В статье рассказывается:
- Зачем нужен сертификат безопасности сайта
- Типы сертификатов безопасности сайта
- Где получить сертификат безопасности сайта
- Как настроить сертификат безопасности на сайте WordPress
- Что делать, если сертификат безопасности сайта истек
Сертификат безопасности сайта – информация, которой сайт подтверждает безопасность обмена с ним данными. Наличие такого сертификата схоже с представлением документов. Прежде чем начать разговаривать с человеком, назвавшимся полицейским, вы попросите его предъявить удостоверение. Видя документ, вы понимаете, что человек действительно работает в полиции, а значит, ему можно доверять. В этой статье мы расскажем, как обновить сертификат безопасности сайта. Также поговорим о том, как его получить и подтвердить.
Зачем нужен сертификат безопасности сайта
Сертификат безопасности сайта (SSL) может свидетельствовать о том, что:
-
Сайт использует HTTPS-шифрование.
-
Его владельцем является реально зарегистрированная организация.
-
Собственник домена подтвердил права на него.
Нужен ли сертификат безопасности для сайта? Каким именно сайтам он требуется? Пожалуй, такое удостоверение необходимо всем, а особенно тем, кто максимально рискует попасть под атаки. Это сайты финансовых компаний, крупные бренды, сайты, работающие с персональной информацией и платежными данными. SSL-сертификаты также используют банковские учреждения и финансовые компании, платежные системы, государственные порталы, такие как сайт ФНС и gosuslugi.ru, интернет-магазины и ИП.
Источник: shutterstock.com
Какие преимущества получает бизнес благодаря SSL-сертификату? Поскольку вся отправляемая и принимаемая информация при использовании сертификатов и протокола шифруется, используется процедура аутентификации. Благодаря ей посетители уверены, что вводимые ими сведения, например телефонные номера или данные банковских карт, надежно защищены от хакеров. За счет того, что SSL-сертификаты уникальны, кибермошенникам намного сложнее применять фишинговые схемы.
Владельцу сайта также не приходится волноваться о том, что сведения о пользователях могут быть перехвачены или подвергнуты атаке, в результате чего пострадает имидж компании или даже само ее существование окажется под вопросом.
Сертификат безопасности гарантированно защищает все данные, которыми веб-ресурс обменивается с браузером пользователя. Особенно это актуально при проведении финансовых операций и онлайн-транзакций.
Помимо основных выгод, вы получаете и косвенные: доверие к вашей компании возрастает, продажи увеличиваются, а деловая информация находится под защитой.
В итоге сертификат безопасности сайта позволяет повышать лояльность аудитории. Если клиенты уверены в том, что их данные защищены, то начинают доверять компании и охотнее сотрудничают с ней.
О безопасности сайта говорит значок замка и буквы HTTPS в URL вашего веб-ресурса. Еще больше его надежность подтверждает зеленая адресная строчка сайта с сертификатом Extended Validation SSL. Видя ее, клиенты понимают, что зашли именно на необходимый им веб-ресурс и уверены в конфиденциальности данных, которые вводят.
Кроме того, позиции сайтов с сертификатами безопасности выше в результатах поисковой выдачи в сравнении с конкурентами, у которых нет SSL. В 2014 году компания Google сообщила, что будет учитывать наличие HTTPS (буква S как раз и обозначает использование сертификата безопасности) при ранжировании сайтов. То есть сайт без сертификата безопасности не может располагаться на высоких позициях в результатах поисковой выдачи и привлекать большую аудиторию.
Как понять, что у сайта есть сертификат безопасности
Как получить сертификат безопасности для сайта HTTPS? HTTPS (Hyper Text Transfer Protocol Secure) является улучшенным протоколом HTTP. Такое соединение подтверждает защищенность сайта протоколом шифрования данных. Это также означает, что сайт подлинный и сведения, пересылаемые между ним и вами, зашифрованы.
Источник: shutterstock.com
То есть вы представляетесь, используя логин и пароль. Сервер предоставляет SSL-сертификат вашему браузеру, который, в свою очередь, демонстрирует это вам, показывая значок замка в адресной строчке.
Если описываемый символ на странице отсутствует, нужно проявить осторожность. Ваша информация может попасть к хакерам, поскольку http-соединение не зашифровано. Следовательно, при перехвате данных, к примеру когда вы используете общедоступный Wi-Fi, прочесть личную информацию пользователя довольно легко.
Но защищенный сигнал гарантирует безопасность данных: если мошеннику и удастся перехватить сигнал, он все равно не сможет расшифровать данные. Поэтому, если вы используете публичные Wi-Fi-сети, заходите только на те страницы, с которыми можно соединиться через HTTPS.
При SSL-шифровании используется PKI-система, известная также как ассиметричная. В такой системе используются два ключа для шифрования данных, один из которых является публичным, а второй приватным. Всю информацию, зашифрованную публичным ключом, может расшифровать только приватный.
При запросе соединения со страницей сайт сразу присылает сертификат безопасности вашему браузеру вместе с публичным ключом, необходимым для безопасной сессии. Далее происходит процесс SSL-рукопожатия: начинается обмен информацией, необходимой для дешифрации и установки уникального защищенного соединения между сайтом и пользователем.
Типы сертификатов безопасности сайта
Сертификат безопасности сайта бывает трех видов:
-
Начальный – Domain Validated, DV. Подтверждает только доменное имя. Выпуск моментальный. Удостоверения этого уровня можно бесплатно подключать в панели управления провайдера доменных имен. При получении начального сертификата безопасности сайта просто ведется проверка ваших прав на домен. Чтобы получить сертификат безопасности, нужно перейти по ссылке, полученной на свой имейл. Обратите внимание: когда вас просят оставить адрес электронной почты, вводите или указанный в WHOIS, или расположенный непосредственно на домене. Так будут проверены права.
-
Обычный – Organization Validation, OV. Подтверждает домен и его принадлежность компании. Для его получения вы должны предъявить гарантийное письмо, подтверждающее, что доменом владеет ваша компания.
-
Расширенный – Extended Validation, EV. Самый затратный и авторитетный. Наличие такого удостоверения подтверждает зеленая строчка, в которой указано название компании в адресной строчке. Получить расширенный сертификат можно по строго регламентированным правилам. Нельзя сказать, что их легко выполнить, поскольку нужно предъявить большой объем документации. Ежегодно проверяется правовая, физическая и операционная деятельность компании. Сама выдача длится до двух недель.
Источник: shutterstock.com
Где получить сертификат безопасности сайта
Как правило, удостоверения покупают не напрямую в удостоверяющем центре, а у партнеров. В России работают многочисленные организации, специализирующиеся на продаже сертификатов известных удостоверяющих центров (УЦ), например Comodo, Geotrust, GoDaddy, GlobalSign, Symantec и т. д. Корневые SSL-удостоверения этих управляющих центров предустановлены как доверенные во всех востребованных браузерах.
Comodo
Преимущества:
-
Наличие бесплатного 90-дневного триала для DV-сертификатов.
-
Бесплатное сканирование сайта и PCI-скан для одного сертификата.
-
Гарантии на отдельные удостоверения: от $250 тыс. до $1 млн 750 тыс.
-
Возможность повышения гарантий на некоторые сертификаты.
-
Этот сертификат – на втором месте по доступности.
-
Может использоваться вместе со всеми известными браузерами и мобильными гаджетами.
Недостатки:
-
Функционал сканирования доступен лишь для одного сертификата в аккаунте.
-
Логотип доверия для сайта входит лишь в wildcard- и EV-сертификаты.
-
Есть вероятность несовместимости с менее востребованными браузерами и мобильными гаджетами.
Comodo предлагает RSA 2048-bit шифрование для DV-, wildcard- и EV-сертификатов. UC-сертификаты имеют 128-bit или 256-bit шифрование. Этот удостоверяющий центр из нашего обзора является единственным, предлагающим только платные SSL-сертификаты с бесплатным триалом. Но триал доступен лишь для DV-удостоверений.
Кроме бесплатного триала, надо сказать и о разных видах сертификатов: DV, wildcard, EV, UC.
При получении сертификата безопасности сайта вам также предоставляется гарантия. При этом не имеет значения тип выбранного удостоверения, однако размер гарантии может отличаться.
Одной из ярких характеристик Comodo является возможность повышения гарантии сертификата в случае, если ранее вы еще не выбрали максимальную сумму. Вы также можете получить логотип Comodo для размещения на сайте, чтобы посетители больше вам доверяли. Однако логотип доступен лишь wildcard- и EV-сертификатам.
Symantec
Преимущества:
-
Все SSL-удостоверения поставляются с логотипом, который можно разместить на своем веб-сайте.
-
Этот сертификат безопасности сайта полностью совместим со всеми браузерами и мобильными гаджетами.
-
DSA-сертификаты – базовые инструменты, отвечающие определенным стандартам правительства.
-
Высокие гарантии – $1 млн 500 тыс. или $1 млн 750 тыс.
-
Все удостоверения предоставляются с ежедневной проверкой на наличие вредоносного ПО и с поддержкой UC.
Недостатки:
-
Проверка уязвимых мест предусмотрена лишь в некоторых сертификатах.
-
Стоимость этих сертификатов выше, чем каких-либо других, приведенных нами в статье.
Symantec – самый дорогой удостоверяющий центр среди всех описанных в статье. Но при этом у него очень обширный дополнительный функционал. У каждого сертификата есть ECC 256-bit шифрование. Вы можете размещать логотип Symantec на своем веб-сайте. Предусмотрена ежедневная проверка на наличие уязвимых мест и поддержка UC и DSA для SSL-удостоверений.
Сертификаты безопасности сайтов бывают 5 разных видов: Secure Site (DV), Secure Site Pro (DV), Secure Site Wildcard, Secure Site with EV и Secure Site Pro with EV.
Проверка уязвимых мест включена лишь в Secure Site Pro, Secure Site with EV и Secure Site Pro with EV. Symantec – один из удостоверяющих центров, предоставляющих наиболее крупные гарантийные суммы.
Несмотря на достаточно высокую цену всех сертификатов, они подойдут всем, кому нужен вариант, соответствующий госстандартам. Также это неплохой вариант для сайтов, где наблюдается высокий трафик.
Digicert
Преимущества:
-
Сертификаты выпускаются бесплатно.
-
Сумма гарантии – $1 млн на все сертификаты всех видов.
-
Решение совместимо со всеми популярными браузерами и мобильными гаджетами.
-
Во всех сертификатах предусмотрены лицензии на неограниченное число серверов.
Минусы:
-
Могут быть несовместимы с менее популярными версиями браузеров и мобильными устройствами.
-
Для получения скидок нужно покупать сертификат сразу на несколько лет вперед.
Стоимость сертификатов у Digicert средняя. Среди возможностей можно отметить наличие гарантии в $1 млн, бесплатный перевыпуск, наличие логотипа, который вы можете разместить на своем сайте для повышения доверия пользователей. Поддерживает шифрование RSA 2048-bit, 128-bit и 256-bit.
Выделяют сертификаты 5 разных видов: SSL Plus (DV), EV, Multi-Domain (UC/SAN), EV Multi-Domain и Wildcard Plus.
Если вам требуется более высокая гарантия по сравнению с другими удостоверяющими центрами, необходимо поместить логотип у себя на веб-сайте, не потратив при этом огромную сумму, то Digicert – оптимальное решение.
GeoTrust
Преимущества:
-
Бесплатный перевыпуск удостоверений.
-
Предоставление гарантий от $ 500 тыс. до $1 млн 500 тыс.
-
Возможность совмещения со всеми распространенными мобильными гаджетами и 99 % браузеров.
-
Лицензии на неограниченное число серверов во всех сертификатах.
Недостатки:
-
У сайта GeoTrust есть SSL-сертификат от Symantec.
-
Способность выпускать только до 24 UC/SAN сертификатов.
-
Риск несовместимости с определенными мобильными гаджетами и браузерами.
У GeoTrust много общего с Digicert. Он также предлагает сертификаты по небольшой цене и предоставляет целый комплекс возможностей, например бесчисленное количество серверов, возможность бесплатно перевыпускать сертификаты, а также накладывает ограничение в 24 имени для SSL-удостоверений. При этом неважно, какой сертификат безопасности сайта вы выберете.
GeoTrust предлагает сертификаты 5 видов: EV, wildcard, OV, wildcard with OV и DV. Каждый из них поддерживает 2048-bit шифрование для корневых доменов и 256-bit шифрование для остальных имен.
GeoTrust-удостоверения успешно совмещаются с 99 % всех браузеров, но поддерживаются при этом лишь крупные мобильные гаджеты.
Большая часть удостоверяющих центров выпускает свои SSL-сертификаты для собственных сайтов. В этом отношении GeoTrust отличается: там установлено удостоверение от Symantec, несмотря на то, что они предлагают SSL бизнесу.
GeoTrust для организаций – лучший удостоверяющий центр. Но при взгляде на него можно подумать, что компания сама не доверяет собственным удостоверениям, что несколько странно. При этом она выпускает удостоверения с высокой степенью шифрования, что, конечно, является ценным преимуществом.
Обычно у партнеров есть соглашения с разными удостоверяющими центрами, что позволяет выбрать подходящий по стоимости (в рублях) и свойствам сертификат безопасности сайта, воспользоваться скидками и помощью профессионалов при выборе и установке удостоверения на сервер. Для некоторых клиентов важен бренд, наименование компании в сертификате. Чтобы получить удостоверение безопасности, можно без посредников воспользоваться услугами любого известного и надежного центра, например GoDaddy, Comodo, Norton, GlobalSign. Их немало.
Несмотря на возможность прямой покупки сертификата, многие пользуются услугами посредников, обращаясь к своим хостерам, провайдерам или регистраторам. Этот вариант удобнее, поскольку русскоязычную поддержку вам окажет только компания из РФ.
Приобрести сертификат безопасности сайта у российского продавца трудно. Удостоверяющие центры в России не являются доверенными.
Чтобы подробнее узнать об удостоверении, пользователю достаточно щелкнуть мышкой по значку замка и выбрать в меню «Просмотр сертификата». Браузеры могут различаться, но в сертификате всегда содержится одна и та же информация.
Не все удостоверения платные.
Как получить бесплатный сертификат безопасности сайта
Источник: shutterstock.com
Сертификат безопасности сайта могут позволить себе не все. Например, для владельцев небольших проектов это весьма затратное решение. Как получить сертификат безопасности сайта им? Есть выход: удостоверения Let’s Encrypt.
Let’s Encrypt – это удостоверяющий центр, в котором можно бесплатно получить сертификат безопасности сайта. По числу активных сертификатов он занимает второе место.
Бесплатные SSL-удостоверения удобны для небольших веб-ресурсов, на которых посетители оставляют личную информацию: имейл-адреса, пароли, номера телефонов. Здесь речь идет о личных сайтах, блогах, портфолио, промостраницах и небольших форумах.
Рассмотрим плюсы и минусы удостоверений Let’s Encrypt.
Плюсы:
-
Доступность
-
Надежное шифрование
-
Автоматическое управление
Let’s Encrypt бесплатно выдает удостоверения безопасности сайтов, и этим отличается от коммерческих центров сертификации. Это выгодное решение для небольших веб-ресурсов, у владельцев которых нет достаточной суммы для покупки платного удостоверения.
В Let’s Encrypt нет скрытых затрат: вам не придется платить за то, чтобы скачать, перевыпустить или продлить сертификат. Если захотите помочь проекту развиваться, можете финансово поддержать организацию через ее сайт.
Источник: shutterstock.com
Не беспокойтесь по поводу ненадежного шифрования данных бесплатным сертификатом. Несмотря на то, что удостоверение можно использовать бесплатно, степень защиты у него такая же, как и у платных решений.
У Let’s Encrypt предусмотрен клиент для управления сертификатами, который может автоматически скачивать, устанавливать и продлевать сертификаты. Для этого нужно установить клиент на сервер и разрешить ему изменять конфигурацию сервера. Если беспокоитесь о том, что действие негативно отразится на других настройках, устанавливайте и обновляйте SSL-удостоверение вручную.
Минусы:
-
Короткий период действия
-
Сложная установка
-
Низкая совместимость
-
Отсутствие гарантии
-
Ограниченный функционал
У SSL-удостоверений есть два ограничения, и этим они отличаются от платных сертификатов:
-
не выпускаются удостоверения с проверкой компании или зеленой строкой. Такие SSL-сертификаты выдают организации только после проверки ее документов. Ими могут пользоваться лишь владельцы среднего и крупного бизнеса;
-
не выпускаются wildcard-удостоверения. Это сертификаты, защищающие все субдомены после установки на один домен.
-
-
Нет поддержки клиентов
Бесплатный сертификат безопасности сайта не выдадут на год. Срок действия Let’s Encrypt – до 90 дней. Переустановка должна осуществляться каждые 3 месяца. Если используете клиент Let’s Encrypt и разрешаете ему автоматическое обновление сертификата, повода для беспокойства нет. Но если управление сертификатами производится вручную, вы можете пропустить день завершения периода действия, и защита в этом случае прекратит действовать.
С платными удостоверениями все не так сложно: они действуют в течение года.
Для установки бесплатного SSL-удостоверения нужно использовать командную строку. Если ранее вы этого не делали, то можете непроизвольно повредить другие настройки. Ставьте удостоверения Let’s Encrypt, только если уверены в том, что делаете.
Сложности могут возникнуть при использовании виртуального хостинга. Не каждый хостинг-провайдер соглашается помочь в установке и в принципе разрешает поставить сертификат безопасности сайта Let’s Encrypt. Узнайте в службе поддержки, можете ли рассчитывать на их помощь.
Существуют хостинг-провайдеры, сотрудничающие с Let’s Encrypt и помогающие клиентам устанавливать удостоверения на виртуальный сервер. Полный перечень партнеров приведен на сайте Let’s Encrypt.
Источник: shutterstock.com
SSL-удостоверение плохо совместимо прежде всего с ранними версиями Windows XP. Из-за этого сертификат безопасности сайта может плохо работать у пользователей этой операционной системы.
Еще один минус – плохая совместимость с мобильными платформами. Сложности могут появляться в прошивках старых версий. Так, сертификат безопасности сайта не работает на мобильных устройствах с прошивкой Android 2.3.6 и ниже.
На официальном сайте Let’s Encrypt приведен перечень совместимых платформ и программ.
Коммерческие удостоверяющие центры предоставляют на свои сертификаты гарантию, финансово компенсируя убытки. Гарантию получают посетители сайта, потерявшие денежные средства по вине удостоверяющего центра.
Let’s Encrypt – некоммерческое предприятие, а потому не дает никаких гарантий. В случае взлома шифрования или потери средств из-за выдачи сертификата мошенническому веб-сайту, пользователю никто не вернет средства. Удостоверяющий центр не отвечает за последствия использования его SSL-удостоверений.
Каждый сертификат безопасности сайта Let’s Encrypt может защитить до 100 субдоменов, но вы должны будете прописать их вручную. Если на сайте более 20 страниц на субдоменах, это неудобно.
Источник: shutterstock.com
У Let’s Encrypt нет поддержки в чате или по телефону. Вместо этого на сайте компании размещены технические документы. Они написаны на английском, и чтобы их изучить, нужно знать системное администрирование. Есть форум, на котором пользователи могут рассказывать друг другу о технических проблемах и помогать в их решении. Форум также на английском и может не затрагивать все темы.
Стоит ли устанавливать бесплатный сертификат безопасности сайта?
Кратко резюмируем все вышесказанное, чтобы помочь вам определиться, нужен ли сертификат безопасности для сайта Let’s Encrypt.
SSL-удостоверения Let’s Encrypt – хорошее решение для некрупных проектов, таких как личные сайты, блоги, промостраницы с формой отправки контактных данных, небольшие сайты с приемом платежей.
Ставьте бесплатное удостоверение Let’s Encrypt, только если уверены в том, что оно действительно вам необходимо. По сравнению с платными сертификатами, у удостоверений Let’s Encrypt меньше функций и хуже совместимость. Кроме того, для их установки могут потребоваться дополнительные знания в области системного администрирования.
Если сомневаетесь, нужно ли вам удостоверение Let’s Encrypt или от него лучше отказаться в принципе, лучше установите. Чем раньше вы обзаведетесь сертификатом, тем меньше будет вероятность причинить ущерб кому-нибудь из ваших клиентов.
Оцените все плюсы и минусы. Бесплатные сертификаты хуже совмещаются с браузерами и мобильными гаджетами, их труднее устанавливать, период действия короче, меньше видов для разных типов бизнеса. К тому же в удостоверениях Let’s Encrypt нет гарантии, а потому при их установке вы рискуете. Тем, кто хочет перестраховаться, лучше воспользоваться платными сертификатами.
Сертификат безопасности – это важный элемент имиджа любого сайта, владельцам которого важно, какая репутация у бренда и насколько ему доверяют клиенты.
Подключать сертификат безопасности следует владельцам любых сайтов. Это влияет на доверие и лояльность аудитории.
Как настроить сертификат безопасности на сайте WordPress
На этой стадии допустим, что у вас уже есть сертификат безопасности, настроенный под ваш сайт. После настройки удостоверения нужно просто указать в WordPress, что требуется использовать HTTPS. Сделать это можно двумя основными способами.
-
Используйте панель инструментов WordPress и переадресацию 301.
Установив WordPress SSL, вы должны настроить свой веб-сайт для использования HTTPS. Это просто сделать, если вы запускаете новый сайт. Но если вы добавляете SSL-удостоверение на веб-ресурс, существующий уже определенное время, задача несколько усложняется.
Как бы то ни было, для начала надо зайти в панель управления и открыть вкладку «Настройки» > «Общие». Внутри вы увидите два поля: WordPress Address (URL) и Site Address (URL). Адрес вашего сайта должен быть одинаковым и в одном, и в другом поле. Также необходимо использовать HTTP.
Вам следует изменить префикс HTTP на HTTPS в двух полях и сохранить изменения в настройках:
Все это нужно для настройки WordPress на применение HTTPS. Но некоторые пользовали могли сохранить прежний URL вашего сайта, и он может оставаться в Сети. Ваша задача – убедиться в том, что эти люди пользуются HTTPS-версией вашего сайта. Для этого можно настроить переадресацию URL.
Есть множество видов переадресаций, которые вы можете использовать. Но самый оптимальный вариант – обычно редирект 301, сообщающий поисковым системам о перемещении вашего сайта с одного адреса на другой. Для реализации данного перенаправления необходимо отредактировать файл .htaccess, контролирующий взаимодействие вашего сервера с WordPress, а также структуру URL-адреса. Для этого нужно иметь прямой доступ к файлам на вашем сайте с использованием инструмента File Transfer Protocol (FTP), такого как FileZilla. Сразу после подключения к своему сайту через FTP зайдите в папку public_html и найдите файл .htaccess внутри:
Выберите этот файл и щелкните на него правой кнопкой мыши, после чего нажмите на «Просмотр / редактирование». Откроется файл с локальным текстовым редактором, куда вы можете внести изменения. Не меняйте какой-либо код внутри .htaccess, если не знаете, что делаете. Просто перейдите в нижнюю часть файла и вставьте этот фрагмент:
Потребуется поменять URL-адрес в этом коде на полный HTTPS-адрес вашего сайта для перенаправления любого соединения, переходящего через port 80 на новый безопасный URL. Как вам известно, port 80 – стандарт для HTTP-соединений, а потому он «перехватывает» практически всех, кто старается получить доступ к вашему сайту через старый адрес.
Добавив код с URL-адресом, сохраните изменения в .htaccess и закройте файл. FileZilla спросит, хотите ли вы загрузить изменения к себе на сервер, на что нужно дать положительный ответ. Если попытаетесь зайти к себе на сайт, используя URL-адрес вашего HTTP, браузер должен автоматически направить вас к версии HTTPS.
-
Поставьте плагин для WordPress SSL
Если вы не хотите вручную вводить информацию с использованием WordPress, можете настроить HTTPS на вашем сайте более простыми методами. Один из них – настройка плагина для WordPress SSL, добавляющего тот же код, о котором мы рассказали в предыдущем методе.
Несмотря на то, что такая схема гораздо проще, она также связана с рисками. Допустим, при возникновении проблем совместимости с другим инструментом плагин SSL может прекратить работу. Это приведет к тому, что сайт не будет загружать HTTPS вплоть до устранения проблемы. Следовательно, вам нужно внимательно подбирать для себя плагин.
Мы советуем Really Simple SSL, поскольку его очень просто настроить. Достаточно располагать сертификатом для WordPress SSL, готовым к работе:
Источник: shutterstock.com
Установленный и включенный плагин должен проверить сертификат безопасности сайта WordPress. В случае обнаружения плагин поможет включить HTTPS на всем сайте всего за один клик. Для этого нужно просто открыть вкладку «Настройки» > «SSL» на панели управления и нажать кнопку «Перезагрузить в HTTPS». Да, всё даже проще, чем вы думали!
Если плагин Really Simple SSL не кажется вам настолько элементарным, можете пользоваться альтернативными инструментами, используя их для достижения тех же результатов. Плагин для WordPress SSL отличается и прочими дополнительными параметрами, такими как WordPress HTTPS (SSL) и Force HTTPS.
2 распространенные ошибки сайтов на WordPress с сертификатом безопасности
Иногда из-за принудительной загрузки WordPress через HTTPS возникают ошибки. Давайте рассмотрим эти ошибки и поговорим о вариантах их исправления.
-
Некоторые файлы не загружаются через HTTPS
-
Ваш плагин для кеширования WordPress вызывает проблемы
Первая ошибка сертификата безопасности сайта выглядит так. Включив HTTPS на свой сайт, вы можете увидеть, что его некоторые файлы, к примеру изображения, загружаются неверно. Это связано с тем, что WordPress, как и ранее, использует для них HTTP, а не HTTPS.
При появлении проблемы с изображениями на вашем сайте, CSS или JavaScript проще всего устранить ее – сделать несколько дополнений к своему файлу .htaccess. Но это необходимый шаг, лишь только если вы пользовались ручным методом из предыдущего раздела. О ситуации, когда мы используем плагин, поговорим позже.
Вновь зайдите к себе на сайт, опять же используя FTP, и найдите файл .htaccess в каталоге public_html. Откройте его и найдите добавленный ранее код для установления переадресации 301. Это должно выглядеть так:
Вам нужно будет удалить данный фрагмент, заменив его на более полный. Чаще всего это не нужно, поскольку плохая загрузка некоторых ресурсов – не очень распространенная проблема. Но, если она у вас возникла, используйте вместо предыдущего этот код:
Такой код необходимо перенаправить весь трафик через HTTPS. В него также входят правила для ваших файлов в WordPress, а потому он позаботится обо всех некорректно работавших файлах. Добавив его, не забудьте сохранить изменения в файле .htaccess и загрузить их обратно на сервер.
Если настройку сайта для использования HTTPS вы проводили через плагин, то в ручной настройке файла .htaccess нет необходимости. Вместо этого большая часть плагинов предложит вам альтернативный вариант. К примеру, Really Simple SSL может находить у вас на сайте файлы, которые нельзя загрузить через HTTPS, и помогать в их исправлении.
Для использования этой функции нужно зайти во вкладку «Настройки» > «SSL», после чего перейти к настройкам плагина на соответствующую страницу:
Источник: shutterstock.com
В верхней части экрана расположена опция автозамены смешанного содержимого. Ваша задача – удостовериться, что она включена, после чего сохранить изменения в конфигурации плагина. Опция гарантирует, что WordPress будет загружать через HTTPS все объекты, а не только ваши страницы и посты.
При наличии у вас установленного плагина для кеширования WordPress браузер может сделать попытку загрузки кешированной версии вашего веб-сайта по HTTP. Это способно вызвать определенные ошибки. Наиболее быстрый вариант решения проблемы – очистка кеша в WordPress.
Само протекание процедуры кеширования зависит от используемого вами плагина. Но, как бы то ни было, это займет несколько минут – не более. Для получения более подробной информации вы можете прочесть руководство по очистке кеша в WordPress в WP Super Cache, W3 Total Cache и WP Fastest Cache. Если для кеширования вы используете другой плагин, может возникнуть необходимость изучить справку, чтобы узнать о дальнейших действиях.
После очистки кеша попытайтесь вновь загрузить сайт и убедиться в том, что браузер использует HTTPS без каких-либо перебоев. Сейчас установка SSL-удостоверения успешно окончена.
Ранее WordPress SSL-сертификаты были зарезервированы исключительно для деловых веб-ресурсов, содержащих в себе большой объем конфиденциальных данных. Сегодня удостоверения SSL и HTTPS стали привычными решениями. Сами поисковики, такие как Google, советуют ими пользоваться. Таким образом, вам понятно, как установить сертификат безопасности на сайт и использовать HTTPS для своего веб-ресурса в WordPress. Вы видите, что это достаточно просто, что, конечно, является положительным моментом.
Что делать, если сертификат безопасности сайта истек
Как вам известно, SSL-удостоверения действуют в течение ограниченного периода, в соответствии с требованием CA/B Forum, регулирующего органа сферы SSL-сертификации. Несколько лет назад можно было на легальных условиях заказать сертификаты безопасности, действующие в течение трех, четырех и даже пяти лет. Но современные удостоверения активны максимум 27 месяцев (2 года + 3 месяца, которые предоставляются для продления периода действия прошлого SSL-сертификата).
В интересах безопасности SSL-сфера устанавливает ограничения на максимальный срок использования сертификатов. В связи с этим удостоверения нуждаются в обновлении или замене – или ежегодно, или раз в два года. По истечении этого времени вам должны отключить сертификат безопасности сайта.
При посещении веб-ресурса браузер пользователя проверяет, достоверно ли SSL-удостоверение. В случае истечения срока действия сертификата браузер выдает предупреждение.
Наличие просроченного сертификата может повлечь за собой следующие проблемы:
-
Значительное падение трафика вашего сайта. Согласно исследованиям, пользователи, увидевшие подобное уведомление, сразу же уходят с сайта. Только небольшой процент всех пользователей принимает истекшее SSL-удостоверение.
-
Существенное снижение продаж. Так как сайт выдает предупреждение, посетители могут подумать, что этот веб-ресурс небезопасен, и поэтому не будут оформлять на нем заказы, даже если ранее это делали.
-
Ощутимый спад показателей ранжирования веб-сайта. В ближайшее время веб-ресурс будет медленно сдавать свои позиции в поисковой выдаче, поскольку поисковые роботы учитывают множество факторов, в том числе поведение пользователей.
Прежде всего, ответим на вопрос: «Для чего продлевать действующее SSL-удостоверение, если можно приобрести новое?» Все просто: продлив текущий сертификат безопасности сайта, вы получите новый, готовый к установке, намного быстрее, поскольку процедура повторной проверки ваших данных упрощается.
Источник: shutterstock.com
За 30 дней до завершения периода действия удостоверения вам выставят счет, который нужно погасить до указанного числа, так как продлить сертификат безопасности сайта позже нельзя.
Вот что необходимо сделать для продления SSL-сертификата:
-
Погасить счет до установленной даты.
-
Подождать, пока на имейл, указанный в учетной записи, придет письмо с темой «Ваше SSL-удостоверение готово к активации».
-
Пройти по ссылке и ввести запрошенные данные и CSR.
-
Получить от удостоверяющего центра новый SSL-сертификат.
-
Поставить новое удостоверение на сервер, где находится веб-сайт.
Обратите внимание! Нужно, чтобы CSR-запрос генерировался заново, но информация в нем и в административном контакте должна содержать те же данные, что были указаны в первоначальном заказе сертификата: во избежание проблем при валидации запроса удостоверяющим центром.
Процедура повторной конфигурации и установки удостоверения обязательна. Если вы оплатите счет, но не выполните дальнейшие действия, сертификат безопасности сайта перестанет корректно работать в день завершения его первоначального периода действия.