Какво е SSL, TLS, инсталирането и конфигурирането на сертификата HTTPS

Какво е SSL, TLS

TLS (Transport Layer Security инж. - Transport Layer Security) - един шифрован протокол, който осигурява защитен пренос на данни от сървъра към клиента. TLS е потомък на SSL 3.0. В основата на симетрично криптиране на лъжата за поверителност, асиметрична криптография за удостоверяване и съобщение автентичност код, за да се запази тяхната цялост.

Днес, когато хората говорят за SSL, това обикновено означава, потомък му TLS. Ето защо, когато казваме, че трябва да инсталирате сертификат за SSL в даден сайт, като правило, включва TLS инсталация сертификат.

Защо трябва да се използва SSL / TLS

Има най-малко една добра причина: не може да се възползва от новия протокол HTTP2 (HTTP / 2 замества сегашния стандарт HTTP / 1.1), ако сайтът ви не е инсталиран и конфигуриран SSL сертификат за сигурност / TLS.

Също така, сигурността на данните в интернет е все по-популярна и съответния предмет. И колкото повече, толкова по-: Google заяви, че присъствието на SSL криптиране на интернет страницата е положителен фактор в класирането на сайта в резултатите от търсенето. Също така, наличието на HTTPS е задължителен атрибут на всеки сайт за електронна търговия: онлайн магазини, услуги за получаване на плащания, топлообменници, както и такса-базирани услуги, потребителски данни, които са желани жертва на хакери. За да се предотврати фишинг атаки на потребителите и да не позволи да го заблудят, а вие трябва да конфигурирате сигурността на данните на SSL сертификат и криптиране, така че е видял доказателства, че е на прав сайта.

Безплатен SSL / TLS сертификати за криптиране на! Да

Аз препоръчвам да използвате SSL / TLS сертификати за криптиране на! Да. защото:

1. Те са свободни;
2. Отговарят на повечето работни проекти;
3. Инсталиране и конфигуриране на сравнително проста и няма да отнеме много време и усилия.

От минусите - удостоверението е от значение за 90 дни, така че да го настроите за автоматично обновяване.

Ако сте споделен хостинг. могат да пишат в подкрепа, ще получите сертификат и всичко е настроено. Ако имате собствен сървър, описание на получаване на сертификат за SSL, TLS и настройка на сървъра е включен.

Инсталиране Certbot

Certbot - тази програма от Encrypt Нека, което помага да се създаде SSL / TLS сертификат за сървъра и по-нататъшното му актуализиране.

Инсталиране на Debian Certbot в 8 Джеси

Помощник Certbot при избора на сървъра версия

Първо се уверете, че certbot вече не е инсталиран:
certbot --help
Ако видите грешка, тогава е необходимо да го инсталирате.

Ако излезе грешка Стойността "Джеси-backports" е невалидна за APT :: Default-Release като такова освобождаване не е налична в източниците
. което трябва да се създаде подкрепа Backports

Как да се създаде подкрепа Backports

Пишете на конзолата (добавя допълнителен източник за пакети):

След актуализиране на списъка на опаковките:

и след това да се опитате да инсталирате Certbot:

Инсталиране Certbot на CentOS 7

Инсталацията е, както следва:

Ако сте CentOS 6, използвайте универсални инструкциите по-долу.

Universal инструкции за инсталиране Certbot

1. Изтеглете Certbot:
2. Дайте право на изпълнението с коригират
3. Преместете certbot-авто други бинарни файлове, да имат възможност да се започне с certbot отбор
4. Ние проверяваме какво се е случило:

Трябва да видите нещо подобно:

Създаване Certbot

Сега инсталиран че certbot (и можете да проверите това чрез задаване на отбора
certbot --help), аз ви посъветва да гледам в Cron-задачи

Най-новата линия - това правило Cron, която ще валидира SSL сертификати, TLS два пъти на ден и да актуализирате по-възрастен. За съжаление, това не нулира на уеб сървъра, така че трябва да се добави правило - услуга Nginx презареждане край ръка на линията.

В резултат на това на линия ще изглежда така:

Ако низът в cron.d otstutstvuet, можете да зададете на актуализация на сертификати правило ръчно:

1. Open график планировчика (първо дам един пример за нано след това в продължение на Вим.):
2. Добавяне на ново правило в края на планировчика:
3. Тогава резерв (Ctrl + X. спаси бутон Y)

Между другото, за да видите как sertifikatorv за актуализиране, но без реален ъпгрейд, просто валидира конфигурацията, използвайте командата:

И актуализира всички сертификати на сървъра ръчно, като използвате следната команда

След рестарта Nginx

Инсталиране на сертификат за SSL, TLS от Encrypt Нека

Въведете командата в конзолата шпакловка:

• -w / Var / WWW / например - път към директорията с файлове на сайта
• -г example.com -d www.example.com - ние регистрират имена на домейни
• --имейл [email protected] - електронната си поща, където ще бъде възможно отново да получите достъп
• --Съгласен-TOS - спазване на изискванията за лицензиране

Ако домейнът на кирилица, че е необходимо, за да я Punnycode (напр yandeks.rf код е Xn - d1acpjx3f.xn - p1ai) и използвате този код. Това може да стане с помощта на Punycode-конвертор.

Ако всичко върви добре, ще докладва за успешното приключване на създаването на удостоверението

По този начин, удостоверението се инсталира в директорията / и т.н. / letsencrypt / живеят //

Отиди да персонализирате Nginx.

Конфигуриране на SSL, TLS в Nginx

Отворете конфигурационния файл на вашия сайт.
Ако конфигурирани като Nginx тук. конфигурационния файл може да се намери тук:
/etc/nginx/vhosts/example.com.conf

официални документи препоръчва да се намали натоварването на процесора

• зададете броя на процесите на работниците за броя на процесорите,
• позволява проверка на връзката връзки,
• включително споделен кеш сесия,
• изключите вградените кеш сесии
• и може да увеличи времето на живота на сесията (по подразбиране 5 минути):

Запазено е отметнато, рестартиране

WordPress настройка за SSL, TLS

Да вземем например сайта на WordPress и конфигурира SSL / TLS-то. тя да е налице HTTPS.
Ще трябва да се уверите, за да мине през списъка и да направите съответните промени:

Необходими са 2 и 3 линии, ако първият елемент в списъка.

Как да се движат един сайт от HTTP към HTTPS правилно

Аз вярвам, че не може да чака за залепване на HTTP и HTTPS, може и незабавно да се пренасочи към HTTPS, те все още се държим заедно, но са следните препоръки, които се дават от експерти в промоция търсачката

Освен това, в очакване на Yandex всички се държим заедно правилно, можете да конфигурирате пренасочване 301 от HTTP към HTTPS

Как да се създаде пренасочване от HTTP към HTTPS

За Nginx ние се създаде пренасочване по-горе, така че ако се създаде пренасочване към него, в нищо Apache променя.
Ако имате основния Apache сървъра, конфигурационния файл (apache.conf) или .htaccess в главната сайт предписват

Този дизайн прихваща всички заявки до пристанища, различни от 443 (а именно, пристанището 443 седи SSL), и пренасочва към правилната версия на сайта с HTTPS.

Как мога да се провери SSL, TLS произведения

В интернет можете да намерите голямо разнообразие от услуги, които ще помогнат да се определи колко добре сте инсталирали и конфигурирали SSL сайта от него.
Една от тези услуги: ssllabs.com

Аз препоръчвам да се провери правилното инсталиране и настройка на SSL / TLS сертификат за използване ssllabs.com

Резултати SSL / TLS, извършваща

Как да се засили сигурността на SSL, TLS

Стана така, че сертификатът е инсталиран и ssllabs тестове не показва най-доброто качество на безопасност.
За да се постигне желаната А +. трябва да конфигурирате правилно Nginx.
За да направите това, първо изпълнете следната команда за да генерира необходимите бутони за Forward Secrecy (пряко тайна означава, че ако трета страна открива ключ за достъп, може да получите достъп само данните, които са защитени от този ключ, не повече) :

След това, трябва да представят следните данни в конфигурацията на сървъра:

В края на краищата манипулациите, не забравяйте да се презареди Nginx

Как се инсталира SSL / TLS, ако сървърът има множество сайтове

Обикновено проблеми възникват, когато сървърът вече имаме един сайт в HTTPS, и на сървъра, който искате да преместите на друго място.
Или, още по-пат: необходимо е да се прехвърли на сайта на HTTP, и го предоставят на HTTPS. Проблемът ще възникне, се дължи на факта, че на сървъра на порт 443 вече имате уеб сайт с SSL / TLS сертификат, както и лечението ще отидат за него, и няма да бъде в състояние да се регистрирате сертификат certbot към сайта, така и чрез HTTP сайтове ще бъдат на разположение.
Можете да генерирате самоподписаният удостоверение за временно решение на този проблем:

Това ще създаде 2 файла:

Самоподписаният сертификати правят, по-скоро, за служебни цели, а не за използване на работни места. Факт е, че за тях не съществува увереност, те не осигуряват достатъчна защита на потребителя и браузърът ще предупреди за това. Но, да речем, в случай на сървъра конфигурация с повече от един сайт, както и за пренасочване от HTTPS за HTTP доста подходящ.

Ключове намерени в сървъра за конфигуриране (пример е по-долу). Напред:

• Ако е необходимо, на сайта за HTTP, просто правя пренасочване от HTTPS за HTTP, по аналогия с пренасочването към HTTPS, точно обратното (примера по-долу);
• Ако е необходимо, на сайта за HTTPS, направи сайта достъпен с HTTP, а след това можете да получите сертификат, използвайки certbot. и след това всичко, както в горните инструкции - пренасочи към HTTPS, предписание на сертификати, конфигурирате URL, и така нататък.

Пример за това как да се пренасочи от HTTPS за HTTP в Nginx

Да кажем, самоподписани сертификати, генерирани от командата по-горе и се поставят в директория / корен / на. След това, за да се създаде пренасочване от HTTP към HTTPS в новия сайт example.com. можем да използваме следната конфигурация (example.com замени с вашия домейн, 1.2.3.4 - на вашия сървър IP адрес):

Моля, радвам се, че помогна. Абонирайте се за актуализиране на материала, колкото е възможно и ако е необходимо, да бъде променен и допълнен

Имам време настъпили инсталация грешка certbot ап-да инсталирате certbot -Т Джеси-backports Четене на списъците с пакети ... Готово
Изграждане на дървото със зависимости
Четене на информация за състоянието ... Готово
Може би искате да стартирате "ап-да-е инсталиран", за да се коригират тези:
Следните пакети имат неудовлетворени зависимости:
certbot. Зависи: питон-certbot (= 0.9.3-1

bpo8 + 2), но това няма да бъде инсталиран
Зависи: първоначален-система помощници (> = 1.18

) Но това не може да се инсталира
Зависи: питон: всеки (> = 2,7

Опитайте се да използвате командата с опцията -f
ап-да-е инсталиран

Опитах, не помогна. Същият въпрос)

Не, просто използвайте
ап-да-е инсталиран
Може би трябва да се актуализира (4 отбора):
актуализация ап-да
ап-да изходен код
ап-да изплакващо
ап-да инсталирате -f
След това повторете процедурата отново

// За да се предотврати един безкраен пренасочване от HTTP към HTTPS
ако (strpos ($ _ СЪРВЪРА [ 'HTTP_X_FORWARDED_PROTO'], "HTTPS")! == невярно)
$ _SERVER [ 'HTTPS'] = 'на';

го спасяват. как, защо - не знам ... Magian, обаче. Честно казано, цялата "Net почивката.
БЛАГОДАРИМ ВИ!