Как получить бесплатный действительный SSL-сертификат для вашего сайта WordPress
Опубликовано: 2017-03-03Получение бесплатного SSL-сертификата
1. Что такое HTTPS?
2. Как работает безопасность веб-сайта?
3. Почему мне следует получить SSL-сертификат?
4. Где я могу получить бесплатный SSL-сертификат?
5. Что мне нужно учитывать при получении SSL-сертификата?
6. Как установить SSL-сертификат?
7. Что еще мне нужно сделать?
1. Что такое HTTPS?
«HTTP» или «HTTPS» отображается в начале каждого URL-адреса веб-сайта в веб-браузере. HTTP означает протокол передачи гипертекста , а буква S в HTTPS означает безопасность. В общем, здесь описывается протокол, по которому данные передаются между вашим браузером и просматриваемым вами веб-сайтом.
HTTPS гарантирует, что вся связь между вашим браузером и просматриваемым вами веб-сайтом зашифрована. Это означает, что это безопасно. Только принимающий и отправляющий компьютеры могут видеть информацию при передаче данных (другие потенциально могут получить к ней доступ, но не смогут ее прочитать). На защищенных сайтах веб-браузер отображает значок замка в области URL-адреса, чтобы уведомить вас.
HTTPS должен быть на любом веб-сайте, который собирает пароли, платежи, медицинскую информацию или другие конфиденциальные данные. Но что, если бы вы могли получить бесплатный и действительный сертификат SSL для своего домена?
2. Как работает безопасность веб-сайта?
Чтобы включить HTTPS, вам необходимо установить сертификат SSL (Secure Socket Layer). Сертификат содержит открытый ключ, который необходим для безопасного начала сеанса. Когда запрашивается HTTPS-соединение с веб-страницей, веб-сайт отправит сертификат SSL в ваш веб-браузер. Затем ваш браузер и сайт инициируют «SSL-квитирование», которое предполагает обмен «секретами» для установления безопасного соединения между вашим браузером и веб-сайтом.
Стандартный и расширенный SSL
Если веб-сайт использует стандартный сертификат SSL, вы увидите значок замка в области URL-адреса браузера (см. снимок экрана). Если используется SSL-сертификат с расширенной проверкой (EV), адресная строка или URL-адрес будут зелеными. Стандарты EV SSL превосходят стандарты SSL. EV SSL обеспечивает идентификацию владельца домена. Получение сертификата EV SSL также требует от заявителей пройти строгий процесс оценки, чтобы подтвердить его подлинность и право собственности.
3. Почему мне следует получить SSL-сертификат?
Даже если ваш веб-сайт не принимает и не передает конфиденциальные данные, есть несколько причин, по которым вы можете захотеть иметь безопасный веб-сайт и получить бесплатный и действительный сертификат SSL для своего домена.
- Производительность. SSL может сократить время загрузки страницы.
- Поисковая оптимизация (SEO). Намерение Google состоит в том, чтобы Интернет был безопасным и безопасным опытом для всех, а не только для тех, кто использует, например, Google Chrome, Gmail и Drive. Компания заявила, что безопасность будет одним из факторов ранжирования сайтов в результатах поиска. На данный момент это маленький. Однако, если у вас есть защищенный веб-сайт, а у ваших конкурентов его нет, ваш веб-сайт может иметь более высокий рейтинг, что может быть преимуществом, необходимым для получения клика со страницы результатов поиска.
- Доверять. Если ваш сайт небезопасен и собирает пароли или кредитные карты, то пользователи Chrome версии 56 (выпущенной в январе 2017 года) увидят предупреждение о том, что сайт небезопасен (см. скриншот ниже). Посетители, не разбирающиеся в технологиях (большинство пользователей веб-сайта), увидев это, могут встревожиться и покинуть ваш сайт просто потому, что не понимают, что это значит. С другой стороны, если ваш сайт безопасен, это может успокоить посетителей и повысить вероятность того, что они заполнят регистрационную форму или оставят комментарий на вашем сайте. У Google есть долгосрочный план по показу всех HTTP-сайтов как незащищенных в Chrome.
4. Где я могу получить бесплатный SSL-сертификат?
Вы получаете сертификат SSL от центра сертификации. Некоторые надежные бесплатные источники:
- Let's Encrypt: сертификаты действительны в течение 90 дней, рекомендуемое продление через 60 дней.
- Cloudflare: бесплатно для личных сайтов и блогов.
- FreeSSL: на данный момент бесплатно для некоммерческих организаций и стартапов; не может быть клиентом Symantec, Thawte, GeoTrust или RapidSSL
- StartSSL: сертификаты действительны от 1 до 3 лет.
- GoDaddy: бесплатные сертификаты для проектов с открытым исходным кодом, действительные в течение 1 года.
Тип сертификата и срок действия зависят от органа власти. Большинство органов власти предлагают стандартные сертификаты SSL бесплатно, а за сертификаты EV SSL взимают плату, если они их предоставляют. Cloudflare предлагает бесплатные и платные планы, а также различные дополнительные опции.
5. Что мне нужно учитывать при получении SSL-сертификата?
Google рекомендует сертификат с 2048-битным ключом. Если у вас уже есть 1024-битный сертификат, который слабее, рекомендуется обновить его.
Вам нужно будет решить, нужен ли вам одиночный, многодоменный или подстановочный сертификат:
- Один сертификат будет предназначен для одного домена (например, www.example.com).
- Мультидоменный сертификат предназначен для нескольких известных доменов (например, www.example.com, cdn.example.com, example.co.uk).
- Подстановочный сертификат предназначен для безопасного домена с множеством динамических поддоменов (например, a.example.com, b.example.com).
6. Как установить SSL-сертификат?
Ваш веб-хостинг может установить сертификат бесплатно или за плату. На некоторых хостингах на панели управления cPanel есть опция установки Let’s Encrypt, что позволяет легко сделать это самостоятельно. Спросите своего текущего хостера или найдите тот, который предлагает прямую поддержку Let's Encrypt. Если ваш хостинг не предоставляет эту услугу, ваша компания по обслуживанию веб-сайта или разработчик могут установить сертификат для вас.
Вам следует ожидать, что вам придется время от времени продлевать сертификат. Сроки уточняйте у центра сертификации.
Для самой простой реализации просто сотрудничайте с полностью управляемым хостинг-провайдером, и он позаботится обо всем за вас. Один быстрый запрос в службу поддержки, и все готово!
7. Что еще мне нужно сделать?
Принудительный SSL
После получения и установки SSL-сертификата вам необходимо принудительно включить SSL на сайте. Опять же, вы можете попросить вашего веб-хостинга, компанию по обслуживанию или разработчика сделать это. Однако, если вы предпочитаете делать это самостоятельно и ваш сайт создан на WordPress, вы можете сделать это, загрузив, установив и используя плагин.
При использовании плагина обязательно проверяйте его совместимость с вашей версией WordPress, отзывы и инструкцию по установке. Два популярных плагина для принудительного использования SSL:
- Действительно простой SSL
- WP Force SSL
Обязательно сначала создайте резервную копию своего сайта и будьте очень осторожны при этом. Если вы что-то неправильно настроите, это может иметь ужасные последствия:
- посетители не могут видеть ваш сайт,
- изображения не отображаются,
- скрипты не загружаются, что может повлиять на работу некоторых функций вашего сайта,
- типографика и цвета не отображаются должным образом.
Настройте перенаправление 301 на стороне сервера
Вам необходимо перенаправить пользователей и поисковые системы на страницы HTTPS с помощью 301-редиректов в файле .htaccess в корневой папке на сервере. Файл .htaccess является невидимым, поэтому убедитесь, что ваша программа FTP настроена на отображение скрытых файлов. Например, в FileZilla выберите «Сервер» > «Принудительно показывать скрытые файлы» (см. снимок экрана).
Прежде чем добавлять перенаправления, было бы неплохо создать резервную копию файла .htaccess. На сервере временно переименуйте файл, удалив точку (что в первую очередь делает его невидимым), загрузите файл (который теперь будет виден на вашем компьютере в результате удаления точки), затем добавьте точку обратно. в тот, что на сервере.
Изменить настройки аналитики
После выполнения этих шагов вам нужно будет изменить предпочтительный URL-адрес в своей учетной записи Google Analytics, чтобы отображалась версия HTTPS вашего домена. В противном случае ваша статистика трафика будет отключена, поскольку версия URL-адреса HTTP рассматривается как совершенно другой веб-сайт, чем версия HTTPS.
Консоль поиска Google также рассматривает HTTP и HTTPS как отдельные домены, поэтому добавьте домен HTTPS в эту учетную запись.
Имейте в виду, что при переключении с HTTP на HTTPS, если на вашем сайте включены кнопки социальных сетей, количество репостов будет сброшено.
Именно так вы установите бесплатный и действительный сертификат SSL для своего домена и зашифруете свои данные для обеспечения их безопасности. Сертификаты SSL — это часть будущего безопасности WordPress, так что приобретите свой или останетесь в каменном веке.
Хотите оставить свой отзыв или присоединиться к обсуждению? Добавляйте свои комментарии в Twitter.
Сохранить Сохранить
Сохранить Сохранить