Выбор правильного сертификата HTTPS для вашего сайта WordPress

Опубликовано: 2019-09-27

В нашем предыдущем посте WordPress HTTPS, SSL и TLS — руководство для администраторов веб-сайтов мы объяснили, что такое HTTPS и все другие технические термины, и как это работает. В этой статье мы обсудим сертификаты HTTPS, различные способы их приобретения для вашего веб-сайта WordPress и почему вы должны или не должны платить за них. Давайте погрузимся прямо в.

Что такое HTTPS-сертификат?

Прежде чем мы сможем обсудить, как и почему сертификаты HTTPS, нам нужно сначала обсудить, что такое сертификат. Сертификат используется для:

  • шифровать трафик между веб-сервером и веб-браузером,
  • убедитесь, что веб-сервер, к которому вы подключены, действительно является тем, за кого он себя выдает (средство идентификации).

Сертификат HTTPS (сертификат TLS) содержит криптографическое доказательство того, что объект, которому доверяет браузер, может подтвердить подлинность этого веб-сайта. Этот объект называется центром сертификации (CA). Центры сертификации играют решающую роль, когда речь идет о сертификатах HTTPS.

Вы можете думать о Центре сертификации, подобном «паспортному столу», который независимо проверяет вашу личность и предоставляет вам «паспорт» (сертификат), чтобы подтвердить вашу личность другим. Однако для того, чтобы кто-то (веб-браузер) мог проверить ваш «паспорт», ему необходимо доверять «паспортному столу» (центру сертификации), выдавшему «паспорт» (сертификат). Подобно паспорту, сертификат будет иметь встроенные функции безопасности, чтобы его было трудно подделать .

Другими словами, для обслуживания вашего веб-сайта через HTTPS вам нужен центр сертификации, который предоставит вам сертификат, подтверждающий подлинность вашего веб-сайта WordPress (вы тот, за кого себя выдаете).

Различные типы сертификатов HTTPS

Хотя это может быть неочевидно, существует 3 различных типа сертификатов, которые вы можете получить:

  • Проверка домена (DV)
  • Проверка организации (OV)
  • Расширенная проверка (EV).

Сертификаты DV являются наиболее распространенными сертификатами. Когда вы получите сертификат DV, вы увидите обычный пользовательский интерфейс браузера, который вы ожидаете. Обратите внимание, что это отличается от браузера к браузеру и даже от одной версии браузера к другой, но обычно вы увидите замок, а иногда и слово «безопасный».

Сертификаты OV получить труднее, чем сертификаты DV, поскольку они требуют большей проверки. Тем не менее, они редко когда-либо используются. Для конечного пользователя они выглядят точно так же, не дают ощутимых преимуществ по сравнению с сертификатами DV и стоят дороже.

Это оставляет сертификаты EV — предполагается, что сертификаты расширенной проверки требуют тщательного процесса проверки, чтобы организация могла их получить. Они значительно дороже, и исторически браузеры относились к ним немного по-разному с точки зрения их пользовательского интерфейса.

Замок HTTPS в адресной строке браузера

Однако в последних версиях Chrome, Firefox и Safari этот индикатор был перемещен в гораздо менее заметный раздел. Во многом это связано с тем, что нет никаких доказательств того, что сертификаты EV обеспечивают сколько-нибудь значимый уровень доверия конечным пользователям. В некоторых случаях EV может еще больше запутать конечных пользователей. Настолько, что подавляющее большинство самых популярных веб-сайтов в Интернете переходят с сертификатов EV на сертификаты DV.

Сертификат HTTPS с EV

Какой тип сертификата вам нужен для вашего сайта WordPress?

Короче говоря, вам нужен сертификат проверки домена (DV) для вашего веб-сайта WordPress. Нет реальной причины, по которой вам нужен сертификат с расширенной проверкой (EV), особенно сейчас, когда браузеры в значительной степени лишают его каких-либо преимуществ (плюс, они также довольно дорогие).

Получение HTTPS-сертификата

Традиционно получение сертификата HTTPS означало ежегодную оплату центра сертификации (CA). Процесс был ручным и довольно раздражающим для администраторов.

Давайте зашифруем логотип

К счастью, еще в 2012 году Mozilla начала работу над тем, что стало известно как Let’s Encrypt ; некоммерческий центр сертификации, находящийся в ведении Исследовательской группы по безопасности Интернета (ISRG). Он предоставляет сертификаты HTTPS бесплатно для всех . Неудивительно, что за несколько месяцев он стал крупнейшим центром сертификации в Интернете.

статистика HTTPS-сертификатов и доменов от Let's Encrypt

Помимо того, что Let's Encrypt был бесплатным ЦС, он был революционным, потому что это был первый ЦС, использующий протокол ACME. Протокол ACME позволяет автоматически обновлять сертификат. Это позволяет Let's Encrypt создавать сертификаты с более коротким сроком жизни (90 дней), что делает их более безопасными. Кроме того, системным администраторам не нужно беспокоиться об обновлении своих сертификатов благодаря таким инструментам, как Certbot.

Давайте зашифруем ограничения сертификатов HTTPS

Несмотря на то, что в Интернете есть тысячи статей о том, как заставить Let's Encrypt работать на вашем веб-сайте WordPress, важно понимать, что могут быть случаи, когда вы не сможете использовать их сертификаты. Это особенно верно, если вы платите за сертификат HTTPS как часть своего плана веб-хостинга или у вас нет полного контроля над вашим веб-сервером.

В этом случае проверьте, можете ли вы использовать сертификат Let’s Encrypt, в службе поддержки вашего хостинг-провайдера, прежде чем тратить деньги на сертификат. В настоящее время большинство хостингов WordPress поддерживают сертификаты Let’s Encrypt.

Если невозможно использовать сертификат Let's Encrypt с вашим тарифным планом хостинга, вам может понадобиться либо коммерческий сертификат HTTPS, либо вы потенциально можете использовать онлайн-сервис брандмауэра WordPress / CDN. Большинство из них предлагают бесплатные сертификаты HTTPS в рамках своих услуг.

Настройка вашего WordPress на HTTPS

В дополнение к получению сертификата HTTPS и включению HTTPS на вашем веб-сервере, вы также должны убедиться, что ваш сайт WordPress настроен для HTTPS. Хотя вы можете сделать это без использования плагинов, большинству администраторов WordPress, вероятно, будет проще использовать популярный плагин, такой как Really Simple SSL. С таким плагином вы убедитесь, что все ваши ссылки правильно указывают на HTTPS-версию вашего сайта.

Также важно отметить, что поисковые системы рассматривают веб-сайты HTTP и HTTPS как разные сайты. Поэтому, если вы еще этого не сделали, вам также следует отправить свой HTTPS-сайт в Google Search Console.

Бесплатные сертификаты HTTPS действительно хороши?

Многие владельцы веб-сайтов WordPress по-прежнему скептически относятся к использованию бесплатного сертификата HTTPS от Let's Encrypt. Некоторых беспокоит создание имиджа, что они не относятся к безопасности серьезно, поэтому боятся потерять клиентов. Некоторые другие считают, что бесплатные сертификаты HTTPS не так хороши, как платные. Я их не виню — ни один хороший товар/услуга действительно не доступен бесплатно. Однако это другой случай.

Let's Encrypt бесплатен для вас как пользователя, но это не бесплатный проект. Они могут выдавать бесплатные сертификаты HTTPS благодаря таким спонсорам, как Google, Facebook, Microsoft, Cisco и многим другим! Допустим, все эти крупные корпорации платят за HTTPS-сертификат вашего сайта WordPress.

Let’s Encrypt — полноценный центр сертификации. Между бесплатными TLS-сертификатами от Let’s Encrypt и платными нет ничего особенного, особенно с точки зрения возможностей шифрования. Сказав это, нет ничего плохого в том, чтобы платить за сертификат HTTPS, если вы можете оправдать стоимость.

Делает ли HTTPS мой сайт «безопасным»?

К сожалению, ничто не является безопасным на 100%, и HTTPS, безусловно, не является исключением из этого правила. HTTPS — это лишь небольшая часть программы безопасности вашего сайта WordPress. Это позволяет:

  • вашим пользователям безопасно подключаться к вашему веб-сайту без перехвата их связи посторонними глазами в той же сети.
  • помогает с частью постоянной проблемы, связанной с безопасностью веб-сайта.

Тем не менее, это не панацея: хотя вы, несомненно, должны внедрить и применять HTTPS, это не означает, что вы закончили защищать свой веб-сайт WordPress.

Что еще я могу сделать, чтобы обеспечить безопасность моего сайта WordPress?

Вы можете многое сделать для повышения безопасности вашего сайта WordPress. Рекомендуем начать со следующего:

  • Используйте брандмауэр WordPress,
  • Применять надежные политики паролей WordPress,
  • Установите плагин для мониторинга целостности файлов,
  • Ведите журнал всех изменений, которые происходят в WordPress,
  • Держите ядро ​​WordPress, все плагины, темы и программное обеспечение, которые вы используете, в актуальном состоянии.