Протокол передавання гіпертексту (HTTP) – це набір правил, за якими веб-переглядачі приймають і передають дані в мережі. Наприклад, якщо URL-адреса починається з префікса "http", веб-переглядач застосовує цей протокол, щоб завантажити відповідну веб-сторінку.
HTTPS – це розширення протоколу HTTP, яке забезпечує шифрування даних, що передаються між веб-переглядачем і веб-сторінкою. Шифрування приховує дані, а також знижує ризик того, що хтось їх перегляне або використає неналежним чином. Такий захист особливо важливий, якщо на веб-сайті міститься ваша конфіденційна інформація (наприклад, персональні або фінансові дані).
Як налаштувати протокол HTTPS
Щоб використовувати протокол HTTPS у доменному імені, ви маєте додати сертифікат SSL/TLS на свій веб-сайт. Деякі постачальники послуг веб-хостингу автоматично забезпечують захист за протоколом HTTPS. За потреби ви також можете надіслати запит на сертифікат SSL/TLS у центр сертифікації й додати його на свій веб-сайт самостійно. Зверніть увагу: сертифікати SSL/TLS потрібно періодично поновлювати.
Існують різні типи веб-серверів, і кожен із них має власний спосіб встановлення та оновлення сертифікатів SSL/TLS. Вам потрібно буде дізнатись, яким веб-сервером користується ваш веб-сайт, і виконати вказівки зі встановлення й оновлення сертифіката.
Нижче наведено сервіси Google, які автоматично й без додаткової плати надають, налаштовують і поновлюють сертифікати SSL/TLS.
Багато сторонніх постачальників послуг веб-хостингу (зокрема Bluehost, Shopify, Squarespace, Weebly та Wix) також надають, налаштовують і поновлюють сертифікати SSL/TLS. Будь-якого з таких постачальників можна інтегрувати з Google Domains.
Дізнайтесь, як підключитися до постачальника послуг веб-хостингу й налаштувати протокол HTTPS.
Якщо ваш постачальник послуг веб-хостингу не надає захист за протоколом HTTPS, ви можете отримати сертифікат SSL/TLS для свого домену від центру сертифікації. Компанія Google має власний центр сертифікації під назвою Google Trust Services. Клієнти Google Domains можуть отримати сертифікат від Google Trust Services, дотримуючись вказівок на сторінці "Безпека" свого домену.
Ще один популярний центр сертифікації, який видає сертифікати, щоб робити Інтернет безпечнішим, – Let’s Encrypt.
Коли ви отримаєте сертифікат, вам потрібно буде зв’язатися з постачальником послуг веб-хостингу, щоб установити його. Якщо ви розміщуєте сайт на власних серверах, дізнайтесь, як увімкнути протокол HTTPS. Якщо ви використовуєте протокол ACME, виконайте наведені нижче дії, щоб керувати сертифікатами за допомогою ACME й системи DNS.
Щоб отримати сертифікат від Google Trust Services:
- Увійдіть у Google Domains.
- Виберіть домен, для якого потрібно отримати сертифікат.
- Угорі ліворуч натисніть значок Безпека.
- У розділі "Сертифікати SSL/TLS для вашого домену" розгорніть "Google Trust Services".
- Натисніть Отримати ключ EAB.
- Відкриється вікно з двома значеннями: "Ідентифікатор ключа EAB" та "Ключ EAB HMAC".
- Щоб скопіювати обидва значення, натисніть кнопку Копіювати біля кожного з них.
- Використайте ці 2 значення, щоб зареєструвати обліковий запис у центрі сертифікації Google Trust Services. Кожне застосування клієнта ACME дещо відрізняється залежно від того, як ви вказали EAB. Перегляньте документацію для клієнта ACME, який потрібно використовувати.
- Нижче наведено приклад конфігурації з популярним клієнтом ACME – Certbot.
- Команда для реєстрації облікового запису:
certbot register --email <CONTACT_EMAIL> --no-eff-email --server "https://dv.acme-v02.api.pki.goog/directory" --eab-kid "<EAB_KEY_ID>" --eab-hmac-key "<EAB_HMAC_KEY>"
- Створивши обліковий запис, ви зможете видавати сертифікати за допомогою такої команди:
certbot certonly -d <YOUR_DOMAIN> --server "https://dv.acme-v02.api.pki.goog/directory" --standalone
- Команда для реєстрації облікового запису:
- Нижче наведено приклад конфігурації з популярним клієнтом ACME – Certbot.
- Відкриється вікно з двома значеннями: "Ідентифікатор ключа EAB" та "Ключ EAB HMAC".
Як керувати сертифікатами за допомогою ACME та DNS
ACME – це поширений протокол, який автоматизує керування сертифікатами між центром сертифікації і сервером. Завдяки автоматизації в багатьох користувачів може зменшитися ймовірність збоїв через помилку поновлення сертифікатів HTTPS.
Щоб підтвердити, що ви керуєте доменним ім’ям, протокол ACME використовує запити перевірки. Google Domains підтримує тип перевірки DNS-01 і DNS-сервери за допомогою маркерів API.
Щоб створити маркер API:
- Увійдіть у Google Domains.
- Виберіть потрібний домен.
- Угорі ліворуч натисніть значок Безпека.
- У розділі "ACME DNS API" натисніть Створити маркер.
ВАЖЛИВО. Це значення показується лише раз. Коли вікно буде закрито, ви більше не зможете знайти цей маркер API. Зберігайте маркер у надійному місці, оскільки будь-хто з таким маркером зможе змінювати деякі записи DNS для вашого домену.
- Відкриється вікно "Маркер API".
- Цей маркер потрібний для того, щоб увійти в клієнт ACME.
- Щоб скопіювати це значення, натисніть кнопку Копіювати поруч із маркером API.
- Якщо ви не зберегли це значення, перш ніж закрити вікно, можна легко видалити маркер API і створити новий.
- Для одного домену одночасно можна створити щонайбільше 10 маркерів API.
- Коли вікно закриється, у списку з’явиться запис. Ви можете будь-коли видалити маркер, щоб скасувати доступ.
- Маркер API можна використовувати в клієнті ACME, який підтримує ACME DNS API від Google Domains. Кожне застосування протоколу ACME дещо відрізняється залежно від того, як ви вказали цей маркер API. Перегляньте документацію для клієнта ACME, який потрібно використовувати.
- Відкриється вікно "Маркер API".
Як захистити свої сертифікати SSL/TLS
Протокол HTTPS допомагає запобігати атакам посередника (MITM-атакам). Проте якщо хтось підробить ваш сертифікат SSL/TLS, то зможе здійснити таку атаку. Щоб цього не сталося, перевіряйте невідомі сертифікати, видані вашому веб-сайту. Ви також можете визначити центри сертифікації, яким дозволено видавати сертифікати для вашого домену, за допомогою спеціальних ресурсних записів CAA.
Як переглянути сертифікати, видані для вашого домену
Щоб переглянути сертифікати, видані для вашого домену, перейдіть на сайт censys.io.