Прежде чем перейти к обсуждению HTTPS, необходимо разобраться, что такое протокол HTTP. Это набор правил, который используется для передачи данных в интернете. Так, если URL начинается с http, браузер понимает, что для загрузки веб-страницы необходимо следовать этому протоколу.
В свою очередь HTTPS – это расширение HTTP, которое позволяет шифровать передаваемые данные. Таким образом, у злоумышленников будет меньше шансов получить доступ к вашей информации. Это особенно важно, если на сайте хранятся конфиденциальные сведения, например личные или платежные данные.
Инструкция
Чтобы настроить HTTPS для вашего доменного имени, необходимо получить сертификат SSL или TLS. Возможно, его предоставляет ваш поставщик услуг хостинга (хостинг-провайдер). Если это не так, вы можете запросить SSL- или TLS-сертификат в центре сертификации и выполнить настройку самостоятельно. Обратите внимание, что сертификаты SSL/TLS нужно периодически обновлять.
Инструкции по установке и обновлению сертификатов могут различаться в зависимости от того, на каком веб-сервере размещен ваш сайт.
Ниже приведен список сервисов Google, которые автоматически выдают, устанавливают и обновляют сертификаты SSL или TLS. Все это абсолютно бесплатно.
Получить сертификат SSL или TLS можно также и от многих сторонних поставщиков услуг хостинга, с которыми мы сотрудничаем, например Bluehost, Shopify, Squarespace, Weebly и Wix.
Узнайте, как установить связь с поставщиком услуг хостинга и настроить использование HTTPS.
Если ваш поставщик услуг хостинга не предоставляет уровень защиты HTTPS, вы можете получить для своего домена сертификат SSL или TLS в центре сертификации. У Google есть собственный центр сертификации – Google Trust Services. Клиенты Google Domains могут получить сертификат от Google Trust Services, выполнив инструкции на странице "Безопасность" для своего домена.
Другой популярный центр сертификации – Let’s Encrypt. Он выдает сертификаты в интересах развития безопасного интернета.
Получив сертификат, обратитесь к своему поставщику услуг хостинга, чтобы установить его. Если сайт размещен на вашем собственном сервере, узнайте, как включить HTTPS. Если вы используете протокол Automatic Certificate Management Environment (ACME), ниже описано, как управлять сертификатами с помощью ACME и DNS.
Чтобы получить сертификат от Google Trust Services:
- Войдите в аккаунт Google Domains.
- Выберите нужный домен.
- В левом верхнем углу экрана нажмите на значок меню Безопасность.
- На карточке "Сертификаты SSL/TLS для вашего домена" разверните раздел "Google Trust Services".
- Нажмите Получить ключ EAB.
- Откроется диалоговое окно с двумя значениями: "Идентификатор ключа EAB" и "Ключ EAB HMAC".
- Нажмите на кнопку Копировать рядом с каждым из этих значений.
- Используйте эти значения, чтобы зарегистрировать аккаунт в центре сертификации Google Trust Services. Шаги, которые нужно выполнить, чтобы указать значения EAB, зависят от реализации клиента ACME. Ознакомьтесь с документацией для нужного клиента ACME.
- Ниже приведен пример конфигурации для популярного клиента ACME Certbot.
- Чтобы зарегистрировать аккаунт, введите следующий код:
certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"
- Создав аккаунт, выполните следующую команду, чтобы выпустить сертификаты:
certbot certonly -d <YOUR_DOMAIN> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- Чтобы зарегистрировать аккаунт, введите следующий код:
- Ниже приведен пример конфигурации для популярного клиента ACME Certbot.
- Откроется диалоговое окно с двумя значениями: "Идентификатор ключа EAB" и "Ключ EAB HMAC".
Как управлять сертификатами с помощью ACME и DNS
Automatic Certificate Management Environment (ACME) – это распространенный протокол для автоматического управления обменом сертификатами между центром сертификации и сервером. Благодаря автоматизации снижается вероятность сбоев в работе из-за того, что сертификаты HTTPS не были продлены.
Чтобы подтвердить, что у вас есть право на управление доменным именем, в протоколе ACME используются дополнительные проверки. Google Domains поддерживает на своих DNS-серверах проверки DNS-01 с использованием токенов API.
Чтобы создать токен API:
- Войдите в аккаунт Google Domains.
- Выберите нужный домен.
- В левом верхнем углу экрана нажмите на значок меню Безопасность.
- В разделе "ACME DNS API" нажмите Создать токен.
ВАЖНО! Это значение показывается только один раз. Закрыв диалоговое окно, вы не сможете снова найти этот токен API. Храните этот токен в надежном месте, так как он дает возможность менять некоторые записи DNS вашего домена.
- Откроется диалоговое окно с токеном API.
- Этот токен API необходимо указать в клиенте ACME.
- Чтобы скопировать это значение, нажмите кнопку Копировать рядом с токеном API.
- Если вы закрыли окно, не сохранив это значение, вы можете удалить токен API и создать новый.
- Для одного домена можно создать не больше 10 токенов API за раз.
- Когда диалоговое окно закроется, запись появится в списке. Чтобы отменить доступ, вы можете удалить этот токен в любое время.
- Токен API можно использовать в клиенте ACME, который поддерживает ACME DNS API в Google Domains. Шаги, которые нужно выполнить, чтобы указать этот токен API, зависят от реализации ACME. Ознакомьтесь с документацией для нужного клиента ACME.
- Откроется диалоговое окно с токеном API.
Как защитить сертификаты SSL/TLS
Благодаря HTTPS снижается риск атак посредника (MITM). Однако они все же возможны, если злоумышленникам удастся сымитировать ваш сертификат SSL или TLS. Чтобы не допустить этого, проверяйте сертификаты, которые не узнаете. Вы также можете запретить некоторым центрам выдавать сертификаты для вашего домена, добавив запись ресурса CAA.
Как посмотреть сертификаты, выданные для вашего домена
Чтобы посмотреть выданные для домена сертификаты, можете выполнить поиск на сайте censys.io.