Как получить бесплатный SSL для сайта

Важно: SSL шифрует соединение между браузером посетителя и вашим сервером. Для большинства сайтов бесплатных сертификатов достаточно; для сложных корпоративных требований нужен платный сертификат с расширенной проверкой.

Что такое SSL и TLS

SSL (Secure Socket Layer) — историческое название протокола шифрования. Современный стандарт называется TLS (Transport Layer Security). Коротко: TLS защищает передаваемые данные, предотвращает перехват и подделку содержимого во время передачи.

Определение: TLS — протокол, который шифрует трафик между клиентом и сервером, обычно отображается браузером как замок и протокол https://.

Почему SSL необходим

• Без HTTPS браузеры помечают сайт как “Не защищён” — это снижает доверие пользователей.
• Поисковые системы отдают предпочтение сайтам с HTTPS при ранжировании.
• Платёжные шлюзы и формы вводят требование защищённого соединения для обработки данных.
• SSL — базовый элемент безопасности, который предотвращает простые атаки типа «man-in-the-middle».

Варианты получения бесплатного SSL (обзор)

1. SSL от хостинга — самый быстрый вариант: провайдер автоматически выдаёт и продлевает сертификат (обычно Let’s Encrypt или аналог).
2. Cloudflare — работает через проксирование трафика и даёт HTTPS на уровне сети, достаточно бесплатного плана и смены nameserver.
3. Let’s Encrypt напрямую — при управлении сервером можно автоматизировать получение/продление (certbot).
4. Плагины WordPress — например, Really Simple SSL упрощают переключение сайта на HTTPS.

Ниже — подробные инструкции и сопутствующие рекомендации.

Бесплатный SSL у хостинга (пример: Bluehost)

Практически все популярные хостинги предлагают бесплатный сертификат. В примере ниже описан процесс на Bluehost; у других провайдеров панели похожи.

Шаги для Bluehost

1. Войдите в аккаунт Bluehost.

2. В разделе My Sites выберите сайт, на который хотите поставить SSL.
3. Нажмите Manage site.

4. Перейдите на вкладку Security.

5. В разделе Security найдите переключатель Free SSL Certificate и включите его.
6. Если переключатель уже включён — SSL уже установлен. Если нет — включите и дождитесь установки.
7. В WordPress установите и активируйте плагин Really Simple SSL, чтобы автоматически настроить редиректы и поправить смешанный контент.

Примечание: у хостинга обычно автоматическое продление сертификата. Всё же проверьте срок действия в панели, чтобы избежать простоя.

Бесплатный SSL через Cloudflare (подробная инструкция)

Cloudflare — удобный вариант, если хостинг не предоставляет SSL или вы хотите дополнительную защиту на уровне сети (DDoS, кеширование, WAF в платных планах).

Краткие шаги

1. Зарегистрируйтесь на Cloudflare и добавьте сайт.

2. Выберите бесплатный план.

3. Cloudflare просканирует DNS. Убедитесь, что записи совпадают.

4. Замените nameserver у регистратора домена (в примере — Namecheap) на те, что дал Cloudflare.

5. На стороне Cloudflare нажмите Check nameservers и дождитесь подтверждения.

6. В WordPress установите плагин Cloudflare или схожий (в примере искали Flexible SSL), установите и активируйте.

7. В Cloudflare откройте панель SSL/TLS и выберите нужный режим (Full или Full (Strict) рекомендован для защиты между Cloudflare и вашим сервером).

8. Включите Always Use HTTPS (всегда перенаправлять на HTTPS).

После применения настроек сайт должен отображать замок в адресной строке.

Замечание: изменение nameserver может занимать до 24–48 часов из‑за кеширования DNS у провайдеров. Обычно это занимает меньше времени.

Типичные проблемы и как их решать

1. Сайт не загружается или циклический редирект — проверьте режим SSL в Cloudflare (Flexible vs Full) и убедитесь, что между Cloudflare и вашим сервером есть действительный сертификат для режима Full.
2. Замок есть, но ресурсы загружаются по HTTP — это смешанный контент. Используйте плагин или скрипт для замены ссылок на https:// и проверьте шаблоны и кастомный код.
3. Ошибка “NET::ERR_CERT_COMMON_NAME_INVALID” — проверьте, совпадает ли домен в сертификате с запрошенным именем (включая www/без www).
4. Истекший сертификат — хостинг/Cloudflare обычно продлевают автоматически; если вы используете ручной сертификат (Self-signed или вручную صادرённый) — настройте автоматическое продление (например, certbot).

Безопасность и жёсткие настройки (hardening)

• Включите HSTS (Strict-Transport-Security) только после проверки, что все ресурсы доступны по HTTPS. HSTS заставляет браузеры всегда использовать HTTPS.
• Отключите устаревшие версии протокола (SSLv3, TLS 1.0, TLS 1.1) на сервере. Оставьте TLS 1.2 и 1.3.
• Включите OCSP Stapling, если сервер это поддерживает.
• Проверьте конфигурацию с помощью онлайн-сканеров типа SSL Labs (Qualys) для оценки.

Важно: HSTS — мощный инструмент; при неправильной настройке сайт может стать недоступен по HTTP для пользователей и индексов.

Ментальные модели и когда бесплатный SSL не подходит

• Ментальная модель: SSL — это «дверь и замок» для транспортного уровня. Бесплатный сертификат закрывает дверь для большинства угроз, но не заменяет полноценную программу безопасности.
• Когда бесплатный SSL может быть недостаточен:
  • Требуется расширенная проверка организации (EV) для юридических/регистрируемых организаций.
  • Необходима поддержка старых сисем, полагающихся на старые протоколы.
  • Требуются гарантийные механизмы и страховка от ответственности, которые идут с некоторыми платными сертификатами.

Чек-листы (роль-based)

Чек-лист для владельца сайта:

• Включить бесплатный SSL у хостинга или Cloudflare.
• Установить плагин для перенаправления на HTTPS.
• Проверить видимые ресурсы и формы.
• Сохранить резервную копию перед изменениями.

Чек-лист для разработчика/админа:

• Проверить конфигурацию SSL (сертификат, цепочка, промежуточные сертификаты).
• Настроить автоматическое продление (certbot или панель хостинга).
• Включить HSTS после тестирования.
• Проверить TLS 1.2/1.3, отключить слабые шифры.

Критерии приёмки

• В адресной строке отображается зелёный (или нормальный) замок.
• Все ресурсы страницы (скрипты, стили, изображения) загружаются по HTTPS.
• Нет ошибок смешанного контента в консоли разработчика.
• SSL-сертификат действителен (проверено через браузер или онлайн-сервисы).

Мини‑методология проверки SSL (быстрая)

1. Откройте сайт в браузере — проверьте замок и сведения о сертификате (клик по замку).
2. Откройте DevTools → Console — проверьте на ошибки смешанного контента.
3. Сделайте запрос curl -I https://example.com и убедитесь, что получаете 200 и заголовки HTTPS (при наличии curl на сервере).

Пример команды (для администраторов):

curl -I -L https://your-domain.com

Тесты и приёмо‑сдаточные критерии

• Тест: Перейти на http:// ваш_домен и убедиться, что происходит 301 редирект на https://.
• Тест: Открыть страницу в приватном окне, убедиться в отсутствии предупреждений браузера.
• Тест: Пройти проверку SSL Labs (или аналог) и получить рейтинг не ниже “A-“ (для базовой безопасной конфигурации).

Короткая методика отката (если сайт упал после установки SSL)

1. Отключите принудительный редирект на HTTPS (в панели хостинга или через плагин).
2. В Cloudflare переключите режим на «Off» или отключите проксирование (оранжевое облако → серое), чтобы трафик шёл напрямую.
3. Восстановите бэкап конфигурации сервера или откатите изменения DNS.
4. Проверьте логи и устраните причину (настройки сервера, конфликт плагинов).

Факто‑бокс: ключевые цифры и сроки

• Let’s Encrypt: стандартный срок действия сертификата — 90 дней (рекомендуется автоматическое продление).
• Коммерческие сертификаты: традиционно от 1 до 2 лет (зависит от поставщика).
• DNS-обновления при смене nameserver могут распространяться до 48 часов.

Частые вопросы

1. Do SSL certificates expire?

Срок действия у сертификатов ограничен (см. факто‑бокс). После истечения сертификат нужно обновить, иначе браузеры начнут показывать предупреждения.

2. Do SSL certificates work for subdomains?

Да. Для множества субдоменов удобно использовать Wildcard SSL (пример: *.example.com) или мультидоменный сертификат.

3. How much do premium SSL certificates cost?

Цена зависит от типа сертификата и поставщика. Для одиночного домена коммерческий сертификат может стоить относительно недорого; Wildcard и сертификаты с расширенной проверкой стоят дороже.

(Вопросы сохранены в оригинальной формулировке для удобства поиска и совместимости с панелями хостинга.)

Советы после установки

• Сделайте полную резервную копию сайта и базы данных.
• Настройте мониторинг срока действия сертификата (уведомления за 30 дней до истечения).
• Периодически проверяйте сайт на смешанный контент после обновлений плагинов или тем.

Альтернативные подходы

• Использовать certbot на VPS/сервере для автоматизации Let’s Encrypt.
• Самостоятельно закупать и устанавливать коммерческий сертификат у доверенного CA при особых требованиях.
• Использовать CDN с поддержкой SSL (помимо Cloudflare есть и другие CDN-поставщики).

Короткая памятка (cheat sheet)

• Хостинг предлагает SSL → сначала включите его.
• Хостинг не предлагает → Cloudflare + смена nameserver.
• Всегда проверьте смешанный контент и принудительный редирект на HTTPS.
• Храните резервные копии и следите за датой истечения.

Подведение итогов

Бесплатный SSL — быстрый и недорогой способ защитить сайт и повысить доверие посетителей. Для большинства блогов и магазинов достаточно комбинации бесплатного сертификата и базовой настройки перенаправлений и HSTS. Если возникнут сложности, обратитесь в техподдержку хостинга или к системному администратору.

Related: Как создать пользовательский макет страницы WordPress с телефона