Бесплатные SSL-сертификаты в одно нажатие

by Егор Курьянович 🌱

Если помните, я уже писал о том, что такое SSL-сертификат и почему он вам нужен. В этот раз я расскажу о том, как мы добавляли выдачу сертификатов в наш сервис и с какими трудностями столкнулись.

Мы впервые сообщили о намерениях выдавать бесплатные сертификаты летом прошлого года. Первые пилотные внедрения были сделаны буквально через несколько недель после анонса. Но во время тестирования мы столкнулись с несколькими серьезными инженерными проблемами.

Тем не менее, уже осенью у нас появилась возможность добавлять SSL/TLS-сертификат в одно нажатие прямо в панели управления. И только в конце февраля, наши партнёры смогли решить проблему, которая ограничивала возможность выдачи сертификатов для некоторых сайтов.

Теперь мы готовы официально заявить, что любой наш клиент на тарифном плане «Бизнес» может добавить себе SSL-сертификат абсолютно бесплатно в одно нажатие!

Совместная работа разных сайтов

Первая проблема с которой мы столкнулись заключалась в том, что безопасные сайты, работающие по протоколу HTTPS, и обычные, работающие по старому доброму HTTP, не хотят уживаться на одном сервере. И эта проблема связана с основной работы защищенного соединения: сайты сначала организовывают канал шифрования, а потом представляются, поэтому если на сервере есть сайты, которые работают в разных режимах, то вы будете часто наблюдать ошибки.

Причем такую ошибку можно увидеть даже у больших и серьёзных сайтов, которые размещаются на виртуальном хостинге. Если открыть такой сайт по защищенному соединению, отобразится ошибка и вы будете перенаправлены на какой-то другой сайт. И это, как минимум, странно.

Для решения этой проблемы мы переносим сайты клиентов на отдельный сервер, на котором работают только безопасные сайты. Таким образом, обычные сайты не выдают ошибок и не перенаправляют на другие сайты, если к ним зайти по https.

Работа с кириллическими доменами

Вторая проблема, которую мы заметили во время тестирования — это невозможность выпустить сертификат для IDN адресов (адресов, которые используют буквы национальных алфавитов). А в свете запуска доменов .БЕЛ, у многих наших клиентов оказались кириллические домены, на которые мы не могли выпустить сертификат.

Ситуация разрешилась несколько недель назад, с появлением поддержки IDN у наших партнёров. Теперь мы рады сообщить, что с последним обновлением Старонки вы сможете выпустить сертификат для своего любимого .БЕЛ домена и других кириллических адресов.

Дополнительная защита с DNS CAA

В связи с недавними атаками, с выпуском сертификатов для уже существующих сайтов, был добавлен дополнительный уровень защиты, который позволяет указывать какой из центров сертификации может выпускать сертификаты для этого домена. Для всех наших сайтов мы автоматически создаем специальные DNS-записи для предотвращения атак подобного рода.

Переход на HTTP/2

Весь интернет работает на протоколе http и, в основном, используется первая версия этого протокола, которая была выпущена более 15 лет назад. Но в 2015 года была согласована новая версия протокола, которая называется http/2 и позволяет сайтам работать намного быстрее. Одним из ограничений популяризации нового протокола является тот факт, что большинство браузеров поддерживает его только поверх SSL/TLS шифрования. Поэтому все сайты наших клиентов, которые подключили сертификат, мы автоматически переводим на новый более быстрый протокол.

Если коротко

Теперь вы можете добавлять SSL/TLS сертификаты для вашего сайта на Старонке в одно нажатие, даже если адрес сайта содержит кириллицу. Мы автоматически выпускаем и продлеваем ваш сертификат, защищаем вас от атак и ошибок, а также переводим ваш сайт на более современный протокол, чтобы он загружался ещё быстрее.