Как получить бесплатный SSL для сайта: Cloudflare и хостинг

В начале проекта платить за платный SSL не всегда разумно. Для старта блога или магазина достаточно бесплатного сертификата, который затем при желании можно заменить на коммерческий. В этой статье подробно разберём, как получить бесплатный SSL через хостинг (пример Bluehost) и через Cloudflare, какие есть ограничения и что делать, если сайт перестал корректно загружаться.

Что такое SSL и зачем он нужен

SSL расшифровывается как Secure Socket Layer, но на практике используется протокол TLS, который обеспечивает защищённый канал между браузером посетителя и сервером. Коротко:

• SSL/TLS шифрует данные при передаче.
• Защищает учетные данные, формы и данные платежей.
• Улучшает доверие пользователей и поисковую видимость.

Определение: TLS — современная версия SSL, обычно в тексте говорят SSL, подразумевая TLS.

Почему SSL важен прямо сейчас

• Браузеры помечают сайты без HTTPS как небезопасные.
• Платёжные шлюзы обычно требуют HTTPS для приёма платежей.
• HTTPS — базовое требование для SEO и доверия пользователей.

Важно: отсутствие SSL может негативно повлиять на трафик и конверсии.

Быстрый обзор доступных бесплатных вариантов

• Авто-SSL от хостинга (Let’s Encrypt или собственный сервис хостера)
• Cloudflare в режиме прокси (Origin Certificate либо Flexible/Full режим)
• Ручная установка сертификата Let’s Encrypt через ACME (Certbot)

Каждый вариант имеет свои плюсы и ограничения — ниже подробные инструкции и рекомендации, когда какой способ выбирать.

Как получить бесплатный SSL через хостинг (пример Bluehost)

Многие хостинги автоматически предлагают бесплатный SSL при размещении сайта. На примере Bluehost процесс занимает несколько кликов.

Пошагово для Bluehost

1. Войдите в аккаунт Bluehost.

2. В разделе Мои сайты выберите сайт, для которого нужно включить SSL.

3. Нажмите Управлять сайтом.

4. Перейдите на вкладку Безопасность.

5. Найдите переключатель Бесплатный SSL и включите его.

6. Если переключатель уже включен, сертификат уже установлен. Если нет, включите и дождитесь завершения установки.

7. После этого установите и активируйте плагин Really Simple SSL в WordPress, чтобы автоматически перенаправлять трафик на HTTPS и исправить типичные проблемы с смешанным содержимым.

Примечание: интерфейс хостинга может отличаться у других провайдеров, но логика обычно та же: включить авто-SSL в панели и установить плагин для WordPress.

Как получить бесплатный SSL через Cloudflare

Cloudflare выступает как обратный прокси и может защищать трафик на бесплатном тарифе. Этот вариант удобен, если хостинг не даёт бесплатный сертификат или вы хотите дополнительную защиту и кеширование.

Когда использовать Cloudflare

• Хостинг не предоставляет бесплатный SSL.
• Нужен CDN, DDoS‑защита и простая интеграция HTTPS.
• Вы готовы сменить NS на те, что выдаёт Cloudflare.

Пошагово через Cloudflare

1. Зарегистрируйтесь на сайте Cloudflare и добавьте свой сайт.

2. При добавлении сайта выберите Бесплатный план.

3. Cloudflare автоматически просканирует DNS-записи. Оставьте их без изменений и продолжите.

4. Cloudflare выдаст набор имён серверов. В админке регистратора домена (в примере Namecheap) замените текущие nameserver на те, что дал Cloudflare.

5. Вернитесь в панель Cloudflare и нажмите Проверить nameserver. После подтверждения вы увидите статус, что nameserver изменены.

6. В WordPress установите плагин Cloudflare и подключите аккаунт. Затем в панели Cloudflare включите SSL/TLS и настройте режим. Для простоты можно использовать режим Full или Full (Strict) при наличии сертификата на сервере.

7. Включите опцию Всегда использовать HTTPS в разделе SSL/TLS, чтобы автоматически перенаправлять HTTP на HTTPS.

8. Проверьте сайт: значок замка в адресной строке подтверждает, что HTTPS работает.

Важно: режим Flexible шифрует трафик между посетителем и Cloudflare, но не между Cloudflare и вашим сервером. Для полной безопасности используйте Full или Full (Strict) и установите origin-сертификат на сервер.

Устранение типичных проблем после установки SSL

Если сайт перестал корректно загружаться после включения SSL, выполните следующие шаги:

• Очистите кеш браузера и проверяйте с разных устройств.
• Отключите плагин кеширования на время отладки.
• Проверьте Mixed Content: ресурсы (скрипты, стили, изображения) с http: должны перейти на https: или быть относительными.
• Если используете Cloudflare, попробуйте переключить режим SSL и включить опцию Automatic HTTPS Rewrites.
• Убедитесь, что на сервере есть действующий сертификат для Full (Strict) режима.

Критерии приёмки: сайт открывается по HTTPS без предупреждений, все ресурсы загружаются по HTTPS, HTTP перенаправляется на HTTPS.

Когда бесплатный SSL не подойдёт (ограничения)

• Для расширенной проверки компании, EV сертификат может быть предпочтительнее, но он редко нужен современным сайтам.
• Если вам нужно покрытие большого парка внутренних сервисов и сложная PKI-архитектура, бесплатные сертификаты могут оказаться неудобными.
• Flexible SSL не шифрует канал между Cloudflare и вашим сервером и не подходит для PCI‑совместимости.

Примеры когда бесплатный SSL не подходит:

• Тяжёлые корпоративные требования к аудиту и EV сертификаты.
• Сценарии, где нужен длительный срок действия и централизованное управление коммерческими сертификатами.

Альтернативные подходы

• Let’s Encrypt + Certbot: автоматическая выдача и автообновление сертификатов через ACME.
• cPanel AutoSSL: многие хостинги с cPanel автоматически выпускают сертификаты через Let’s Encrypt или Sectigo.
• Покупка платного сертификата с поддержкой Wildcard, если нужно покрыть множество субдоменов без автоматической интеграции.

Выбор зависит от требований к безопасности, удобству управления и необходимости wildcard‑покрытия.

Контрольные списки

Общий чеклист перед установкой SSL:

• Резервная копия сайта и базы данных.
• Доступы к хостинг‑панели и регистраторам домена.
• Контрольные учётные записи WordPress или CMS.
• План тестирования после включения HTTPS.

Роль‑ориентированный чеклист:

• Владелец сайта: сделать резервную копию и уведомить пользователей о кратком обслуживании.
• Разработчик: проверить mixed content, настроить редиректы и заголовки безопасности.
• Сисадмин: установить origin-сертификат, настроить Full (Strict) при использовании Cloudflare.

SOP: стандартная процедура установки SSL (быстрая инструкция)

1. Сделать бэкап сайта и БД.
2. Проверить возможности хостинга — есть ли авто-SSL.
3. Если есть, включить авто-SSL в панели и дождаться установки.
4. Установить плагин Really Simple SSL и активировать.
5. Если хостинг не даёт SSL, зарегистрироваться в Cloudflare и сменить nameserver.
6. В Cloudflare выбрать Free план, включить Always Use HTTPS и настроить режим SSL.
7. Протестировать сайт, исправить mixed content, проверить мобильные устройства.
8. Добавить HSTS и другие заголовки безопасности после проверки работоспособности.

Критерии приёмки

• Сайт открывается по HTTPS с зелёным замком.
• При открытии по HTTP автоматический редирект на HTTPS.
• Нет предупреждений браузера о небезопасном соединении.
• Все внешние и внутренние ресурсы загружаются по HTTPS.

Тестовые сценарии и приемка

• Открыть сайт по HTTP и убедиться, что происходит 301 редирект на HTTPS.
• Проверить страницу с формой входа/оплаты — данные шифруются (замок в адресной строке).
• Проверить консоль браузера на отсутствие Mixed Content ошибок.
• Протестировать сайт через инструмент SSL Labs для базовой проверки конфигурации TLS.

Ментальные модели и рекомендации

• Модель «плоской защиты»: SSL обеспечивает только транспортную защиту. Для полной безопасности нужны бэкапы, обновления и WAF.
• Правило 80/20: 80% сайтов получают достаточный уровень безопасности с помощью бесплатного сертификата + правильных редиректов и заголовков.
• Обновления сертификатов: автоматизируйте продление через хостинг или ACME, чтобы избежать простоя.

Рекомендации по безопасности после установки

• Включите HSTS только после подтверждения стабильной работы HTTPS.
• Отключите SSLv3 и слабые шифры на сервере.
• Используйте Full (Strict) режим в Cloudflare с origin-сертификатом.
• Настройте автоматическое обновление сертификатов.

Вопросы конфиденциальности и соответствие GDPR

HTTPS обеспечивает шифрование данных в транзите, что является базовым требованием защиты данных. Для соответствия GDPR также проверьте хранение и обработку персональных данных на сервере и в сторонних сервисах.

Часто задаваемые вопросы

1. Действительно ли сертификаты истекают

Да, большинство бесплатных сертификатов выдают срок действия от 90 дней (Let’s Encrypt) до года. Коммерческие сертификаты часто выдаются на 1–2 года. Важно отслеживать срок действия и настроить автообновление.

2. Работают ли сертификаты для поддоменов

Чтобы защитить несколько субдоменов, используйте Wildcard SSL. Wildcard покрывает все субдомены вида *.example.com, но обычно требует платного сертификата или специализированной настройки.

3. Сколько стоят премиум сертификаты

Цена зависит от поставщика и типа сертификата. Для одного домена некоторые провайдеры предлагают выделенный сертификат примерно от $6 до $10. Wildcard сертификаты могут начинаться от $50 и выше.

Краткое резюме

Установка бесплатного SSL — быстрый и обязательный шаг для защиты сайта и поддержания доверия пользователей. Выберите авто-SSL от хостинга для простоты или Cloudflare для дополнительной защиты и CDN. Обязательно протестируйте сайт после установки и настройте автоматическое обновление сертификатов.

Итоговые рекомендации:

• Начните с хостинга: если есть авто-SSL, включите его.
• Если хостинг не даёт SSL или нужен CDN, используйте Cloudflare и режим Full (Strict) с origin-сертификатом.
• Исправьте Mixed Content и настройте редиректы.
• Настройте мониторинг срока действия сертификата и автоматическое обновление.

Теперь, когда сайт защищён, сделайте резервную копию и проверьте остальные элементы безопасности, такие как обновления CMS, бэкапы и права доступа.