Бесплатный SSL через StartSSL

Что такое SSL/TLS

SSL (теперь чаще называют TLS) — криптографический протокол, который шифрует трафик между браузером и сервером. Коротко: защищает логины, личные данные и платежную информацию от перехвата.

Зачем нужен SSL

Шифрование данных при передаче по сети.
Защита при подключении через общественное Wi‑Fi (кофейни, аэропорты).
Требование для современных браузеров и SEO: сайты без HTTPS помечаются как небезопасные.

Важно: банки и интернет‑магазины используют сертификаты высокого уровня доверия для защиты учётных данных и платёжной информации.

Важное замечание по StartSSL

В прошлом у StartSSL/StartCom были инциденты с доверием со стороны крупных браузеров. Перед использованием обязательно проверьте, доверяют ли текущие версии браузеров и платформ сертификатам, выданным StartSSL. Если есть сомнения, рассмотрите современные бесплатные альтернативы (ниже — список).

Получение бесплатного сертификата (шаг за шагом)

Зарегистрируйтесь на сайте StartSSL: заполните форму, укажите имя, адрес и телефон — эти поля обязательны.
После регистрации на указанный e‑mail придёт код подтверждения. Введите код в личном кабинете.

Процедура регистрации и подтверждения аккаунта

После ввода кода заявка переходит на проверку командой StartSSL — в описанном опыте ответ пришёл менее чем за 5 минут, но почта с подтверждением действительна 24 часа.

Установка сертификата в личном кабинете StartSSL

В личном кабинете выберите тип сертификата (в статье автор выбирал Webserver).
StartSSL предлагает варианты шифрования (на странице было указано 128 или 256 бит). Примечание: 128/256 относится к симметрическому шифру; отдельно задаётся длина ключа сервера (RSA, например 2048/4096 бит).

Выбор ключа шифрования и генерация приватного ключа

Выберите «высокий» или «средний» уровень приватного ключа, задайте пароль для закрытого ключа и укажите поддомен, где будет использоваться сертификат (поддомен обязателен).

Генерация закрытого ключа и ввод поддомена

После создания сертификата вам будет показан блок с закодированными данными сертификата. Скопируйте его, сохраните в текстовый файл и переименуйте в ssl.crt. Также скачайте промежуточные и корневые сертификаты (обычно ca.pem, sub.class1.server.ca.pem) и сохраните их в ту же папку.

Содержимое сертификата для копирования в файл ssl.crt

Совет: скачайте и сохраните приватный ключ и все сертификаты на внешний носитель и в защищённый бэкап. Потеря приватного ключа означает невозможность использовать сертификат.

Валидация домена и почты

В разделе Validations Wizard выберите валидацию домена.
Введите домен и свяжите с ним адрес электронной почты для подтверждения владения.

Привязка и подтверждение почты для валидации домена

После подтверждения адреса домен считается верифицированным. Для бесплатных сертификатов StartSSL требуется повторять этот процесс каждые 30 дней — не забывайте обновлять валидацию.

Уведомление о необходимости ежемесячной валидации

Загрузка файлов на сервер и конфигурация Apache

Скопируйте на сервер следующие файлы в один каталог: ssl.crt (ваш сертификат), приватный ключ (обычно ssl.key), ca.pem и sub.class1.server.ca.pem (промежуточные).

Файлы сертификатов, загруженные в корень сайта

В конфигурации Apache (httpd.conf или ssl.conf) укажите пути к файлам. Пример конфигурации:


    ServerName example.com
    DocumentRoot /var/www/example

    SSLEngine on
    SSLCertificateFile /etc/ssl/example/ssl.crt
    SSLCertificateKeyFile /etc/ssl/example/ssl.key
    SSLCertificateChainFile /etc/ssl/example/ca.pem

    # Дополнительно: безопасные заголовки
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Перезапустите Apache (например, systemctl restart httpd или apache2) и проверьте доступ по HTTPS.

Совет: для некоторых конфигураций вместо SSLCertificateChainFile объединяют файл fullchain.pem (сертификат + промежуточные) и указывают только SSLCertificateFile и SSLCertificateKeyFile.

Проверка и приёмка

Критерии приёмки:

В браузере при заходе на https://ваш-домен виден зелёный замок или иконка защищённого соединения.
openssl показывает корректную цепочку доверия:

openssl s_client -connect example.com:443 -servername example.com

В сертификате отображается ваш домен и корректные даты действия.
Защита от смешанного контента: все ресурсы (CSS, JS, изображения) загружаются по HTTPS.

Резервное копирование и безопасность ключей

Сохраните приватный ключ в зашифрованном виде и в нескольких защищённых местах.
Ограничьте права доступа к файлам на сервере (например, chmod 600 для ключа).
Не храните приватный ключ в общедоступных репозиториях.

Альтернативы StartSSL

Если у вас есть сомнения насчёт доверия сертификатов StartSSL или вам не хочется обновлять валидацию каждые 30 дней, рассмотрите современные альтернативы:

Let’s Encrypt — бесплатный автоматизированный CA с автоматическим продлением (рекомендуется для большинства случаев).
Cloudflare SSL — предоставляется вместе с CDN и может защитить сайт на уровне прокси.
ZeroSSL — сервис с бесплатными сертификатами и удобным UI.

Каждая альтернатива имеет свои особенности: автоматическое продление у Let’s Encrypt упрощает сопровождение, Cloudflare добавляет CDN и защиту на уровне сети.

Когда использование StartSSL не подходит

Если ваша аудитория использует устаревшие или специфические клиенты, требующие доверия от крупных корневых центров.
Если вы не хотите регулярно подтверждать домен каждые 30 дней.
Если политика вашей организации требует использования сертифицированных платных CA.

Руководство администратора — чеклист перед вводом в эксплуатацию

Сертификат установлен и цепочка доверия корректна.
Приватный ключ сохранён и доступен только админам.
Перенаправление HTTP → HTTPS настроено.
HSTS включён, только после проверки работоспособности поддоменов.
Проверены все внешние ресурсы на отсутствие смешанного контента.
План автоматического продления/валидации составлен (каждые 30 дней для StartSSL).

Технические рекомендации по безопасности (харднинг)

Отключите старые версии TLS (SSLv2, SSLv3, TLS 1.0, 1.1).
Разрешите TLS 1.2 и TLS 1.3, если сервер и клиенты поддерживают.
Используйте современные шифровальные наборы (AEAD, ECDHE для обмена ключами).
Включите HSTS и настройте правильный max‑age после тестирования.
Настройте безопасные cookie (Secure, HttpOnly, SameSite).

Мини‑методология для быстрого выполнения задачи

Зарегистрироваться в StartSSL и подтвердить почту.
Сгенерировать приватный ключ и CSR (если требуется), создать сертификат через Wizard.
Сохранить ssl.crt и промежуточные сертификаты, скачать приватный ключ.
Загрузить файлы на сервер и обновить конфигурацию веб‑сервера.
Проверить цепочку, работу сайта по HTTPS и настроить автоматизированные проверки.

Тесты и приёмка

Проверить соединение через openssl s_client.
Протестировать сайт в разных браузерах (Chrome, Firefox, Safari).
Попробовать доступ с мобильных устройств и из внешних сетей (3G/4G, публичные Wi‑Fi).

Короткое объявление (для блога или рассылки)

Получить бесплатный SSL‑сертификат можно через StartSSL: зарегистрируйтесь, подтвердите почту и домен, сформируйте приватный ключ и загрузите сертификат на сервер. Помните о регулярной валидации домена каждые 30 дней и обязательно сохраните приватный ключ в защищённом бэкапе. Если вы хотите автоматизировать продление — рассмотрите альтернативы, например Let’s Encrypt.

Социальная превью‑подсказка

OG‑заголовок: Бесплатный SSL через StartSSL — руководство
OG‑описание: Как получить, установить и проверить бесплатный SSL от StartSSL, плюс советы по безопасности и альтернативы.

Итог

StartSSL может быть быстрым способом получить бесплатный сертификат для личного сайта или тестового проекта. Однако из‑за необходимости частой пере‑валидации и сомнений с доверием со стороны браузеров имеет смысл рассмотреть и современные альтернативы с автоматическим продлением. В любом случае: храните приватный ключ в безопасности, проверяйте цепочку доверия и настраивайте сервер по рекомендациям безопасности.