получить подстановочный сертификат, который позволяет вам защищать все поддомены веб-сайта с помощью единого сертификата. Например, info.example.com и about.example.com.

Вы также должны получить протокол ACMEv2 и клиентскую поддержку. Для получения дополнительной информации ознакомьтесь с ACME Client Implementations.

Сертификаты Let’s Encrypt действительны в течение 90 дней без исключений. Рекомендуется продливать сертификаты каждые 60 дней, чтобы у вас было в запасе 30 дней для решения любых возникающих проблем. Хотя в зависимости от вашего сервера можно настроить автоматическое обновление.

Как получить SSL-сертификат

Самый простой способ получить бесплатный SSL-сертификат от Let’s Encrypt — через ваш веб-хостинг.

Let’s Encrypt сотрудничает со многими хостинг-провайдерами, которые позволяют по умолчанию шифровать и перенаправлять на HTTPS. Если вы не знаете, поддерживает ли ваш хостинг Let’s Encrypt, посмотрите список совместимости хостинг-компаний. Ваш хостинг не знает о Let’s Encrypt? Вы можете связаться с техподдержкой и сообщить, что это хороший вариант сотрудничества.

Если ваш хостинг-провайдер не совместим с Let’s Encrypt, одним из самых простых способов установить бесплатный SSL-сертификат является Certbot. Это официально рекомендуемый сервис Let’s Encrypt, который извлекает и развертывает SSL-сертификат на вашем веб-сервере.

Certbot — официально рекомендуемый клиент Let’s Encrypt

Согласно документации Certbot, «Certbot стремится создать безопасную и защищенную от цензуры сеть». Certbot предоставляет простые в применении инструкции на основе вашего программного обеспечения и операционной системы.

Установка Certbot

Certbot работает с различными ОС и серверами. Лучший способ установить Certbot — перейти на сайт и прочитать инструкции по установке. В большинстве случаев для авторизации CertBot вам необходим доступ root или администратора.

Установка обычно происходит через SSH. Это защищенный криптографический протокол, который позволяет передавать файлы по небезопасным сетям. Популярными клиентами SSH являются терминалы для Mac OS X и PuTTY для Windows.

Установка сертификата SSL

В зависимости от ваших настроек и потребностей сайта существует несколько способов установить самозаверенный сертификат. Веб-сайт Certbot проведет вас через весь процесс установки по шагам на основе настроек вашего сервера.

Как уже упоминалось ранее, вы можете установить сертификат автоматически через свой веб-хост. Обратитесь к документации вашего хостинг-провайдера и получите инструкции по настройке, поскольку каждый веб-хост работает по-разному.

Если вы хотите установить подстановочный сертификат, вам придется использовать плагин DNS.

Вы можете ознакомиться с документацией Certbot для получения более подробной информации.

Автономный режим

Если у вас нет серверного программного обеспечения, такого как Apache или Nginx, и вы не заинтересованы в его получении, использование плагина — лучший вариант.

С плмощью плагина необходимо будет привязать веб-сервер к портам 80 (для HTTP) и 443 (для SSL), чтобы проверить домен. Вам может потребоваться освободить эти порты на вашем сервере заранее.

Они оба используются для загрузки вашего сайта, но Certbot может выдавать ошибку доступа. Процесс закрытия и открытия портов зависит от вашего программного обеспечения, поэтому при необходимости обратитесь к инструкциям и документации.

Убедившись, что Certbot установлен и доступен порт 80 или 443, введите эту команду в свой SSH.

Обратите внимание, что в зависимости от того, какой порт вы используете, команда будет немного отличаться.

//For Port 80
certbot certonly --standalone --preferred-challenges http -d example.com

//For Port 443
certbot certonly --standalone --preferred-challenges tls-sni -d example.com

Сertonly получает (или в определенных контекстах, обновляет) сертификат, но не устанавливает его, —standalone сообщает Certbot о запуске автономного веб-сервера для аутентификации, —preferred-challenge обозначает сообщение, которое Certbot будет использовать и -d указывает доменное имя, для которого вы запрашиваете SSL-сертификат.

После запуска команды вам будет предложено ввести свой адрес электронной почты и согласиться с условиями. Вы получите сообщение о завершении процесса, а также о месте расположения вашего сертификата.

Плагин Webroot

Использование Webroot имеет место, если у вас есть доступ к редактированию содержимого на сервере. Здесь вы помещаете файл проверки в определенное место на вашем веб-сервере. Этот метод удобен, потому что вам не нужно переключаться на какие-либо порты и беспокоиться о том, что можно случайно снести свой действующий сайт во время установки.

Для использования плагина Webroot вам необходимо убедиться, что ваш сервер настроен и отображает файлы скрытых каталогов и, в частности, папки /.well-known.

Запустите эту команду в своем SSH, чтобы установить Webroot:

certbot certonly --webroot -w /var/www/example -d www.example.com -d example.com

Команда certonly получает сертификат, —webroot сообщает Certbot о методе, который вы используете, и вам нужно указать -w или -webroot-path, а затем путь к файлу, содержащеу самый верхний каталог, в котором есть файлы, веб-сервер, —webroot-path / var / www / html — общий путь к веб-каналу.

Подробности смотрите в документации Certbot.

Где хранятся ваши сертификаты?

Все ключи и выданные сертификаты можно найти в / etc / letencrypt / live / $domain, который регулярно обновляется.

Вот список файлов в вашем сертификате:

• Privkey.pem – ваши личные ключи хранятся здесь и должны храниться в секрете, даже от разработчиков Certbot. Но вы можете открыть их для сервера только пользователю root,
• Fullchain.pem – все ваши сертификаты хранятся здесь, и если их несколько, первым отображается сертификат сервера,
• Cert.pem – содержит сертификат отдельного сервера, 
• Chain.pem – здесь хранятся все промежуточные сертификаты, а также сертификаты, необходимые для проверки сервера.

Если вы хотите проверить содержимое своего файла в каталоге, используйте команду /etc/letsencrypt/live/example.com в своем SSH, чтобы увидеть весь список.

Обновление SSL-сертификата

Certbot стремится максимально упростить обновление, проверив все установленные сертификаты на предстоящий срок, а затем их обновить.

Приведенная ниже команда проверяет сертификаты на оставшийся срок действия и обновляет их:

certbot renew

Это обновит любой сертификат, у которого состалось менее 30 дней до истечения срока. Опасностей и рисков раннего обноления нет, поэтому вы можете запускать эту команду в любое время.

Если у вас несколько доменных имен, и вы хотите обновить только один домен, эта команда certonly поможет:

certbot certonly -n -d example.com -d www.example.com

Обратите внимание: Certbot рекомендует включать -n или -noninteractive, чтобы предотвратить блокировку ввода пользователем.

Выводы

Установка SSL-сертификата является важной мерой безопасности для любого WordPress-сайта. Let’s Encrypt и Certbot предоставят быстрые и бесплатные способы защиты вашего сайта с помощью HTTPS и SSL-сертификата.

Для получения подробной информации ознакомьтесь с обширной документацией Certbot и форумом сообщества.

У вас получилось установить бесплатный SSL-сертификат с помощью Let’s Encrypt? Поделитесь своим опытом в комментариях ниже. Читайте также наше руководство о том, как появиться в расширенных сниппетах Google и стать дружелюбнее с самым распространненным поисковиком в мире.