Defaults.Exposed › Исправления › Состояние TLS-сертификата

Как исправить Состояние TLS-сертификата

Ваш SSL/TLS-сертификат — это цифровое удостоверение, доказывающее посетителю, что он действительно общается с вашим сайтом, а не с самозванцем, и питающее замок в браузере. Эта проверка смотрит, корректен ли и доверен ли сертификат, не вот-вот ли он истечёт и построен ли он на сильной, современной криптографии.

Главное для вашего бизнеса: Сломанный или истёкший сертификат заменяет ваш сайт полноэкранным красным предупреждением «Подключение не защищено» в каждом браузере. Большинство посетителей мгновенно уходят и не возвращаются — онлайн-продажи останавливаются, регистрации останавливаются, а соединение, которое должно было быть приватным, можно тихо перехватить.

Во что это может вам обойтись

• Ваш сертификат тихо истекает за выходные; к понедельнику каждый посетитель упирается в полностраничное предупреждение безопасности, ваша оплата и формы обратной связи мертвы, и вы теряете продажи за каждый час, пока заметите и продлите.
• Клиент, оплачивающий через WiFi кафе или отеля, получает предупреждение, что ваш сертификат не соответствует домену, — он решает, что сайт фальшивый или взломан, бросает покупку и говорит другим, что он «выглядел подозрительно».
• ИТ-служба крупного клиента запускает предконтрактное сканирование безопасности, видит самоподписанный или недоверенный сертификат и помечает вас как риск — сделка буксует из-за того, что чинится бесплатно.
• Ваш сертификат использует устаревший метод подписи или слабый ключ; современные браузеры начинают показывать на нём предупреждения, а проверка безопасности снижает вам оценку за криптографию, которая годами вне списка рекомендуемых.
• Вы принимаете платежи картами, и ваш платёжный провайдер проводит повторный аудит; слабый ключ или истёкший сертификат нарушает правила платёжной безопасности, и ваша онлайн-оплата заморожена, пока это не исправлено.

Почему это важно. Сертификат — самая видимая часть безопасности вашего сайта: когда он исправен, он невидим, а когда ломается, он кладёт весь сайт с пугающим предупреждением, гонящим клиентов прямиком к конкурентам. Истечение сертификата — причина номер один неожиданных отключений сайтов, и оно полностью предотвратимо. Получить корректный сертификат бесплатно, а поддерживать его исправность — в основном дело того, чтобы дать ему продлеваться автоматически.

Что это простыми словами

Когда кто-то заходит на ваш сайт, чтобы он чувствовал себя в безопасности, набирая пароль или номер карты, должны произойти две вещи. Сначала соединение должно быть зашифровано, чтобы посторонние не могли его прочитать. Затем — и это часть, которую забывают — браузер посетителя должен быть уверен, что на той стороне действительно ваш сайт, а не самозванец, поднявший убедительную подделку. То, что делает обе эти работы, — ваш TLS-сертификат (часто называемый «SSL-сертификатом»).

Считайте его защищённым от подделки удостоверением для вашего домена. Признанный центр его выдаёт, он проштампован вашим именем домена и датой истечения и несёт криптографический ключ, шифрующий соединение. Когда всё в порядке, браузер показывает замок, и ваш сайт загружается нормально. Когда с удостоверением что-то не так, браузер делает противоположное успокоению посетителя — он выдаёт полноэкранное предупреждение, гласящее, по сути, «этот сайт может быть небезопасен».

Эта проверка смотрит на состояние этого удостоверения по четырём вещам, каждая из которых независимо его ломает:

• Корректен и доверен ли он? — выдан признанным центром, соответствует вашему точному домену, не самоподписан и не истёк.
• Не вот-вот ли он истечёт? — потому что истёкший сертификат кладёт весь ваш сайт.
• Подписан ли он сильным методом? — старые алгоритмы подписи можно подделать.
• Достаточно ли силён его ключ? — слабый ключ в принципе можно взломать.

Хорошая новость сразу: получить исправный сертификат бесплатно, а поддерживать его исправность — в основном дело того, чтобы дать ему продлеваться автоматически, чтобы человеку ничего не нужно было помнить.

Чем это может вам обойтись

• Отключение на выходных. Сертификат тихо достигает даты истечения поздно в пятницу. Продление, которое должно было сработать, не сработало (переехал сервер, сломался скрипт, никто не заметил). К утру субботы каждый посетитель — и каждый поисковый робот Google — видит полностраничное красное предупреждение вместо вашей главной. Ваш магазин закрыт, а вы об этом даже не знаете. Техническое исправление занимает минуты; потерянные за выходные продажи и клиенты, решившие, что вы «закрылись», не возвращаются.
• Брошенная корзина. Клиент покупает с телефона через WiFi отеля. Ваш сертификат не вполне соответствует домену, который он ввёл (скажем, он покрывает shop.вашбизнес.com, но не голый вашбизнес.com, который он использовал). Браузер предупреждает, что сайт «может выдавать себя» за ваш. Для нетехнического покупателя это читается как мошенничество — он закрывает вкладку, и вы никогда не узнаёте, что продажа была.
• Застрявший контракт. Служба безопасности более крупного клиента перед подписанием проводит рутинное сканирование. Оно возвращается, показывая самоподписанный или недоверенный сертификат на одном из ваших поддоменов. Даже если всё остальное в порядке, этот один красный флаг превращает быстрое одобрение в переписку, откладывающую сделку, — из-за проблемы, которая чинится бесплатно.
• Предупреждение в замедленной съёмке. Ваш сертификат технически корректен, но подписан SHA-1 — старым методом, который браузеры выводят из обращения. Одно обновление браузера спустя — и часть ваших посетителей начинает видеть предупреждения, которые вы не можете воспроизвести на своей актуальной машине. В поддержку капают тикеты о том, что сайт «выглядит сломанным», а вы не можете понять почему.
• Провал соответствия требованиям. Вы принимаете платежи картами. При повторном аудите проверки вашего провайдера помечают слабый ключ или истёкший сертификат. Правила платёжной безопасности требуют сильного, актуального шифрования — поэтому ваши онлайн-платежи приостанавливаются до перевыпуска, замораживая выручку в худший возможный момент.

Что это на самом деле (четыре части)

Сертификат может быть неисправен четырьмя разными способами, и эта страница охватывает все. Каждый — отдельная проверка под капотом, но для вас всё это «в порядке ли мой сертификат?».

1. Корректен и доверен

Это главное — и единственная часть состояния сертификата, которая является критической проверкой высшего веса. Сертификат «корректен и доверен» только когда все эти условия истинны:

• Он выдан признанным удостоверяющим центром, которому браузеры уже доверяют (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon и т. д.).
• Он соответствует точному домену, который использует посетитель, включая поддомены. Сертификат для www.вашбизнес.com, который не покрывает также вашбизнес.com, выдаст предупреждение на голом домене.
• Он не самоподписан — то есть не тот, что вы выдали себе сами, который шифрует, но ничего не доказывает о том, кто вы.
• Он сейчас внутри своего окна дат — не истёк и не (как ни странно, но бывает) датирован началом в будущем.
• Его цепочка доверия цела — центр, подписавший его, сам доверен, вплоть до самого верха.

Если хоть одно из этих условий не выполнено, браузеры показывают пресловутую страницу «Подключение не защищено», и эта проверка проваливается жёстко. Хорошо выглядит так: сертификат от признанного центра, покрывающий каждый домен и поддомен, который вы реально используете, с уверенным запасом внутри своих дат.

2. Не вот-вот истекает

У каждого сертификата есть жёсткая дата окончания. Бесплатные обычно живут 90 дней; платные часто год. После даты доверие испаряется мгновенно — никакого льготного периода нет. Эта проверка измеряет, сколько дней осталось и как это взаимодействует с тем, кто его выдал:

• Если он уже истёк или истекает менее чем через 7 дней, это считается критическим — признак того, что продление сломалось.
• Если он истекает в пределах 30 дней и не управляется автоматически, это предупреждение продлить сейчас.
• Если он от автопродлевающего провайдера (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL и подобные) и в запасе хотя бы неделя, он проходит — потому что ожидается, что он продлится сам до дедлайна.
• Большой запас (90+ дней или автоуправление) — чистое прохождение.

Хорошо выглядит так: автоуправляемый сертификат, продлевающийся сам без чьего-либо участия. Самый надёжный способ никогда не словить отключение по истечении — сделать ответственной за продление машину, а не человека.

3. Сильный алгоритм подписи

Каждый сертификат «подписан» криптографическим алгоритмом, позволяющим браузерам обнаружить подделку. Старые алгоритмы — MD5 и SHA-1 — оказались поддельными, то есть злоумышленник в принципе мог бы создать мошеннический сертификат, выглядящий легитимно вашим. Эта проверка проходит, когда сертификат использует сильную, современную подпись: SHA-256 или сильнее (SHA-384, SHA-512), современный ECDSA или Ed25519/Ed448. MD5 и SHA-1 не проходят. Хорошо выглядит так: SHA-256 или лучше — это значение по умолчанию на каждом бесплатном и современном сертификате, так что на чём-либо выпущенном в последние годы это редко проблема.

4. Сильный ключ

Сертификат несёт криптографический ключ, делающий собственно шифрование. Если этот ключ слишком короткий, современная вычислительная мощь — при достаточных ресурсах — может его взломать, что позволит злоумышленнику выдать себя за ваш сайт или расшифровать трафик. Принятые минимумы — 2048 бит RSA или 256 бит на эллиптических кривых (EC). Эта проверка проходит при этих размерах или выше и проваливается ниже них. Хорошо выглядит так: RSA 2048 бит (или 4096 бит) либо EC-ключ 256 бит вроде P-256 — снова значение по умолчанию на современных бесплатных сертификатах.

Замечание о последних трёх: корректность-и-доверие — критическая часть, ведущая к странице предупреждения. Сила подписи и ключа касаются задела на будущее и аудитов — недавний бесплатный сертификат почти всегда проходит их автоматически, но это то, что проверит проверка безопасности, так что их стоит сделать правильно.

Как это исправить (бесплатно, ~15 минут)

Передайте этот раздел тому, кто ведёт ваш сайт или хостинг, — исправление бесплатно. Корректный, сильный, автопродлевающийся сертификат не стоит ничего через Let’s Encrypt или любой современный хостинг. Мы берём плату только за мониторинг того, что состояние остаётся исправным со временем, а не за исправление. Если у вас нет ИТ-специалиста, заметки по платформам ниже доведут большинство владельцев до цели.

Шаг 1 — Получите (или замените) сертификат на бесплатный, доверенный. Этот один шаг чинит корректность, подпись и силу ключа разом, потому что современные бесплатные сертификаты используют SHA-256 и сильные ключи по умолчанию.

• Cloudflare: в SSL/TLS → Overview установите режим Full (Strict). Cloudflare выпускает и автопродлевает доверенный краевой сертификат за вас; убедитесь, что ваш сервер-источник тоже имеет корректный сертификат, чтобы «Strict» работал.
• Хостинг при Google Workspace / Microsoft 365 или любой хост на cPanel: найдите SSL/TLS Status и запустите AutoSSL. Он выдаёт и продлевает бесплатные сертификаты автоматически.
• Конструкторы сайтов (Squarespace, Wix, Shopify, современные хосты WordPress): SSL обычно включён по умолчанию — убедитесь, что он включён в настройках домена/безопасности и что он покрывает и вашбизнес.com, и www.вашбизнес.com.
• Собственный Linux-сервер (Nginx/Apache): установите Let’s Encrypt через Certbot — sudo certbot --nginx -d вашбизнес.com -d www.вашбизнес.com (или --apache). Для современного EC-ключа добавьте --key-type ecdsa. Перечислите каждое имя хоста, которое вы обслуживаете, через -d, чтобы сертификат соответствовал им всем.

Шаг 2 — Сделайте продление автоматическим, чтобы он больше никогда не истёк. Это шаг, предотвращающий сценарий отключения на выходных.

• На сервере с Let’s Encrypt убедитесь, что таймер продления активен, и протестируйте его: sudo certbot renew --dry-run. Certbot обычно устанавливает автоматический таймер; если нет, добавьте ежедневный cron-job: 0 3 * * * certbot renew --quiet.
• На Cloudflare, cPanel AutoSSL и управляемых хостингах/конструкторах продление обрабатывается за вас — планировать нечего.

Шаг 3 — Убедитесь, что он покрывает правильные имена. Самая частая причина «корректен, но предупреждает» — несоответствие имени. Сертификат должен покрывать каждое имя хоста, которое реально используют клиенты, — голый домен, www и любые поддомены вроде shop. или app.. При генерации сертификата включите каждое (подстановочный знак вроде *.вашбизнес.com покрывает все поддомены разом).

Шаг 4 — Если помечена только подпись или сила ключа, просто перевыпустите. Покупать ничего не нужно: сгенерируйте свежий сертификат (Шаг 1), и новый автоматически использует SHA-256 и сильный ключ. На собственном сервере можно явно задать современный ключ — например, openssl ecparam -genkey -name prime256v1 -out server.key для EC или openssl genrsa -out server.key 4096 для RSA — затем перевыпустить.

Шаг 5 — Проверьте, затем перепроверьте здесь. Подтвердите даты, издателя и ключ быстрой командой — echo | openssl s_client -servername вашбизнес.com -connect вашбизнес.com:443 2>/dev/null | openssl x509 -noout -dates -issuer -subject — затем перезапустите эту проверку.

Частые ошибки

• Считать «мы один раз установили SSL» завершённым. Сертификаты истекают по часам. Без автопродления вопрос не если он истечёт, а когда — обычно в наименее удобный момент.
• Покрыть www, но не голый домен (или наоборот). Оба должны быть в сертификате, иначе один из них выдаёт предупреждение о несоответствии имени. Та же ловушка ловит новые поддомены, добавленные позже.
• Оставить самоподписанный сертификат на «тестовом» поддомене, который на самом деле публичный. Он шифрует, поэтому кажется безопасным, — но браузеры (и сканеры безопасности) считают его недоверенным, и это классический красный флаг для аудита.
• Считать, что платное значит безопаснее. Бесплатный сертификат Let’s Encrypt ровно так же доверен и зашифрован, как дорогой. Плата побольше не делает замок крепче.
• Продлить сертификат, но забыть перезагрузить сервер. Новый сертификат, лежащий на диске, ничего не делает, пока веб-сервер не перезагрузят, чтобы его подхватить, — на удивление частая причина «я продлил, а он всё ещё показывает истёкший».
• Автопродление, тихо сломавшееся. Job продления может сломаться (переехавший файл, изменение DNS, заблокированный порт) и продолжать тихо «преуспевать». Мониторинг даты истечения — а не только job продления — это то, что реально ловит это до того, как укусит.

Частые вопросы