Ssl сертификат reg ru: SSL-сертификат для сайта (HTTPS) — узнать стоимость и купить

Содержание

Создание сертификата SSL | REG.RU

SSL-сертификат для сайта — что это такое и для чего он нужен? Установка HTTPS (TLS) сертификата помогает обеспечить защиту передаваемых данных. В этом случае соединение, устанавливаемое между браузером и сайтом, происходит по протоколу HTTPS. Данные, которые передаются по протоколу HTTPS, кодируются криптографическим протоколом, тем самым обеспечивается их защита. Чтобы стать обладателем SSL-сертификата, достаточно выбрать наиболее подходящий для вас, указать доменное имя, для которого он будет установлен, и, следуя инструкциям автоматической системы заказа, осуществить покупку.

Компания REG.RU предлагает своим клиентам самые популярные SSL-сертификаты от ведущих компаний мира, таких как Globalsign, Symantec (VeriSign), GeoTrust, Thawte, Comodo и TrustWave. Только у нас можно подобрать и приобрести именно такой, который будет идеально подходить для вашего бизнеса: простой, средний уровень, мультидоменный, EV с расширенной проверкой и другие. Почти для всех из них доступна цифровая или электронная «Печать доверия», которая динамически отображает информацию о надёжности и защищённости вашего сайта.

Что такое SSL-сертификат?

SSL-сертификат — это цифровое удостоверение вашего сайта, которое подтверждает то, что обмен данными между сайтом и вашим компьютером производится по доверенному защищённому каналу. Защита сайта с помощью SSL позволяет шифровать всю информацию, передаваемую между сайтом и клиентскими программами.

Важнейшим преимуществом является то, что они подтверждают не только технологическую безопасность сайта, с которым работает пользователь, но и гарантируют юридическую чистоту. При его выдаче удостоверяющий центр проверяет право администрирования доменным именем, юридические регистрационные документы, работу офиса, контактные телефоны компании. Проведение подобной комплексной аттестации позволяет гарантировать пользователю, что компания, которая обладает данным SSL, работает легально и не является сайтом-однодневкой.

SSL-сертификат позволяет пользователю просматривать следующую подтверждённую удостоверяющим центром информацию:

  • доменное имя, на которое оформлен SSL-сертификат
  • юридическое лицо — владелец сертификата
  • физическое местонахождение (город, страна)
  • срок действия сертификата
  • реквизиты компании-поставщика SSL-сертификатa

Как настроить SSL-сертификат на Nginx – Помощь

В статье мы рассмотрим, как установить SSL-сертификат на веб-сервер Nginx.

Перед установкой SSL убедитесь, что вы его заказали. Затем перейдите в Личный кабинет, кликните по строке нужного SSL-сертификата и убедитесь, что у услуги статус «Активна»:

Если услуга неактивна, используйте инструкцию в зависимости от типа сертификата: Как активировать сертификаты: AlphaSSL и DomainSSL или Как активировать сертификаты: OrganizationSSL и ExtendedSSL.


Сервис настройки NGINX

Не тратьте время на ручную подготовку конфигурационных файлов для NGINX. Выберите нужные параметры и скачайте уже сформированный конфигурационный файл.

Как установить SSL-сертификат на Nginx

После активации сертификата вам будут доступны необходимые данные для его установки, подробнее в статье Где взять данные для установки SSL-сертификата.

Также вы можете использовать для установки сертификат, купленный в сторонней компании.

Рассмотрим, как выполняется установка и настройка Nginx SSL:

  1. 1.

    Объедините три сертификата (сам SSL-сертификат, корневой и промежуточный сертификаты) в один файл. Для этого создайте на ПК новый текстовый документ с именем your_domain.crt

    (your_domain — доменное имя сайта, который вы хотите защитить). Создать его можно при помощи блокнота или другого текстового редактора. Поочередно скопируйте и вставьте в созданный документ каждый сертификат. После вставки всех сертификатов файл должен иметь вид:

    -----BEGIN CERTIFICATE-----
    #Ваш сертификат#
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    #Промежуточный сертификат#
    -----END CERTIFICATE-----
    -----BEGIN CERTIFICATE-----
    #Корневой сертификат#
    -----END CERTIFICATE-----

    Обратите внимание: один сертификат идёт следом за другим, без пустых строк.

  2. 2.

    Создайте файл your_domain.key и скопируйте в него содержание

    приватного ключа сертификата.

  3. 3.

    Загрузите созданные файлы your_domain.crt и your_domain.key на сервер в директорию /etc/ssl/. Директория может быть иной, например /etc/nginx/ssl/your_domain.com.

  4. 4.

    Откройте конфигурационный файл Nginx и отредактируйте виртуальный хост вашего сайта, который вы хотите защитить сертификатом. Выполните минимальную для работы настройку, добавив в файл следующие строки:

    server {
    
        listen 443 ssl;
    
        server_name your_domain.com;
        ssl_certificate /etc/ssl/your_domain.crt;
        ssl_certificate_key /etc/ssl/your_domain.key;
    }

    Где:

    your_domain.com — домен сайта,

    /etc/ssl/your_domain.crt — путь до созданного файла с тремя сертификатами,

    /etc/ssl/your_domain.key — путь до файла с приватным ключом.

    Минимальная установка и настройка выполнена. Далее вы можете добавить расширенные настройки конфигурационного файла либо сразу перейти к шагу 12.

  5. 5.

    Если вы хотите, чтобы сайт работал не только по защищённому соединению (https://), но и по незащищенному (http://), то нужно создать единый HTTP/HTTPS сервер. Для этого в конфигурационном файле Nginx необходимо иметь две секции server{} для каждого типа соединения.

    Добавьте в секцию server{}, которую вы создали на шаге 4, следующую строку:

  6. 6.

    Также вы можете дополнительно оптимизировать работу Nginx HTTPS-сервера. SSL-операции задействуют дополнительные ресурсы сервера. Чтобы снизить количество операций, можно повторно использовать параметры SSL-сессий. Они хранятся в кеше SSL-сессий. Можно задать тип кеша (в примере это shared-кеш, разделяемый между всеми рабочими процессами) и его размер в байтах (в 1 Мб кеша помещается около 4000 сессий) с помощью директивы ssl_session_cache. Также можно увеличить таймаут кеша (время, в течение которого клиент повторно использует параметры сессии) директивой

    ssl_session_timeout: по умолчанию он равен 5 минутам. Можно настроить время работы одного keepalive-соединения с помощью директивы keepalive_timeout.

    Добавьте в конфигурационном файле в секции server{} строки:

    ssl_session_cache   shared:SSL:10m;
    
    ssl_session_timeout 10m;
    
    keepalive_timeout 70;
  7. 7.

    Вы можете указать протоколы SSL, которые поддерживает сервер:

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  8. 8.

    Чтобы при использовании протоколов SSLv3 и TLS серверные шифры были более приоритетны, чем клиентские, добавьте следующую строку:

    ssl_prefer_server_ciphers on;
  9. 9.

    Чтобы уменьшить время загрузки страниц у пользователей сайта, нужно разрешить серверу прикреплять OCSP-ответы для валидации сертификата. При этом необходимо указать путь к файлу корневого сертификата и DNS-сервер. Создайте файл ca.crt и скопируйте в него содержимое корневого сертификата. Загрузите этот файл на сервер в директорию, где хранятся ранее созданные файлы. В нашем примере это /etc/ssl/.

    Затем добавьте в конфигурационном файле в секции server{} строки:

    ssl_stapling on;
    
    ssl_trusted_certificate /etc/ssl/ca.crt;
    
    resolver 8.8.8.8;

    Где:

    /etc/ssl/ca.crt — путь до файла с корневым сертификатом,

    8.8.8.8 — DNS-сервер.

  10. 10.

    Сохраните и закройте конфигурационный файл Nginx.

  11. 11.

    Если вы не остановились на шаге 4, то секция server{} в конфигурационном файле с расширенными настройками будет выглядеть так:

    server {
    
    listen 443 ssl;
    
    listen 80;
    server_name your_domain.com;
      ssl_certificate /etc/ssl/your_domain.crt;
    ssl_certificate_key /etc/ssl/your_domain.key;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    keepalive_timeout 70;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    ssl_stapling on;
    ssl_trusted_certificate /etc/ssl/ca.crt;
    resolver 8.8.8.8;
    }
  12. 12.

    Чтобы изменения вступили в силу, перезагрузите сервер Nginx:

    sudo /etc/init.d/nginx restart

Готово, вы установили SSL-сертификат на Nginx.

Была ли эта статья полезной?

Да Нет

Пользователи, считающие этот материал полезным: 23 из 29

Продление SSL-сертификата – Помощь | REG.RU

Как продлить платный SSL-сертификат

Процедура продления платного сертификата безопасности заключается в заказе нового SSL-сертификата, его активации и установке на сайт вместо истекшего, а также можно включить

Автопродление услуги.

При выпуске нового сертификата стоит учитывать, что его действие начинается с момента его активации в центре сертификации, а не с момента окончания текущего сертификата. Например, если ваш текущий SSL заканчивается 18.12.2019, а новый был активирован 15.11.2019, дата выдачи нового считается 15.11.2019 и он будет действовать по 15.11.2020. А с 15 ноября по 18 декабря 2019 года у вас будет два активных SSL-сертификата. Чтобы не переплачивать за лишний месяц, мы рекомендуем заказывать новый сертификат в конце срока действия текущего сертификата.

Если вы будете приобретать новый сертификат, то:

  1. Воспользуйтесь инструкцией Как купить SSL-сертификат, чтобы запустить издание нового сертификата.
  2. Затем активируйте SSL-сертификат.
  3. На заключительном этапе вам понадобится установить сертификат на хостинг. Подробную информацию об установке вы можете найти в разделе Установка SSL-сертификата.

Однако мы рекомендуем воспользоваться Автопродлением SSL-сертификата. 

Как включить или отключить Автопродление SSL-сертификата

  • доступно только для SSL-сертификатов Начального уровня от компании GlobalSign,
  • при автопродлении сертификат продлевается по цене нового сертификата,
  • если все услуги приобретены в REG.RU, то переустановка на хостинг не требуется,
  • автопродление происходит за 9 дней до окончания срока действия предыдущего сертификата.

Первая попытка списания происходит с баланса аккаунта. Если средств недостаточно, то с привязанной карты. Карта в этом случае должна быть привязана к аккаунту: Как привязать к аккаунту банковскую карту.

Как включить автопродление SSL:

  1. 1.

    Перейдите к услуге SSL в Личном кабинете:

  2. 2.

    Поставьте переключатель в нужное положение:

    • ON ― функция включена,
    • OFF ― функция выключена:

Готово, вы настроили Автопродление SSL-сертификата.

Как продлить бесплатный SSL-сертификат вручную

Если вы не хотите включать Автопродление, надо выпустить новый SSL-сертификат вручную. По условиям подключения сертификата, срок бесплатного пользования SSL-сертификатом составляет 1 год. Таким образом, при продлении SSL-сертификата его необходимо оплачивать.

Если вы будете выпускать новый SSL-сертификат, его срок выдачи и окончания никак не будут привязаны к предыдущему. Т.е. если текущий SSL заканчивается 10.03.2019, а новый SSL был активирован 15.02.2019, дата выдачи нового будет 15.02.2019 и он будет действовать по 15.02.2020. А с 15 февраля по 10 марта 2019 года у вас будет два активных SSL-сертификата. Чтобы не переплачивать за лишние месяца, рекомендуем производить переиздание сертификата ближе к окончанию срока действия текущего сертификата.

Важно: вы можете продлить SSL-сертификат из карточки услуги только в течение 30 дней до окончания действия сертификата.

  1. 1. Авторизуйтесь на сайте REG.RU и перейдите в раздел Домены и услуги.
  2. 2.

    Кликните по строке сертификата, который нужно продлить.

  3. 3.

    На открывшейся странице во вкладке «Управление» нажмите Обновить и следуйте дальнейшим указаниям. Кнопка «Обновить» становится активна только за 30 дней до окончания действия сертификата.

    В первой строке также отображается дата окончания действия бесплатного SSL-сертификата (он подключается на 1 год).

  4. 4.

    Во всплывающей шторке справа повторно нажмите Обновить или Повысить уровень сертификата:

    • При нажатии «Обновить» в сертификационный центр будет отправлен запрос на выпуск такого же SSL-сертификата. Необходимо будет активировать SSL-сертификата через TXT-запись по аналогии со следующей инструкцией: Как активировать AlphaSSL и DomainSSL. При этом нужно добавлять новую TXT-запись, которая придёт вам на контактный e-mail. Предыдущую TXT-запись, которую вы добавляли для выпуска предыдущего сертификата, можно удалить.

    • При нажатии «Повысить уровень сертификата» вам будет предложено выбрать SSL-сертификат с большим уровнем доверия: OrganizationSSL (бизнес-класса) или ExtendedSSL (сертификат с расширенной проверкой). Активация SSL-сертификата бизнес-класса и SSL-сертификата с расширенной проверкой происходит по инструкции.

  5. 5. После нажатия «Обновить» вы будете перенаправлены в корзину для оплаты. Оплатите счет удобным для вас способом.

Готово, после активации SSL-сертификата его необходимо будет заново установить на хостинг. Подробную информацию об установке вы можете найти в разделе Установка SSL-сертификата.

Была ли эта статья полезной?

Да Нет

Пользователи, считающие этот материал полезным: 6 из 26

Какой SSL-сертификат выбрать – Помощь

Существует три типа SSL-сертификатов:

SSL-сертификаты начального уровня

Такие сертификаты подойдут физическим лицам. Они предназначены только для шифрования данных, передаваемых между вашим сервером и браузером посетителя. Сертификаты начального уровня не подтверждают бизнес-статус компании.

SSL-сертификаты начального уровня используются:
  • для защиты административной части сайта,
  • для доступа сотрудников и партнёров к внутренним системам компании через каналы сети Интернет,
  • для доступа к системам статистики.

Такие сертификаты не рекомендуется использовать в системах электронной торговли (интернет-магазины и платные сервисы) и общедоступных биллинговых системах.

К сертификатам начального уровня относятся:

Что такое Wildcard-сертификат?


Обеспечьте защиту передаваемых данных

Установите SSL-сертификат, и ваш сайт будет работать по безопасному соединению HTTPS

Сертификаты GlobalSign DomainSSL и GlobalSign AlphaSSL

DomainSSL и AlphaSSL — самые популярные сертификаты начального уровня, доступные любому пользователю. Мгновенно обеспечивают защиту вашего сайта. Сертификаты совместимы с большинством браузеров мобильных устройств.

Сертификаты предоставляются с опцией Wildcard (защитой поддоменов) или без неё (на один домен):

  1. При заказе AlphaSSL на один домен, cертификат защищает только домен, для которого он заказан (включая поддомен «www»). Например, при заказе SSL-сертификата для www.reg.ru, будет защищён также reg.ru, но не будет защищён hosting.reg.ru или spasibo.reg.ru.
  2. При заказе DomainSSL на один домен, cертификат защищает только домен, для которого он заказан (включая поддомен «www» и «mail»). Например, при заказе SSL-сертификата для mail.reg.ru или www.reg.ru, будет защищён также reg.ru, но не будет защищён hosting.reg.ru или spasibo.reg.ru.
  3. Если вы хотите защитить другие поддомены (например, hosting.reg.ru, spasibo.reg.ru и т.п.), при заказе выберите сертификат с поддержкой Wildcard. Подробнее о защите поддоменов читайте в статье: Защита поддоменов. SSL-сертификат с поддержкой Wildcard.
Особенности сертификатов DomainSSL и AlphaSSL:
  • автоматическая ежедневная проверка на Malware и фишинг,
  • доступен компаниям и частным лицам,
  • неограниченное бесплатное переиздание сертификата в течение срока действия,
  • предоставление документов о работе компании не требуется,
  • шифрование до 256 бит в современных браузерах и браузерах без ограничений на шифрование,
  • высокая совместимость с интернет-браузерами,
  • обеспечивает проверку доменного имени,
  • выдаётся код для установки логотипа GlobalSign Trusted Site в качестве дополнительного подтверждения.

Обращаем внимание, что техническая поддержка центра сертификации GlobalSign предусмотрена только для сертификата DomainSSL и не осуществляется для AlphaSSL.

При покупке домена или хостинга в REG.RU можно получить free ssl GlobalSign на год бесплатно.

SSL-сертификаты бизнес-класса

Сертификаты доступны только для юридических лиц. Такой сертификат подтверждает бизнес-статус компании. При выдаче сертификата компания проверяется аттестационным центром.

К сертификатам бизнес-класса относятся:

Что такое Wildcard-сертификат?

Сертификат GlobalSign OrganizationSSL

OrganizationSSL — это сертификат с повышенным уровнем достоверности, который позволяет посетителям сайта быть уверенными в надёжности компании.

Сертификаты предоставляются с опцией Wildcard (защитой поддоменов) или без неё (на один домен):

  1. При заказе OrganizationSSL на один домен, cертификат защищает только домен, для которого он заказан (включая поддомен «www» и «mail»). Например, при заказе SSL-сертификата для mail.reg.ru или www.reg.ru, будет защищён также reg.ru, но не будет защищён hosting.reg.ru или spasibo.reg.ru.
  2. Если вы хотите защитить другие поддомены (например, hosting.reg.ru, spasibo.reg.ru и т.п.), при заказе выберите сертификат с поддержкой Wildcard. Подробнее о защите поддоменов читайте в статье: Защита поддоменов. SSL-сертификат с поддержкой Wildcard.
Особенности сертификата OrganizationSSL:
  • автоматическая ежедневная проверка на Malware и фишинг,
  • недоступен для частных лиц, предназначен только для компаний,
  • шифрование до 256 бит в современных браузерах и в браузерах без ограничений на шифрование,
  • высокая совместимость с интернет-браузерами,
  • подтверждает существование компании и её бизнес-уровень,
  • неограниченное бесплатное переиздание сертификата в течение срока действия,
  • выдаётся код для установки логотипа GlobalSign Trusted Site в качестве дополнительного подтверждения.

SSL-сертификаты с расширенной проверкой: EV SSL

EV SSL-сертификаты это:

  • наивысший уровень доверия,
  • самый высокий класс защиты среди SSL-сертификатов,
  • надёжная защита счетов ваших клиентов от фишинговых атак.

Такой сертификат оформляется только на юридическое лицо. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.

К сертификатам уровня EV относятся:

Сертификат GlobalSign ExtendedSSL

ExtendedSSL — это сертификат высшего уровня проверки. При посещении сайта посетители сразу поймут, что компания работает на профессиональном уровне.

Особенности сертификата ExtendedSSL:
  • автоматическая ежедневная проверка на Malware и фишинг,
  • выпускается как для выбранного домена, так и для поддоменов с «www» и «mail» (например, mail.reg.ru и www.reg.ru),
  • доступен только компаниям,
  • адресная строка браузера подсвечивается зелёным цветом,
  • требуется предоставление документов о работе компании, существование компании проверяется,
  • шифрование до 256 бит в современных браузерах и в браузерах, не имеющих ограничения на шифрование,
  • высокая совместимость с интернет-браузерами,
  • обеспечивает проверку доменного имени,
  • подтверждает существование компании и её бизнес-уровень,
  • неограниченное бесплатное переиздание сертификата в течение срока действия,
  • выдаётся код для установки логотипа Thawte Trusted Site в качестве дополнительного подтверждения.

Почему GlobalSign?

GlobalSign — рекомендованный сертификационный центр, который является единственным аккредитованным WebTrust удостоверяющим центром мирового класса. SSL-сертификаты GlobalSign обладают высоким уровнем доверия. Перед активацией сертификата GlobalSign полностью проверяет компанию, от которой поступил заказ, и вправе отказать в выдаче, если обнаружит, что компания занимается теневым бизнесом или нарушает права других организаций.

Что означает зелёная иконка SSL-сертификата в браузере?

Зелёная иконка в браузере означает, что на сайте установлен SSL-сертификат, заверенный центром сертификации. Соединение с таким сайтом является защищённым и безопасным.

Зелёная иконка с названием компании означает, что на сайте установлен SSL-сертификат расширенной проверки (EV-сертификат). Такие сертификаты гарантируют высочайший класс защиты и подтверждают, что компания, которой принадлежит сайт, работает в рамках правового пространства страны, в которой зарегистрирована.

Часто встречаются сайты, на которых установлен SSL-сертификат, но часть контента работает по небезопасному протоколу http://. Такие сайты браузер помечает красными иконками сертификата или иконками с жёлтым треугольником. Причины описаны в статье: Эта страница содержит другие ресурсы, которые не являются безопасными.

Иконки сертификатов могут выглядеть по-разному в зависимости от браузера. Кликнете по значку сертификата, чтобы получить больше информации. Также вы можете выбрать ваш браузер и ознакомиться со справкой:

Срок действия SSL-сертификата

Большинство SSL-сертификатов можно заказать на срок от 1 года (ровно 365 дней, даже если год високосный) до 4 лет (1460 дней).

Датой начала действия сертификата считается дата его активации. Если вы заказали сертификат сроком на 1 год 5 февраля 2019 года и после проверки всех документов его активировали 25 февраля 2019 года, то датой начала действия считается 25 февраля 2019 года, а датой окончания действия 25 февраля 2020 года.

Дата окончания действия сертификата указана в Личном кабинете:

Читайте о продлении SSL-сертификата в статье: Продление SSL-сертификата.

Была ли эта статья полезной?

Да Нет

Пользователи, считающие этот материал полезным: 11 из 17

Я продлил SSL-сертификат, но сайт не работает по HTTPS – Помощь

Если сертификат корректно активирован и установлен на сайт, он должен открываться по безопасному протоколу HTTPS. Чтобы понять, на каком этапе произошел сбой:

  1. 1.

    Проверьте, активен ли нужный SSL-сертификат в списке услуг

    • Если SSL-сертификат неактивен:

    Воспользуйтесь статьями из раздела Как активировать SSL-сертификат. Время активации SSL-сертификата напрямую зависит от его типа и произведенных вами действий, например, SSL-сертификаты типа DV обычно активируются в течение суток.

    Если после этого на сайт по-прежнему не открывается по HTTPS, то перейдите к шагу 2.

    • Если SSL-сертификат активен, перейдите к следующему шагу:

  2. 2.

    Проверьте, установлен ли SSL-сертификат на ваш сайт: Как проверить правильность установки SSL-сертификата

    • Если SSL-сертификат не установлен, установите его на ваш сайт согласно подходящей инструкции из раздела Установка SSL-сертификата;

    • Если SSL-сертификат установлен корректно, но сайт не работает по HTTPS, обратитесь в службу поддержки. Специалисты обязательно решат возникшую проблему.

Если в названии SSL в списке услуг НЕ указано «Wildcard», он будет защищать только основной домен (например, только домен site.ru ).

Если слово «Wildcard» в названии присутствует, по безопасному https-протоколу после продления будут открываться и основной домен (например: site.ru ), и поддомены (например new.site.ru, blog.site.ru ).

Примечание

С 28 января 2019 года Яндекс оповещает о проблемах с SSL-сертификатом через Яндекс.Вебмастер. Подробнее читайте в блоге Яндекса.

Была ли эта статья полезной?

Да Нет

Пользователи, считающие этот материал полезным: 1 из 6

что это и как выбрать сертификат?

Возможно, создавая сайты и работая с ними, вы слышали что-то про SSL-сертификаты, но до сих пор не решались детально разобраться в этом вопросе. Но поверьте, всё не так сложно, как кажется. Специально для вас редакция блога подготовила этот пост «вопрос-ответ», в котором мы разберём все популярные вопросы о SSL-сертификатах. 

Что это за сертификат такой?

SSL-сертификат — это цифровая подпись сайта, которая нужна для работы протокола защищённой передачи данных в интернете. Аббревиатура SSL означает Secure Sockets Layer – протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.

Проще говоря, такой сертификат обеспечивает зашифрованное соединение между пользователями и сайтом. Благодаря этому вся информация, которой они обмениваются, защищена от посторонних, например, от провайдера, оператора WI-FI сети и злоумышленников. 

А как понять защищен сайт или нет?

Это очень просто — вам достаточно взглянуть в адресную строку страницы (она ещё называется URL). Там вы должны увидеть иконку закрытого замка, который обычно находится слева от ссылки (или прям на ней — всё зависит от вашего браузера) и надпись https — дополнительная буква «s» означает secure «защищенный».

Зачем вообще нужно шифроваться? Я не делаю ничего противозаконного

Потому что, заходя на сайт, пользователи оставляют о себе много информации — номера банковский карт, паспортные данные, номера телефонов, логины, пароли и ещё много всего.

Давайте представим ситуации — вы оплачиваете заказ в интернете и вас просят ввести номер банковской карты. Браузер передаёт эту информацию на сервер, где специальная программа проверяет подлинность карты и отсылает квитанцию о покупке. Потом банк снимает с карты деньги. Казалось бы, что в этом такого? Но! Обычно браузер передаёт всю информацию в открытом виде. То есть на пути этой передачи могут оказаться мошенники, перехватить данные вашей карты и использовать её в своих корыстных целях. Отследить такой вид мошенничества крайне трудно. Обычно все становится ясно постфактум, когда деньги исчезли с карты или пароль от вашего аккаунта украден. 

Поэтому прежде всего защищаться нужно интернет-магазинам, банкам, платёжным системам, соцсетям, форумам — всем сайтам, которые обрабатывают персональные данные и проводят финансовые транзакции.

То есть такие защищённые сайты не могут взломать хакеры?

SSL защищают сайт от перехвата информации, которой пользователь обменивается с сайтом. А ещё некоторые SSL-сертификаты подтверждают (OV и ЕV), что посетитель веб-ресурса имеет дело с авторизованным сайтом, который принадлежит определённому владельцу. Это особенно актуально к концу года, когда большинство интернет-магазинов анонсируют крупные распродажи к Новому году или Рождеству. Злоумышленники пользуются этим и создают так называемые сайты-клоны и фишинговые страницы. 

Но, нажав на замочек, вы сможете убедиться в подлинности организации. Нажав на вкладку «Подробнее», вы найдёте следующую информацию:

  • доменное имя, на которое оформлен SSL-сертификат;
  • юридическое лицо, которое владеет сертификатом.

Вы хотите сказать, что когда я ввожу свои логин и пароль на сайте, где нет сертификата, их могут украсть?

Да, риск перехвата данных просто зашкаливает. Незашифрованную информацию может перехватить недобросовестный поставщик интернет-услуг, хостер сайта или же злоумышленник, который подключен вместе с вами к одной WI-FI-сети. Ещё один минус незащищённого сайта в том, что на них могут собирать информацию, которую потом продадут сторонним компаниям для таргетной рекламы. 

А какие ещё есть плюсы от SSL для владельца сайта?

Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.

Например, большинство браузеров и поисковиков активно борются с незащищёнными сайтами. Например, компания Google понижает их в поисковой выдаче и отправляют специальные страницы-предупреждения на экран пользователя. 

Также некоторые платёжные системы (Яндекс.Деньги) и сервисы (Голосовой помощник Google Chrome) работают только с сайтами с HTTPS протоколом. Если специфика вашей работы подразумевает взаимодействие с аналогичными сервисами, рекомендуем вам установить SSL-сертификат.

Кроме того, SSL-сертификат не позволяет перенаправлять пользователей на подменный ресурс, а самим сайтам помогает не нарушать федеральный закон № 152.

Что за закон такой?

Это закон «О персональных данных». Если сайт собирает хотя бы минимальную информацию о пользователях, например ФИО или email, то он становится оператором персональных данных. Согласно закону такие сайты должны соблюдать множество правил по защите данных своих клиентов, и установка SSL-сертификата — одна из них.

Ок, понятно, что сертификат нужен. Он один такой?

Нет, есть несколько видов SSL-сертификатов. 

 Во-первых, сертификаты делят на три группы по типу, как именно будет проверяться сайт:

  1. Сертификат DV (Domain Validation)  подтверждает домен, а также шифрует и защищает данные при передаче с помощью протокола https. Установить его себе на сайт могут как физические лица, так и организации. Выпускается он, как правило, о-о-очень быстро — точно не дольше трёх часов. После выпуска сертификата и установки на сайте появляется значок замочка и страница становится защищённой.
  2. Второй тип — это OV (Organization Validation) SSL. Главное его отличие в том, что помимо защиты информации на сайте он подтверждает владение доменом конкретной компании. Сертификат выдаётся только компаниям с подтвержденным номером телефона и юридическим адресом. На сайте с таким сертификатом пользователь может найти информацию об организации — владельце сайта, открыв данные сертификата. Выпускается этот тип SSL как правило в течение трёх дней.
  3. Сертификат EV (Extended Validation) — по сути то же самое, что и OV-сертификат. Главное отличие в том, что при клике на замочек появляется название компании. Дело в том, что в организации детально проверяется и налоговая, и коммерческая деятельность компании. Выпускается EV SSL как правило в течение 5 дней.

Во-вторых, они могут отличаться по количеству доменов и поддоменов, которые будут защищать. SSL-сертификаты отличаются по типу защиты. В этой категории три вида сертификатов:

  • Для одного домена — сертификат защитит основной домен или любой субдомен. Такой SSL подойдёт, если клиенты вводят личные данные на какой-то одной странице сайта. Например, такой сертификат подойдёт для личного сайта, блога или промо-страницы.
  • Для нескольких доменов одной компании. Сертификат подойдёт компаниям с сайтами-«зеркалами» в других доменных зонах. Или, например, для сайтов с конкурсами и акциями, которые размещаются на отдельном домене.
  • Для субдоменов. Этот SSL Одновременно защитит основной домен и все субдомены, на который он выпущен, например выпустить домены* reg.ru или *.b2b.reg.ru. Этот тип подойдёт сайту, у которого есть разделы на субдоменах, например, сайты, на которых можно создавать личные аккаунты — интернет-магазины или банки.

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции, которые мы упомянули выше:

  • WildCard — защищает соединение с доменом и всеми его поддоменами.
  • SAN — защищает домены по списку, указанному при получении SSL-сертификата.

Так, а где можно получить SSL-сертификат?

Здесь тоже всё просто — в специальных удостоверяющих центрах. Эти центры подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи. Возможно вы уже встречали такие названия таких УЦ, как: GlobalSign, Symantec, Comodo, Thawte, GeoTrust, DigiCert. 

Также распространением сертификатов занимаются партнёры УЦ, в том числе и REG.RU.

А зачем мне платить, если есть бесплатные сертификаты, которые выдают просто так? 

Существует несколько видов бесплатных сертификатов. Есть такие проекты, как CloudFlare или LetsEncrypt, где можно получить сертификат бесплатно и самостоятельно. Такие сертификаты выпускаются всего на 3 месяца и далее требуют продления (иногда платного). Но в их установке и использовании есть ряд минусов. Например, эти сертификаты не предусматривает печати доверия. Также сертификат Cloudflare  и выдаётся на 50 сайтов сразу, что несёт за собой риски безопасности. Если говорить о LetsEncrypt учтите, что сертификат поддерживается далеко не во всех браузерах.

Также просим вас сохранять бдительность. Если вы видите, что перед вами «крупный» сайт с бесплатным сертификатом — задумайтесь, довольно часто их выбирают мошенники, чтобы вызвать доверие пользователей. Мошенники вряд ли будут связываться с авторитетным УЦ да ещё и платить за то, что можно получить бесплатно. 

Что за печать доверия?

Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.

Существует два вида печатей: 

  1. Статическая — изображение формата PNG, которое прилагается к сертификатам с проверкой домена. При клике по картинке пользователь попадает на страницу с информацией о сертификате.
  2. Динамическая — такое же изображение, но без ссылки. При наведении курсора открывается встроенное окно с подробной информацией о компании и сертификате, защищающем сайт.

Когда посетитель видит печать SSL на сайте, он ещё раз убеждается, что соединение с ним надёжно защищено. Можно совершать покупки, денежные переводы и не беспокоиться, что данные перехватят мошенники. И раз доверие пользователей к сайту растёт, значит и конверсия повышается.

Зачем тогда вообще нужны бесплатные SSL?

Эти сертификаты могут стать отличным решением в качестве тест-драйва с возможностью сэкономить на первый год. Например, на нашем сайте вы можете приобрести бесплатный SSL‑сертификат от GlobalSign вместе с доменом или хостингом на год — этого времени должно хватить для старта интернет-проекта, а по мере его роста можно перейти на платный тариф.

А как понять, какой сертификат мне нужен?

На самом деле всё зависит от ваших потребностей. Сначала определитесь какое количество поддоменов вам нужно защитить. Потом задумайтесь о предпочтительной степени проверки вашей компании. От этого и будет зависеть цена SSL. Выбрать нужный сертификат можно на нашем сайте, пройдя специальный квиз. Также обратите внимание, что мы выдаём и бесплатные DV-сертификаты GlobalSign.

Как установить SSL-сертификат? Наверное, сложно?

Не очень. Если вы покупаете сертификат в REG.RU, то вам не нужно ничего делать — этот процесс полностью автоматизирован. Но, если вдруг возникнут какие-то вопросы, вы всегда можете посмотреть интересующую вас инструкцию в разделе про SSL в нашей Базе знаний или обратиться в нашу техническую поддержку.

⌘⌘⌘

Надеемся, что наша статья оказалась полезной, и мы помогли вам разобраться в вопросах про SSL-сертификаты. Не забывайте, что ваши клиенты не просто регистрируются на сайте, а доверяют вам свои личные данные. Не подведите их, побеспокойтесь о безопасности сайта уже сейчас!

REG.RU запустил сервис проверки SSL-сертификатов

Интернет Хостинг и домены | Поделиться

Хостинг-провайдер и регистратор доменов REG.RU создал чекер для проверки SSL-сертификатов. Это дополнительный бесплатный инструмент, который поможет оценить безопасность сайта — проверить наличие и вид SSL (Secure Sockets Layer). Такой сертификат защищает передачу данных между браузером пользователя и сайтом.

Сервис создан не только как инструмент для владельцев сайтов, но и для обычных пользователей: отсутствие или использование бесплатного SSL-сертификата могут быть одним из признаков мошеннических сайтов. Сервис позволяет в один клик получить эту информацию.

Проверка SSL-сертификата доступна на сайте компании: reg.ru/ssl-certificate/check-ssl/. Достаточно ввести адрес интересующего сайта и кликнуть «Проверить».‎ Сервис выдаст информацию о виде сертификата, удостоверяющем центре, который его выдал, и сроке действия.

Если SSL отсутствует, то чекер предложит владельцам сайтов подобрать сертификат, исходя из специфики интернет-проекта.

«Чекер для проверки SSL-сертификатов поможет быстро и без специальных знаний оценить безопасность любого сайта. Это особенно актуально, учитывая, что число случаев кибермошенничества не снижается. Сервис подскажет, есть ли на сайте SSL, а значит — безопасно ли оставить на нём персональную информацию: адрес доставки, данные карты, номер телефона и другое. Сервис сразу отображает ключевую информацию о сертификате. Не нужно совершать дополнительные действия, как в случае с проверкой SSL в адресной строке браузера, когда необходимо кликнуть на «‎замок»‎ слева и затем разобраться в приведённых данных»‎, — поясняет менеджер по продукту REG.RU Антон Бобков.

REG.RU — хостинг-провайдер и аккредитованный регистратор доменных имён №1 в России (по данным StatOnline.ru, занимает первое место по количеству зарегистрированных доменов и размещённых сайтов в .RU и .РФ). Компания работает с 2006 года и в мае 2021 года отметила своё 15-летие. В октябре 2021 года вошла в состав «РУ-ВЕБ.ИНВЕСТИЦИИ». Сегодня обслуживает более 3300000 доменов, услугами пользуются 2200000 клиентов, среди которых Mail.ru Group, Avito, «Газпром-медиа холдинг», «Первый бит». Каждый второй домен в Рунете регистрируется в REG.RU. Компания предлагает регистрацию в 750 международных доменных зонах, а также предоставляет услуги хостинга, SSL, почты, VPS, аренды физических серверов.

Официальные аккаунты REG.RU в соцсетях: instagram.com/regru, vk.com/regru, facebook.com/REG.RU, t.me/regru, twitter.com/regru, youtube.com/user/regruvideo.

проще, удобнее, эффективнее / Хабр. Компания обладает широким портфелем различных услуг (от регистрации доменов и услуг хостинга до услуг SEO-продвижения и контекстной рекламы), что делает REG.RU отправной точкой для развития онлайн-бизнеса.

Одной из основных целей ребрендинга было донести до общественности наши главные ценности: простота, удобство, наглядность и эффективность.Изменения коснулись всех составляющих корпоративной идентификации REG.RU, но, безусловно, самыми яркими и заметными элементами ребрендинга стали обновленный дизайн сайта, логотип и фирменный стиль компании. О них пойдет речь в посте.

Как изменился сайт REG.RU.

Новая концепция навигации. При разработке новой навигационной системы

мы руководствовались одной целью — провести пользователя от идеи до запуска собственного бизнеса в сети.Сейчас в основе структуры сайта и формата представления информации в главном меню лежит четкая последовательность перехода пользователя от базовых услуг к услугам, позволяющим развивать бизнес и повышать эффективность бизнес-процессов.

Например, последовательность действий пользователя может быть следующей:

«Озарение» (появление идеи) — разработка концепции проекта и выбор названия — регистрация домена для сайта проекта — создание сайта — хостинг подбор и заказ — подтверждение надежности ресурса с использованием SSL-сертификата — подключение необходимых сервисов для продвижения и развития бизнеса в Сети.

Новая графическая концепция сайта

Изменения в дизайне сайта основаны, с одной стороны, на уже озвученных выше принципах: простота, удобство, наглядность и эффективность, с другой парадигмы сдвиг в потреблении услуг на рынке. Так, по последним данным, львиная доля трафика генерируется мобильными устройствами, при этом с каждым годом эти цифры будут расти.

Увеличены элементы сайта, что значительно упрощает его просмотр с мобильных устройств и позволяет сосредоточиться на действительно важной информации, не теряясь в массиве данных.

Кроме того, появление мониторов высокой плотности, таких как Retina, диктует новые графические правила. Мы использовали технологии, благодаря которым сайт одинаково хорошо отображается на экранах любого типа (как обычных, так и с повышенной плотностью пикселей).

На всех обновляемых страницах сайта в качестве основной используется векторная SVG-графика, а растровые изображения используются только в качестве фоновых блоков. Это позволило уменьшить вес и увеличить скорость загрузки страниц сайта REG.RU, а также избежать деформации изображения при увеличении страницы сайта.

Как менялся логотип REG.RU

Перед нами стояла задача максимально упростить логотип, избавиться от множества мелких деталей, но при этом сохранить узнаваемость бренда.

В основу нового логотипа положен важный элемент, сохранившийся от предыдущего логотипа – «Папка-дом», который содержит сразу несколько метафор. Например, дом как часть слова «домен» или дом как историческое определение «домашних страниц» сайтов, а папка как ключевой графический элемент, обозначающий групповое хранение цифровой информации.При этом угол наклона уменьшился, что придало элементу большую устойчивость.

Надпись REG перекочевала на основной элемент логотипа, заложив новую основу восприятия бренда. REG — базовый элемент, который дополняется обозначением региональной доменной зоны до полной отрисовки логотипа.

Шрифт также приобрел более простые формы, лишившись мелких деталей и излишеств. Надпись «Домены-Хостинг-Почта» перекочевала из обязательной части логотипа в дополнительную и теперь будет использоваться при необходимости, в зависимости от контекста.

В результате логотип REG.RU приобрел более высокую читаемость, а современный стиль расширил возможности его более широкого использования.

Как менялся наш фирменный стиль








Благодаря усилиям наших разработчиков и дизайнеров визуальная составляющая бренда REG.RU является отражением позиции компании на рынке и наши корпоративные ценности. REG.RU — это просто, удобно, интуитивно понятно и эффективно.

REG.RU запускает сервис проверки SSL-сертификатов

Интернет
Хостинг и домены

|

Делиться

Хостинг-провайдер и регистратор доменов REG.RU создали средство проверки SSL-сертификатов. Это дополнительный бесплатный инструмент, который поможет оценить безопасность сайта — проверить наличие и тип SSL (Secure Sockets Layer). Такой сертификат обеспечивает передачу данных между браузером пользователя и сайтом.

Сервис создан не только как инструмент для владельцев сайтов, но и для обычных пользователей: отсутствие или использование бесплатного SSL-сертификата может быть одним из признаков мошеннических сайтов. Сервис позволяет получить эту информацию в один клик.

Проверка SSL-сертификата доступна на сайте компании: reg.ru/ssl-certificate/check-ssl/. Достаточно ввести адрес интересующего сайта и нажать «Проверить».‎ Сервис выдаст информацию о типе сертификата, выдавшем его удостоверяющем центре и сроке действия.

При отсутствии SSL чекер предложит владельцам сайтов выбрать сертификат исходя из специфики интернет-проекта.

«Чекер для проверки SSL-сертификатов поможет вам быстро и без специальных знаний оценить безопасность любого сайта. Это особенно актуально, учитывая, что количество случаев кибермошенничества не уменьшается. Сервис подскажет, есть ли на сайте SSL, а значит, безопасно ли оставлять на нем личную информацию: адрес доставки, данные карты, номер телефона и прочее.Сервис сразу отображает ключевую информацию о сертификате. Нет необходимости предпринимать дополнительные действия, как в случае с проверкой SSL в адресной строке браузера, когда нужно нажать на «‎замок»‎ слева и далее разбираться в предоставленных данных», — поясняет РЭГ. .RU продукт-менеджер Антон Бобков .

REG.RU — хостинг-провайдер и аккредитованный регистратор доменных имен №1 в России (по данным StatOnline.ru занимает первое место по количеству зарегистрированных доменов и размещенных сайтов в зоне .РУ и .РФ). Компания работает с 2006 года и в мае 2021 года отметила свое 15-летие. В октябре 2021 года стала участником RU-WEB.INVESTMENTS. На сегодняшний день обслуживает более 3 300 000 доменов, услугами пользуются 2 200 000 клиентов, в том числе Mail.ru Group, Avito, Газпром Медиа Холдинг, Первый Бит. Каждый второй домен в Рунете зарегистрирован на REG.RU. Компания предлагает регистрацию в 750 международных доменных зонах, а также оказывает услуги хостинга, SSL, почты, VPS, аренды физических серверов.

Официальные аккаунты REG.RU в социальных сетях: instagram.com/regru, vk.com/regru, facebook.com/REG.RU, t.me/regru, twitter.com/regru, youtube.com/user/regruvideo.

Давайте зашифруем — Traefik

Автоматически HTTPS

Вы можете настроить Traefik на использование поставщика ACME (например, Let’s Encrypt) для автоматического создания сертификата.

Давайте зашифруем и ограничим скорость

Обратите внимание, что Let’s Encrypt API имеет ограничение скорости.

Использование промежуточного сервера Let’s Encrypt с параметром конфигурации caServer при экспериментировании, чтобы избежать слишком быстрого достижения этого предела.

Преобразователи сертификатов

Traefik требует, чтобы вы определили «Certificate Resolvers» в статической конфигурации, которые отвечают за получение сертификатов с сервера ACME.

Затем каждый «маршрутизатор» настраивается на включение TLS, и связан с преобразователем сертификатов через параметр конфигурации tls.certresolver .

Сертификаты запрашиваются для доменных имен, полученных из динамической конфигурации маршрутизатора.

Подробнее об этом механизме получения можно прочитать в следующем разделе: Определение домена ACME.

Определение преобразователя сертификатов не приводит к автоматическому использованию его всеми маршрутизаторами. Каждый маршрутизатор, который должен использовать резолвер, должен ссылаться на него.

Справочник по конфигурации

Существует много доступных опций для ACME. Для быстрого ознакомления с возможными возможностями просмотрите ссылку на конфигурацию:

. Файл (YAML)
  сертификатовResolvers:
  мой резольвер:
    # Включить ACME (Let's Encrypt): автоматический SSL.акме:

      # Адрес электронной почты, используемый для регистрации.
      #
      # Необходимый
      #
      электронная почта: "[email protected]"

      # Файл или ключ, используемый для хранения сертификатов.
      #
      # Необходимый
      #
      хранилище: "acme.json"

      # CA-сервер для использования.
      # Раскомментируйте строку, чтобы использовать промежуточный сервер Let's Encrypt,
      # оставить комментарий, чтобы перейти к продукту.
      #
      # Необязательный
      # По умолчанию: "https://acme-v02.api.letsencrypt.org/directory"
      #
      # caServer: "https://acme-staging-v02.api.letsencrypt.org/directory"

      # Срок действия сертификатов в часах.
      # По умолчанию это 2160 (90 дней), чтобы соответствовать сроку действия сертификатов Let's Encrypt.
      #
      # Необязательный
      # По умолчанию: 2160
      #
      # сертификатовПродолжительность: 2160

      # Предпочтительная цепочка для использования.
      #
      # Если ЦС предлагает несколько цепочек сертификатов, отдайте предпочтение цепочке с эмитентом, совпадающим с этим общим именем субъекта.
      # Если совпадений нет, будет использована предложенная по умолчанию цепочка.
      #
      # Необязательный
      # По умолчанию: ""
      #
      # requiredChain: 'ISRG Root X1'

      # KeyType для использования.#
      # Необязательный
      # По умолчанию: "RSA4096"
      #
      # Доступные значения: "EC256", "EC384", "RSA2048", "RSA4096", "RSA8192"
      #
      # тип ключа: RSA4096

      # Используйте вызов TLS-ALPN-01 ACME.
      #
      # Необязательно (но рекомендуется)
      #
      tlsChallenge:

      # Используйте вызов HTTP-01 ACME.
      #
      # Необязательный
      #
      # httpВызов:

        # EntryPoint для использования в вызовах HTTP-01.
        #
        # Необходимый
        #
        # точка входа: сеть

      # Используйте вызов ACME DNS-01, а не вызов HTTP-01.# Примечание: обязательно для создания группового сертификата.
      #
      # Необязательный
      #
      # dnsChallenge:

        # Используемый провайдер DNS.
        #
        # Необходимый
        #
        # провайдер: digitalocean

        # По умолчанию провайдер проверит запись запроса DNS TXT, прежде чем разрешить проверку ACME.
        # Если delayBeforeCheck больше нуля, эта проверка откладывается на настроенное время в секундах.
        # Полезно, если внутренние сети блокируют внешние DNS-запросы.#
        # Необязательный
        # По умолчанию: 0
        #
        # задержкаBeforeCheck: 0

        # Используйте следующие DNS-серверы для разрешения полномочий FQDN.
        #
        # Необязательный
        # По умолчанию: пусто
        #
        # резолверы
        # - "1.1.1.1:53"
        # - "8.8.8.8:53"

        # Отключите проверки распространения DNS, прежде чем уведомлять ACME о том, что вызов DNS готов.
        #
        # НЕ РЕКОМЕНДУЕТСЯ:
        # Увеличьте риск достижения пределов скорости Let's Encrypt.
        #
        # Необязательный
        # По умолчанию: ложь
        #
        # disablePropagationCheck: true  
Файл (TOML)
  # Включить ACME (Let's Encrypt): автоматический SSL.[сертификатыResolvers.myresolver.acme]

  # Адрес электронной почты, используемый для регистрации.
  #
  # Необходимый
  #
  электронная почта = "[email protected]"

  # Файл или ключ, используемый для хранения сертификатов.
  #
  # Необходимый
  #
  хранилище = "acme.json"

  # CA-сервер для использования.
  # Раскомментируйте строку, чтобы использовать промежуточный сервер Let's Encrypt,
  # оставить комментарий, чтобы перейти к продукту.
  #
  # Необязательный
  # По умолчанию: "https://acme-v02.api.letsencrypt.org/directory"
  #
  # caServer = "https://acme-staging-v02.api.letsencrypt.org/directory"

  # Срок действия сертификатов в часах.# По умолчанию это 2160 (90 дней), чтобы соответствовать сроку действия сертификатов Let's Encrypt.
  #
  # Необязательный
  # По умолчанию: 2160
  #
  # сертификатыDuration=2160

  # Предпочтительная цепочка для использования.
  #
  # Если ЦС предлагает несколько цепочек сертификатов, отдайте предпочтение цепочке с эмитентом, совпадающим с этим общим именем субъекта.
  # Если совпадений нет, будет использована предложенная по умолчанию цепочка.
  #
  # Необязательный
  # По умолчанию: ""
  #
  # requiredChain = "ISRG Root X1"

  # KeyType для использования.
  #
  # Необязательный
  # По умолчанию: "RSA4096"
  #
  # Доступные значения: "EC256", "EC384", "RSA2048", "RSA4096", "RSA8192"
  #
  # keyType = "RSA4096"

  # Используйте вызов TLS-ALPN-01 ACME.#
  # Необязательно (но рекомендуется)
  #
  [сертификатыResolvers.myresolver.acme.tlsChallenge]

  # Используйте вызов HTTP-01 ACME.
  #
  # Необязательный
  #
  # [сертификатыResolvers.myresolver.acme.httpChallenge]

    # EntryPoint для использования в вызовах HTTP-01.
    #
    # Необходимый
    #
    # entryPoint = "Интернет"

  # Используйте вызов ACME DNS-01, а не вызов HTTP-01.
  # Примечание: обязательно для создания группового сертификата.
  #
  # Необязательный
  #
  # [сертификатыResolvers.myresolver.acme.dnsChallenge]

    # Используемый провайдер DNS.#
    # Необходимый
    #
    # провайдер = "digitalocean"

    # По умолчанию провайдер проверит запись запроса DNS TXT, прежде чем разрешить проверку ACME.
    # Если delayBeforeCheck больше нуля, эта проверка откладывается на настроенное время в секундах.
    # Полезно, если внутренние сети блокируют внешние DNS-запросы.
    #
    # Необязательный
    # По умолчанию: 0
    #
    # задержкаBeforeCheck = 0

    # Используйте следующие DNS-серверы для разрешения полномочий FQDN.
    #
    # Необязательный
    # По умолчанию: пусто
    #
    # резолверы = ["1.1.1.1:53", "8.8.8.8:53"]

    # Отключите проверки распространения DNS, прежде чем уведомлять ACME о том, что вызов DNS готов.
    #
    # НЕ РЕКОМЕНДУЕТСЯ:
    # Увеличьте риск достижения пределов скорости Let's Encrypt.
    #
    # Необязательный
    # По умолчанию: ложь
    #
    # disablePropagationCheck = true  
CLI
  # Включить ACME (Let's Encrypt): автоматический SSL.

# Адрес электронной почты, используемый для регистрации.
#
# Необходимый
#
[email protected]

# Файл или ключ, используемый для хранения сертификатов.#
# Необходимый
#
--certificatesresolvers.myresolver.acme.storage=acme.json

# CA-сервер для использования.
# Раскомментируйте строку, чтобы использовать промежуточный сервер Let's Encrypt,
# оставить комментарий, чтобы перейти к продукту.
#
# Необязательный
# По умолчанию: "https://acme-v02.api.letsencrypt.org/directory"
#
--certificatesresolvers.myresolver.acme.caserver=https://acme-staging-v02.api.letsencrypt.org/directory

# Срок действия сертификатов в часах.
# По умолчанию это 2160 (90 дней), чтобы соответствовать сроку действия сертификатов Let's Encrypt.
#
# Необязательный
# По умолчанию: 2160
#
--certificatesresolvers.myresolver.acme.certificatesDuration=2160

# Предпочтительная цепочка для использования.
#
# Если ЦС предлагает несколько цепочек сертификатов, отдайте предпочтение цепочке с эмитентом, совпадающим с этим общим именем субъекта.
# Если совпадений нет, будет использована предложенная по умолчанию цепочка.
#
# Необязательный
# По умолчанию: ""
#
--certificatesresolvers.myresolver.acme.preferredchain="ISRG Root X1"

# KeyType для использования.
#
# Необязательный
# По умолчанию: "RSA4096"
#
# Доступные значения: "EC256", "EC384", "RSA2048", "RSA4096", "RSA8192"
#
--certificatesresolvers.myresolver.acme.keytype=RSA4096

# Используйте вызов TLS-ALPN-01 ACME.
#
# Необязательно (но рекомендуется)
#
--certificatesresolvers.myresolver.acme.tlschallenge=true

# Используйте вызов HTTP-01 ACME.
#
# Необязательный
#
--certificatesresolvers.myresolver.acme.httpchallenge=true

# EntryPoint для использования в вызовах HTTP-01.
#
# Необходимый
#
--certificatesresolvers.myresolver.acme.httpchallenge.entrypoint=веб

# Используйте вызов ACME DNS-01, а не вызов HTTP-01.
# Примечание: обязательно для создания группового сертификата.#
# Необязательный
#
--certificatesresolvers.myresolver.acme.dnschallenge=true

# Используемый провайдер DNS.
#
# Необходимый
#
--certificatesresolvers.myresolver.acme.dnschallenge.provider=digitalocean

# По умолчанию провайдер проверит запись запроса DNS TXT, прежде чем разрешить проверку ACME.
# Если delayBeforeCheck больше нуля, эта проверка откладывается на настроенное время в секундах.
# Полезно, если внутренние сети блокируют внешние DNS-запросы.
#
# Необязательный
# По умолчанию: 0
#
--certificatesresolvers.myresolver.acme.dnschallenge.delaybeforecheck=0

# Используйте следующие DNS-серверы для разрешения полномочий FQDN.
#
# Необязательный
# По умолчанию: пусто
#
--certificatesresolvers.myresolver.acme.dnschallenge.resolvers=1.1.1.1:53,8.8.8.8:53

# Отключите проверки распространения DNS, прежде чем уведомлять ACME о том, что вызов DNS готов.
#
# НЕ РЕКОМЕНДУЕТСЯ:
# Увеличьте риск достижения пределов скорости Let's Encrypt.
#
# Необязательный
# По умолчанию: ложь
#
--certificatesresolvers.myresolver.acme.dnschallenge.disablepropagationcheck=true  

Определение домена

Преобразователи сертификатов запрашивают сертификаты для набора доменных имен выводится из маршрутизаторов со следующей логикой:

  • Если на маршрутизаторе установлен протокол tls.набор параметров доменов , затем преобразователь сертификатов использует параметр main (и, возможно, без ) tls.domains , чтобы узнать доменные имена для этого маршрутизатора.

  • Если параметр tls.domains не установлен, затем преобразователь сертификатов использует правило маршрутизатора, проверив сопоставители Host() . Обратите внимание, что можно использовать несколько сопоставителей Host() ) для указания нескольких доменных имен для этого маршрутизатора.

Обратите внимание:

Дополнительные сведения см. в приведенных ниже примерах конфигурации.

Примеры конфигурации

Включение ACME

Определение преобразователя сертификатов не приводит к автоматическому использованию его всеми маршрутизаторами. Каждый маршрутизатор, который должен использовать резолвер, должен ссылаться на него.

Единый домен из правила маршрутизатора Пример
  • Запрошен сертификат для домена example.com :
Несколько доменов из примера правила маршрутизатора
  • Пример сертификата для доменов .com (основной) и blog.example.org запрашивается:
Несколько доменов от маршрутизатора tls.domain Example
  • Сертификат для доменов example.com (основной) и *.example.org (SAN) запрашивается:

Автоматическое продление

Traefik автоматически отслеживает срок действия генерируемых сертификатов ACME.

По умолчанию Traefik управляет 90-дневными сертификатами, и начинает продлевать сертификаты за 30 дней до истечения срока их действия.

При использовании преобразователя сертификатов, который выдает сертификаты с настраиваемой продолжительностью, можно настроить срок действия сертификатов с помощью параметра certificatesDuration .

Сертификаты, которые больше не используются, могут быть обновлены, поскольку в настоящее время Traefik не проверяет, используется ли сертификат перед обновлением.

Использование LetsEncrypt с Kubernetes

При использовании LetsEncrypt с kubernetes существуют некоторые известные предостережения как для поставщиков входных данных, так и для поставщиков crd.

Если вы собираетесь запускать несколько экземпляров Traefik с LetsEncrypt, убедитесь, что вы прочитали разделы на страницах этих поставщиков.

Различные вызовы ACME

Определение одного вызова ACME является требованием для работы преобразователя сертификатов.

Определение преобразователя сертификатов не приводит к автоматическому использованию его всеми маршрутизаторами. Каждый маршрутизатор, который должен использовать резолвер, должен ссылаться на него.

tlsChallenge

Используйте вызов TLS-ALPN-01 для создания и обновления сертификатов ACME путем предоставления сертификата TLS.

Как описано на форуме сообщества Let’s Encrypt, при использовании вызова TLS-ALPN-01 Traefik должен быть доступен для Let’s Encrypt через порт 443.

Настройка tlsChallenge

httpChallenge

Используйте вызов HTTP-01 для создания и обновления сертификатов ACME путем предоставления ресурса HTTP с общеизвестным URI.

Как описано на форуме сообщества Let’s Encrypt, при использовании вызова HTTP-01 , разрешители сертификатов .myresolver.acme.httpchallenge.entrypoint должен быть доступен для Let’s Encrypt через порт 80.

Использование сети EntryPoint Called для httpChallenge Перенаправление

полностью совместимо с вызовом HTTP-01 .

dnsChallenge

Используйте вызов DNS-01 для создания и обновления сертификатов ACME путем предоставления записи DNS.

Настройка dnsChallenge с провайдером DigitalOcean

Важно

Провайдер является обязательным.

провайдеры

Вот список поддерживаемых провайдеров , которые могут автоматизировать проверку DNS, вместе с необходимыми переменными среды и их поддержкой подстановочных знаков и корневого домена. Не стесняйтесь завершить его.

Многие переменные среды lego могут быть переопределены их соответствующим аналогом _FILE , который должен иметь путь к файлу, содержащему секрет в качестве значения. Например, CF_API_EMAIL_FILE=/run/secrets/traefik_cf-api-email можно использовать для предоставления адреса электронной почты API Cloudflare в качестве секрета Docker с именем traefik_cf-api-email .

Для получения полной информации см. ссылку Дополнительная конфигурация вашего провайдера.

Имя провайдера Код провайдера Переменные среды
ACME DNS акме-DNS ACME_DNS_API_BASE , ACME_DNS_STORAGE_PATH Дополнительная конфигурация
Облако Alibaba алиды ALICLOUD_ACCESS_KEY , ALICLOUD_SECRET_KEY , ALICLOUD_REGION_ID Дополнительная конфигурация
сплошной аллинкл ALL_INKL_LOGIN , ALL_INKL_PASSWORD Дополнительная конфигурация
АрванКлауд арванклауд ARVANCLOUD_API_KEY Дополнительная конфигурация
Аурораднс аурораднс AURORA_USER_ID , AURORA_KEY , AURORA_ENDPOINT Дополнительная конфигурация
Autodns автоднс AUTODNS_API_USER , AUTODNS_API_PASSWORD Дополнительная конфигурация
Лазурный лазурный Azure_Client_ID , Azure_Client_Secret , Azure_Subscription_id , Azure_Tenant_ID , Azure_Resource_Group , [Azure_Metadata_endpoint] Дополнительная конфигурация
Биндман связной BINDMAN_MANAGER_ADDRESS Дополнительная конфигурация
Синяя кошка голубая кошка BLUECAT_SERVER_URL , BLUECAT_USER_NAME , BLUECAT_PASSWORD , BLUECAT_CONFIG_NAME , BLUECAT_DNS_VIEW 7 Дополнительная конфигурация
Контрольный домен контрольный домен CHECKDOMAIN_TOKEN , Дополнительная конфигурация
CloudDNS облака DNS CLOUDDNS_CLIENT_ID , CLOUDDNS_EMAIL , CLOUDDNS_PASSWORD Дополнительная конфигурация
Облачная вспышка вспышка облака CF_API_EMAIL , CF_API_KEY или CF_DNS_API_TOKEN , [CF_ZONE_API_TOKEN] Дополнительная конфигурация
CloudDNS облака CLOUDNS_AUTH_ID , CLOUDNS_AUTH_PASSWORD Дополнительная конфигурация
CloudXNS облакаxns CLOUDXNS_API_KEY , CLOUDXNS_SECRET_KEY Дополнительная конфигурация
КоноХа коноха CONOHA_TENANT_ID , CONOHA_API_USERNAME , CONOHA_API_PASSWORD Дополнительная конфигурация
Констелликс констелликс CONSTELLIX_API_KEY , CONSTELLIX_SECRET_KEY Дополнительная конфигурация
десек десек DESEC_TOKEN Дополнительная конфигурация
DigitalOcean цифровой океан DO_AUTH_TOKEN Дополнительная конфигурация
Упрощение DNS dnsmadeeasy DNSMADEEASY_API_KEY , DNSMADEEASY_API_SECRET , DNSMADEEASY_SANDBOX Дополнительная конфигурация
DNSimple днпростой DNSIMPLE_OAUTH_TOKEN , DNSIMPLE_BASE_URL Дополнительная конфигурация
DNSPod днспод DNSPOD_API_KEY Дополнительная конфигурация
Наступление на домен (do.де) доде DODE_TOKEN Дополнительная конфигурация
Доменешоп Доменесшоп DOMENESHOP_API_TOKEN , DOMENESHOP_API_SECRET Дополнительная конфигурация
DreamHost хозяин мечты DREAMHOST_API_KEY Дополнительная конфигурация
Утиный DNS утиные DNS DUCDNS_TOKEN Дополнительная конфигурация
Дин дин DYN_CUSTOMER_NAME , DYN_USER_NAME , DYN_PASSWORD Дополнительная конфигурация
Дину динамо DYNU_API_KEY Дополнительная конфигурация
EasyDNS EasyDNS EASYDNS_TOKEN , EASYDNS_KEY Дополнительная конфигурация
EdgeDNS ребра AKAMAI_CLIENT_TOKEN , AKAMAI_CLIENT_SECRET , AKAMAI_ACCESS_TOKEN Дополнительная конфигурация
Эпик эпик EPIK_SIGNATURE Дополнительная конфигурация
Экзомасштаб экзошкала EXOSCALE_API_KEY , EXOSCALE_API_SECRET , EXOSCALE_ENDPOINT Дополнительная конфигурация
Быстрый DNS фастднс AKAMAI_CLIENT_TOKEN , AKAMAI_CLIENT_SECRET , AKAMAI_ACCESS_TOKEN Дополнительная конфигурация
Freemyip.ком freemyip FREEMYIP_TOKEN Дополнительная конфигурация
Лаборатория G-Core gcore GCORE_PERMANENT_API_TOKEN Дополнительная конфигурация
Ганди v5 гандив5 GANDIV5_API_KEY Дополнительная конфигурация
Ганди Ганди GANDI_API_KEY Дополнительная конфигурация
Глесис глесис GLESYS_API_USER , GLESYS_API_KEY , GLESYS_DOMAIN Дополнительная конфигурация
GoDaddy богиня GODADDY_API_KEY , GODADDY_API_SECRET Дополнительная конфигурация
Облачный DNS Google gcloud GCE_PROJECT , Учетные данные приложения по умолчанию , [ GCE_SERVICE_ACCOUNT_FILE ] Дополнительная конфигурация
Хетцнер Хетцнер HETZNER_API_KEY Дополнительная конфигурация
хостинг.де Хостингde HOSTINGDE_API_KEY , HOSTINGDE_ZONE_NAME Дополнительная конфигурация
Хосттек хосттех HOSTTECH_API_KEY Дополнительная конфигурация
Гиперуан гиперон HYPERONE_PASSPORT_LOCATION , HYPERONE_LOCATION_ID Дополнительная конфигурация
Харрикейн Электрик ураган УРАГАННЫЕ ЖЕТОНЫ Дополнительная конфигурация
IBM Cloud (SoftLayer) ibmcloud SOFTLAYER_USERNAME , SOFTLAYER_API_KEY Дополнительная конфигурация
IIJ iij IIJ_API_ACCESS_KEY , IIJ_API_SECRET_KEY , IIJ_DO_SERVICE_CODE Дополнительная конфигурация
Информационный блок информационный блок INFOBLOX_USER , INFOBLOX_PASSWORD , INFOBLOX_HOST Дополнительная конфигурация
Информатик инфоман INFOMANIAK_ACCESS_TOKEN Дополнительная конфигурация
Интернет.бс интернетбс INTERNET_BS_API_KEY , INTERNET_BS_PASSWORD Дополнительная конфигурация
ИНВКС inwx INWX_USERNAME , INWX_PASSWORD Дополнительная конфигурация
ионос ионос IONOS_API_KEY Дополнительная конфигурация
Джокер.ком джокер JOKER_API_MODE с JOKER_API_KEY или JOKER_USERNAME , JOKER_PASSWORD Дополнительная конфигурация
Световой парус световой парус AWS_ACCESS_KEY_ID , AWS_SECRET_ACCESS_KEY , DNS_ZONE Дополнительная конфигурация
Линод v4 линод LINODE_TOKEN Дополнительная конфигурация
Жидкая паутина жидкостьвеб LIQUID_WEB_PASSWORD , LIQUID_WEB_USERNAME , LIQUID_WEB_ZONE Дополнительная конфигурация
Лупия лупия LOOPIA_API_PASSWORD , LOOPIA_API_USER Дополнительная конфигурация
LuaDNS номера LUADNS_API_USERNAME , LUADNS_API_TOKEN Дополнительная конфигурация
MyDNS.джп mydnsjp MYDNSJP_MASTER_ID , MYDNSJP_PASSWORD Дополнительная конфигурация
Мифические звери мифические звери MYTHICBEASTS_USER_NAME , MYTHICBEASTS_PASSWORD Дополнительная конфигурация
name.com Намедотком NAMECOM_USERNAME , NAMECOM_API_TOKEN , NAMECOM_SERVER Дополнительная конфигурация
Недорогие дешевый NAMECHEAP_API_USER , NAMECHEAP_API_KEY Дополнительная конфигурация
Имясило имясило НАЗВАНИЕSILO_API_KEY Дополнительная конфигурация
Нетчашка сетка NETCUP_CUSTOMER_NUMBER , NETCUP_API_KEY , NETCUP_API_PASSWORD Дополнительная конфигурация
Нетлайф сеть NETLIFY_TOKEN Дополнительная конфигурация
Никманагер никменеджер NICMANAGER_API_EMAIL , NICMANAGER_API_PASSWORD Дополнительная конфигурация
NIFCloud нифклауд NIFCLOUD_ACCESS_KEY_ID , NIFCLOUD_SECRET_ACCESS_KEY Дополнительная конфигурация
Ньялла нжалла NJALLA_TOKEN Дополнительная конфигурация
НС1 нс1 NS1_API_KEY Дополнительная конфигурация
Открытое облако Telekom прочее OTC_DOMAIN_NAME , OTC_USER_NAME , OTC_PASSWORD , OTC_PROJECT_NAME , OTC_IDENTITY_ENDPOINT Дополнительная конфигурация
Обозначение открытого штабеля обозначить OS_AUTH_URL , OS_USERNAME , OS_PASSWORD , OS_TENANT_NAME , OS_REGION_NAME Дополнительная конфигурация
Облако Oracle ораклоблауд OCI_COMPORTTORT_OCID , OCI_PRIVKEY_FILE , OCI_PRIVKEY_PASS , OCI_PUBKEY_FINGRINT , OCI_ERGINE , OCI_TENCY_OCID , OCI_USER_OCID Дополнительная конфигурация
ОВХ овх OVH_ENDPOINT , OVH_APPLICATION_KEY , OVH_APPLICATION_SECRET , OVH_CONSUMER_KEY Дополнительная конфигурация
Булочка со свининой свиная булочка PORKBUN_SECRET_API_KEY , PORKBUN_API_KEY Дополнительная конфигурация
PowerDNS пднс PDNS_API_KEY , PDNS_API_URL Дополнительная конфигурация
Стеллаж место для стойки RACKSPACE_USER , RACKSPACE_API_KEY Дополнительная конфигурация
рег.ru регру REGRU_USERNAME , REGRU_PASSWORD Дополнительная конфигурация
RFC2136 rfc2136 RFC2136_TSIG_KEY , RFC2136_TSIG_SECRET , RFC2136_TSIG_ALGORITHM , RFC2136_NAMESERVER Дополнительная конфигурация
RimuHosting римухостинг RIMUHOSTING_API_KEY Дополнительная конфигурация
Маршрут 53 маршрут53 AWS_ACCESS_KEY_ID , AWS_SECRET_ACCESS_KEY , [AWS_REGION] , [AWS_HOSTED_ZONE_ID] или настроенный профиль пользователя/экземпляра IAM. Дополнительная конфигурация
Сакура Клауд сакураклауд SAKURACLOUD_ACCESS_TOKEN , SAKURACLOUD_ACCESS_TOKEN_SECRET Дополнительная конфигурация
Шкала шкала SCALEWAY_API_TOKEN Дополнительная конфигурация
Селектел отборный SELECTEL_API_TOKEN Дополнительная конфигурация
Серверная корова серверная корова SERVERCOW_USERNAME , SERVERCOW_PASSWORD Дополнительная конфигурация
Просто.ком просто SIMPLY_ACCOUNT_NAME , SIMPLY_API_KEY Дополнительная конфигурация
Соник звуковой SONIC_USER_ID , SONIC_API_KEY Дополнительная конфигурация
Путь стека путь стека STACKPATH_CLIENT_ID , STACKPATH_CLIENT_SECRET , STACKPATH_STACK_ID Дополнительная конфигурация
Облачный DNS-сервер Tencent Tencentcloud TENCENTCLOUD_SECRET_ID , TENCENTCLOUD_SECRET_KEY Дополнительная конфигурация
ТрансИП транзитный TRANSIP_ACCOUNT_NAME , TRANSIP_PRIVATE_KEY_PATH Дополнительная конфигурация
UKFast SafeDNS сейфы SAFEDNS_AUTH_TOKEN Дополнительная конфигурация
ВегаДНС веганы SECRET_VEGADNS_KEY , SECRET_VEGADNS_SECRET , VEGADNS_URL Дополнительная конфигурация
Версия версия ВЕРСИЯ_ИМЯ_ПОЛЬЗОВАТЕЛЯ , ВЕРСИЯ_ПАРОЛЬ Дополнительная конфигурация
ВинилDNS винил VINYLDNS_ACCESS_KEY , VINYLDNS_SECRET_KEY , VINYLDNS_HOST Дополнительная конфигурация
Вмасштаб масштаб VSCALE_API_TOKEN Дополнительная конфигурация
ВУЛЬТР вультр VULTR_API_KEY Дополнительная конфигурация
ВЕДОС ведос WEDOS_USERNAME , WEDOS_WAPI_PASSWORD Дополнительная конфигурация
Яндекс яндекс YANDEX_PDD_TOKEN Дополнительная конфигурация
Зона.ее зонный ZONEEE_API_USER , ZONEEE_API_KEY Дополнительная конфигурация
Зономи зономи ЗОНОМИ_API_KEY Дополнительная конфигурация
Внешняя программа исполнитель EXEC_PATH Дополнительная конфигурация
HTTP-запрос httpтреб HTTPREQ_ENDPOINT , HTTPREQ_MODE , HTTPREQ_USERNAME , HTTPREQ_PASSWORD Дополнительная конфигурация
руководство руководство нет, но вам нужно запустить Traefik в интерактивном режиме , включить журнал отладки, чтобы увидеть инструкции, и нажать Enter .

задержкаBeforeCheck

По умолчанию поставщик проверяет запись TXT до , позволяя ACME проверить. Вы можете отложить эту операцию, указав задержку (в секундах) с помощью delayBeforeCheck (значение должно быть больше нуля). Этот параметр полезен, когда внутренние сети блокируют внешние DNS-запросы.

резольверы

Используйте настраиваемые DNS-серверы для разрешения полномочий FQDN.

Подстановочные домены

ACME V2 поддерживает групповые сертификаты. Как описано в сообщении Let’s Encrypt, подстановочные сертификаты могут быть созданы только с помощью запроса DNS-01 .

Привязка внешней учетной записи

  • kid : Идентификатор ключа от внешнего ЦС
  • hmacEncoded : ключ HMAC из внешнего ЦС, должен быть в кодировке URL-адреса Base64 без формата заполнения

Дополнительная конфигурация

caServer

Обязательно, по умолчанию = «https://acme-v02.api.letsencrypt.org/directory»

Сервер CA для использования:

  • Рабочий сервер Let’s Encrypt: https://acme-v02.api.letsencrypt.org/directory
  • Промежуточный сервер Let’s Encrypt: https://acme-staging-v02.api.letsencrypt.org/directory
Использование промежуточного сервера Let’s Encrypt

хранение

Обязательно, по умолчанию = «acme.json»

Параметр storage задает место, где сохраняются ваши сертификаты ACME.

Сертификаты ACME

хранятся в файле JSON, который должен иметь файловый режим 600 .

В Docker можно смонтировать либо файл JSON, либо папку, содержащую его:

  docker run -v "/my/host/acme.json:/acme.json" traefik  
  docker run -v "/my/host/acme:/etc/traefik/acme" traefik  

Предупреждение

Из соображений параллелизма этот файл нельзя использовать в нескольких экземплярах Traefik.

сертификатыДлительность

Дополнительно, по умолчанию = 2160

Параметр certificatesDuration определяет срок действия сертификатов в часах.По умолчанию это 2160 (90 дней), чтобы следовать сроку действия сертификатов Let’s Encrypt.

Traefik не может управлять сертификатами сроком действия менее 1 часа.

certificatesDuration используется для расчета двух сроков действия:

  • Renew Period : период до окончания срока действия сертификата, в течение которого сертификат должен быть обновлен.
  • Интервал обновления : интервал между попытками обновления.
Срок действия сертификата Период продления Интервал обновления
>= 1 год 4 месяца 1 неделя
>= 90 дней 30 дней 1 день
>= 7 дней 1 день 1 час
>= 24 часа 6 часов 10 мин
< 24 часов 20 мин 1 мин

предпочтительная цепь

Дополнительно, по умолчанию = «»

Предпочтительная цепь для использования.

Если центр сертификации предлагает несколько цепочек сертификатов, отдайте предпочтение цепочке с эмитентом, соответствующим этому общему имени субъекта. Если совпадений нет, будет использоваться предложенная по умолчанию цепочка.

тип ключа

Дополнительно, по умолчанию = «RSA4096»

KeyType, используемый для создания закрытого ключа сертификата. Разрешить значение «EC256», «EC384», «RSA2048», «RSA4096», «RSA8192».

Резервный вариант

Если Let’s Encrypt недоступен, будут применяться следующие сертификаты:

  1. Ранее созданные сертификаты ACME (до простоя)
  2. Сертификаты ACME с истекшим сроком действия
  3. Предоставляемые сертификаты

Важно

Для новых (под)доменов, для которых требуется аутентификация Let’s Encrypt, будет использоваться сертификат Traefik по умолчанию до перезапуска Traefik.

Россия вошла в первую десятку стран по количеству действующих SSL

Старейший удостоверяющий центр, ведущий поставщик решений надежной идентификации и безопасности GlobalSign, а также крупнейший хостинг-провайдер и регистратор доменов REG.RU в России представил данные о ведущих страны, использующие SSL-сертификаты, как менялся мировой рынок во время пандемии коронавируса и другие тренды отрасли.

В последние годы компании по всему миру продолжают вкладывать больше средств в свою информационную безопасность. Наблюдается зависимость коммерческого успеха от правильного и безопасного размещения данных в сети. Переход на удаленную работу заставляет компании обратить внимание на используемые средства защиты информации. Естественно, рынок SSL-безопасности растет: наблюдается количественный и качественный рост тех компаний, которые переводят свои сайты и серверы на защищенное HTTPS-соединение.

Безусловно, распространение вируса COVID-19 затронуло экономику практически всех стран и отраслей.Из-за ситуации с пандемией с начала 2020 года наблюдается небольшое отставание в росте SSL-сертификатов по сравнению с аналогичным периодом прошлого года, что затронуло большинство стран.

Например, в России в феврале этого года количество SSL-сертификатов составило 1 476 822, в марте оно упало до 1 297 920, но уже в апреле начался небольшой рост, и общее количество выросло до 1 325 999 сертификатов, что свидетельствует о неполном выздоровления, то хотя бы о тенденции к возвращению к нормальному функционированию.

Несмотря на сложность прогнозирования в текущей ситуации, за последние 4 года во всех странах продолжает прослеживаться значительная динамика роста SSL-сертификатов.


Количество сертификатов SSL по странам (по данным Netcraft). Данные не включают самозаверяющие сертификаты.

Первенство по количеству сайтов продолжают удерживать США. В этом году Япония заняла третье место в списке традиционных лидеров крупнейших стран Западной Европы.Также в этом году Китай вошел в топ-10 стран, замкнув список лидеров. Россия продолжает занимать 9 строчку рейтинга, опередив Италию, Австрию, Швейцарию и Испанию.

Особенности российского рынка SSL-сертификатов

По данным аналитического ресурса StatOnline.ru, в апреле 2020 года в зоне .RU было активно 1 440 000 SSL-сертификатов, в РФ — 150 000. Количество действительных SSL-сертификатов (то есть выданных удостоверяющими центрами) значительно превышает количество недействительных SSL-сертификатов — всего 1 470 000 тысяч сертификатов, выданных доменам в зоне .Зоны RU и .РФ. Количество недействительных и самоподписанных составляет 125 000.

В топ-5 удостоверяющих центров по количеству выданных SSL-сертификатов в зоне .RU сегодня входят: Let’s Encrypt (960 000), CloudFlare Inc (110 000), DigiCert Inc (85 000), GlobalSign (75 000) и Sectigo Limited (55 000). Существенным преимуществом Let’s Encrypt является возможность получения бесплатных SSL-сертификатов на срок до 90 дней в этом ЦС.

.RU имеет больше всего сертификатов со сроком действия менее года (81%) и 1 года (18%).Самый популярный формат — использование одного SSL-сертификата для одного домена, их количество превышает 1 миллион. Но востребованы и мультидоменные сертификаты (SAN). Итак, всего таких в 3-10 доменах около 80 тысяч.

«Цифровая безопасность становится все более актуальной в современном мире, как для рядового пользователя, так и для любой компании. Несмотря на ограничения в условиях глобальной пандемии, мы отмечаем рост значимости онлайн-коммуникаций — и, как следствие, повышенный интерес к информационной безопасности и, в частности, SSL-сертификатам среди российских компаний», — отмечает Дмитрий Рыжиков, генеральный директор GMO GlobalSign. Россия.

«Количество новых SSL-сертификатов растет с каждым годом, что важно для защиты данных пользователей, и эта тенденция будет только усиливаться. Среди причин роста не только экономические условия, побуждающие бизнес выходить в онлайн, но и другие. Например, рост мобильного интернета. Так, мобильные операторы используют HTTP-трафик, показывая на нем рекламу. Это еще больше побуждает владельцев доменов устанавливать SSL.

Вместе с нашим партнером, старейшим удостоверяющим центром GlobalSign, мы продолжим предоставлять сертификаты всем желающим на российском рынке, в том числе SSL-сертификат на один год в комплекте с доменом и хостингом», — комментирует Алексей Королюк, генеральный директор хостинг-провайдера и регистратор домена РЕГ.RU.

.

Leave a Reply