Defaults.Exposed › Виправлення › TLS certificate health

Як виправити TLS certificate health

Ваш SSL/TLS-сертифікат — це цифрове посвідчення особи, що підтверджує відвідувачу: він спілкується саме з вашим сайтом, а не з самозванцем. Ця перевірка розглядає, чи є сертифікат дійсним і довіреним, чи не закінчується незабаром і чи побудований на сучасній криптографії.

Висновок для вашого бізнесу: Зламаний або прострочений сертифікат замінює ваш сайт повноекранним червоним попередженням 'Ваше з'єднання не є приватним' у кожному браузері. Більшість відвідувачів негайно іде і не повертається — онлайн-продажі зупиняються, реєстрації зупиняються, а з'єднання, що мало бути приватним, може тихо перехоплюватися.

Що це може вам коштувати

Ваш сертифікат тихо закінчується у вихідні; до понеділка кожен відвідувач бачить попередження безпеки на весь екран, ваші форми оформлення замовлення і контакту мертві, і ви втрачаєте продажі за кожну годину, поки помічаєте і поновлюєте.
Клієнт, що платить у кафе або готелі через Wi-Fi, отримує попередження, що ваш сертифікат не відповідає вашому домену — він вирішує, що сайт підроблений або зламаний, відмовляється від покупки і каже іншим, що він «виглядав підозріло».
IT-відділ великого клієнта виконує перевірку безпеки перед підписанням контракту, бачить самопідписаний або ненадійний сертифікат і позначає вас як ризик — угода зависає через те, що нічого не коштує виправити.
Ваш сертифікат використовує застарілий метод підпису або слабкий ключ; сучасні браузери починають показувати попередження про нього, і аудит безпеки ставить вам мінус за криптографію, що вже кілька років як не рекомендована.
Ви приймаєте карткові платежі і ваш платіжний провайдер повторно перевіряє вас; слабкий ключ або прострочений сертифікат порушує правила платіжної безпеки, і ваша онлайн-каса заблокована до виправлення.

Чому це важливо. Сертифікат — це найбільш видима частина безпеки вашого сайту. Коли він справний — він невидимий; коли він ламається — це виводить весь ваш сайт з ладу з жахливим попередженням, що женить клієнтів прямо до конкурентів. Закінчення терміну дії сертифіката — найпоширеніша причина несподіваних відключень сайту, і воно повністю запобіжне. Отримання дійсного сертифіката безкоштовне, а підтримання його здоров'я здебільшого полягає в тому, щоб дозволити йому автоматично поновлюватися.

Що це таке — простими словами

Коли хтось відвідує ваш сайт, повинні статися дві речі, щоб він почувався безпечно, вводячи пароль або номер картки. По-перше, з’єднання має бути зашифрованим, щоб сторонні не могли його прочитати. По-друге — і це та частина, яку люди забувають — браузер відвідувача має бути впевнений, що на іншому кінці справді ваш сайт, а не самозванець, що встановив переконливу підробку. Обидві завдання виконує ваш TLS-сертифікат (часто його називають «SSL-сертифікатом»).

Думайте про нього як про захищене від підробки посвідчення особи вашого домену. Визнаний центр видає його, воно штамповано вашим доменним ім’ям і датою закінчення терміну дії та несе криптографічний ключ, що шифрує з’єднання. Коли все перевіряється, браузер показує замок і ваш сайт завантажується нормально. Коли щось не так з посвідченням, браузер робить протилежне заспокоєнню вашого відвідувача — виводить на весь екран попередження, що говорить, по суті: «цей сайт може бути небезпечним».

Ця перевірка розглядає здоров’я цього посвідчення за чотирма аспектами, кожен з яких незалежно його ламає:

Чи дійсне і довірене воно? — видане визнаним центром, відповідає точному домену, не самопідписане і не прострочене.
Чи не закінчується незабаром? — бо сертифікат, що закінчився, виводить весь ваш сайт з ладу.
Чи підписане сильним методом? — старі алгоритми підпису можуть бути підроблені.
Чи достатньо сильний його ключ? — слабкий ключ може в принципі бути зламаний.

Хороша новина відразу: отримання справного сертифіката безкоштовне, а підтримання його справності — це здебільшого дозволити йому поновлюватися автоматично, щоб жодна людина не мала пам’ятати.

Що це може коштувати вам

Відключення на вихідних. Сертифікат тихо досягає дати закінчення терміну пізно в п’ятницю. Поновлення, що мало запуститися, не запустилося. До суботи вранці кожен відвідувач — і кожен сканер Google — бачить повноекранне червоне попередження замість вашої головної сторінки. Ваш магазин закритий, і ви навіть не знаєте про це.
Покинутий кошик. Клієнт купує з телефону через готельний Wi-Fi. Ваш сертифікат не зовсім відповідає домену, який вони ввели. Браузер попереджає їх, що сайт «може видавати себе за» ваш. Для нетехнічного покупця це читається як шахрайство — вони закривають вкладку, а ви ніколи не дізнаєтесь, що продаж існував.
Зависла угода. Група безпеки більшого потенційного партнера проводить рутинне сканування перед підписанням. Воно повертається з показом самопідписаного або ненадійного сертифіката на одному з ваших поддоменів. Навіть якщо все інше в порядку, той єдиний тривожний сигнал перетворює швидке схвалення на листування, що затримує угоду.
Повільне попередження. Ваш сертифікат технічно дійсний, але підписаний SHA-1, застарілим методом, від якого браузери відходять. Після одного оновлення браузера частина ваших відвідувачів починає бачити попередження, які ви не можете відтворити на своїй власній актуальній машині.
Невідповідність вимогам. Ви приймаєте карткові платежі. Під час повторної перевірки провайдер виявляє слабкий ключ або сертифікат, що закінчився. Правила карткової безпеки вимагають сильного, актуального шифрування — тому ваші онлайн-платежі призупиняються до повторного видання сертифіката.

Що це насправді є (чотири частини)

Сертифікат може бути нездоровим чотирма різними способами, і ця сторінка охоплює всі. Кожен — це окрема перевірка «під капотом», але для вас вони всі означають «чи гаразд мій сертифікат?»

1. Дійсний і довірений

Це основне — і єдина частина здоров’я сертифіката, що є критичною перевіркою з найбільшою вагою. Сертифікат є «дійсним і довіреним» лише коли все це правда:

Він виданий визнаним центром сертифікації, якому браузери вже довіряють (Let’s Encrypt, DigiCert, Sectigo, Google, Amazon тощо).
Він відповідає точному домену, який використовує відвідувач, включно з поддоменами.
Він не є самопідписаним — тобто не тим, який ви видали собі.
Він зараз в межах свого часового вікна — не прострочений і не (хоча трапляється) датований початком у майбутньому.
Його ланцюг довіри є цілим — центр, що його підписав, сам є довіреним, аж до самого кореня.

Якщо хоч один з цих пунктів не виконується, браузери показують жахливу сторінку «Ваше з’єднання не є приватним».

2. Не закінчується незабаром

Кожен сертифікат має тверду дату закінчення. Безкоштовні зазвичай тривають 90 днів; платні часто рік. Після цієї дати довіра миттєво зникає — пільгового терміну немає. Ця перевірка вимірює, скільки днів залишилось:

Якщо він вже прострочений або закінчується менш ніж через 7 днів — це критично.
Якщо він закінчується протягом 30 днів і не керується автоматично — це попередження.
Якщо він від провайдера з автоматичним поновленням (Let’s Encrypt, Cloudflare, Google, Amazon, ZeroSSL) з принаймні тижнем, що залишився — він проходить.

Добре виглядає: керований автоматично сертифікат, що поновлюється сам, без втручання людини.

3. Сильний алгоритм підпису

Кожен сертифікат «підписаний» криптографічним алгоритмом. Старі алгоритми — MD5 і SHA-1 — виявилися придатними для підробки. Ця перевірка проходить, коли сертифікат використовує сильний, сучасний підпис: SHA-256 або краще (SHA-384, SHA-512), сучасний ECDSA або Ed25519/Ed448.

4. Сильний ключ

Сертифікат несе криптографічний ключ, що здійснює фактичне шифрування. Якщо ключ занадто короткий, сучасна обчислювальна потужність може зламати його, дозволяючи зловмиснику видавати себе за ваш сайт або розшифровувати трафік. Прийняті мінімуми: RSA 2048 біт або 256-бітний еліптичний криптографічний ключ (EC).

Як це виправити (безкоштовно, ~15 хвилин)

Передайте цей розділ тому, хто керує вашим сайтом або хостингом — виправлення безкоштовне. Дійсний, сильний, автоматично поновлюваний сертифікат нічого не коштує через Let’s Encrypt або будь-який сучасний хост. Ми беремо плату лише за моніторинг того, що він залишається справним з часом.

Крок 1 — Отримайте (або замініть) сертифікат безкоштовним, довіреним. Цей єдиний крок виправляє дійсність, алгоритм підпису і силу ключа одночасно, бо сучасні безкоштовні сертифікати за замовчуванням використовують SHA-256 і сильні ключі.

Cloudflare: в SSL/TLS → Overview встановіть режим на Full (Strict). Cloudflare видає і автоматично поновлює довірений пограничний сертифікат; переконайтеся, що ваш сервер-джерело також має дійсний сертифікат.
Google Workspace / Microsoft 365 хостинг або будь-який cPanel-хост: знайдіть SSL/TLS Status і запустіть AutoSSL.
Конструктори сайтів (Squarespace, Wix, Shopify, сучасні WordPress-хости): SSL зазвичай увімкнено за замовчуванням — підтвердіть це в налаштуваннях домену/безпеки.
Ваш власний Linux-сервер (Nginx/Apache): встановіть Let’s Encrypt з Certbot — sudo certbot --nginx -d yourbiz.com -d www.yourbiz.com (або --apache).

Крок 2 — Зробіть поновлення автоматичним, щоб воно ніколи не закінчувалось знову. Це крок, що запобігає сценарію відключення на вихідних.

На сервері Let’s Encrypt підтвердіть, що таймер поновлення активний: sudo certbot renew --dry-run.
На Cloudflare, cPanel AutoSSL і керованих хостах поновлення виконується за вас.

Крок 3 — Переконайтеся, що він охоплює правильні імена. Сертифікат повинен охоплювати кожне ім’я хоста, яким фактично користуються клієнти — голий домен, www і будь-які поддомени.

Крок 4 — Якщо позначено лише алгоритм підпису або сила ключа, просто перевидайте. Вам не потрібно нічого купувати: згенеруйте новий сертифікат (Крок 1), і новий автоматично використовуватиме SHA-256 і сильний ключ.

Крок 5 — Перевірте, потім повторно перевірте тут.

Поширені помилки

Ставитися до «ми колись встановили SSL» як до завершення. Сертифікати закінчуються за таймером. Без автоматичного поновлення питання не в тому, чи закінчиться — а в тому, коли, зазвичай у найменш зручний момент.
Охоплювати www, але не голий домен (або навпаки). Обидва мають бути на сертифікаті, або один з них дає попередження про невідповідність імені.
Залишати самопідписаний сертифікат на «тестовому» поддомені, що фактично публічний. Він шифрує, тому відчувається безпечним — але браузери (і сканери безпеки) вважають його ненадійним.
Припускати, що платний означає безпечніший. Безкоштовний сертифікат Let’s Encrypt так само довірений і зашифрований, як дорогий.
Поновлювати сертифікат, але забувати перезавантажити сервер. Новий сертифікат на диску нічого не робить, поки веб-сервер не буде перезавантажено.
Автоматичне поновлення, що тихо дало збій. Завдання поновлення може зламатися і продовжувати «успішно виконуватися» тихо. Моніторинг дати закінчення — а не лише завдання поновлення — це те, що насправді виявляє це до того, як воно вкусить.

FAQ

Я не технічний фахівець — чи можу я впоратися з цим самостійно?

Вам не потрібно розуміти криптографію. Дійсний сертифікат безкоштовний (через Let's Encrypt і більшість сучасних хостів) і на керованому хостингу зазвичай автоматичний. Передайте розділ «Як це виправити» тому, хто керує вашим сайтом або хостингом — для переважної більшості бізнесів це швидка, безкоштовна робота, а не покупка.

Мій сайт показує замок — хіба це не означає, що мій сертифікат гаразд?

Замок означає лише те, що прямо зараз існує захищене з'єднання. Він не говорить вам, що сертифікат ось-ось закінчиться, що він побудований на сильному ключі або що він буде довіреним браузерами завтра. Ця перевірка дивиться поза замком на чотири речі, що фактично підтримують його: чи є сертифікат дійсним і довіреним, чи закінчується незабаром, чи підписаний сильним алгоритмом і чи достатньо сильний його ключ.

Чи потрібно мені платити за SSL-сертифікат?

Ні. Безкоштовні сертифікати від Let's Encrypt (і вбудовані в Cloudflare, cPanel AutoSSL та більшість сучасних хостів) довіряються кожним браузером і так само безпечні, як платні. Платні сертифікати здебільшого купують контракти підтримки, гарантії або значки розширеної перевірки — жодне з цього не впливає на те, чи зашифрований або довірений ваш сайт. Ми ніколи не беремо плату за виправлення; ми беремо плату лише за моніторинг того, що він залишається справним.

Як сертифікат може 'закінчитися' і чому це виводить мій сайт з ладу?

Кожен сертифікат має фіксовану дату закінчення (часто 90 днів для безкоштовних). Після цієї дати браузери відмовляються довіряти йому і показують попередження на весь екран замість вашого сайту. Це не поступовий спад — він прекрасно працює до дедлайну, потім повністю ламається. Саме тому автоматичне поновлення так важливо: воно усуває людину, яка інакше б забула.

Що таке 'самопідписаний' сертифікат і чому він не проходить перевірку?

Самопідписаний сертифікат — той, який ви видали собі, а не від визнаного центру. Він шифрує з'єднання, але ніщо не підтверджує, що ви справді той, за кого себе видаєте — тому браузери вважають його ненадійним і попереджають відвідувачів, точно так само, як вони б попередили про підроблений сертифікат зловмисника. Для публічного сайту вам завжди потрібен сертифікат від довіреного центру, що безкоштовно.

Що 'слабкий ключ' і 'слабкий алгоритм підпису' насправді означають для мого бізнесу?

Обидва — це способи, якими сертифікат може бути технічно дійсним сьогодні, але криптографічно крихким. Слабкий ключ (менше 2048-бітного RSA або 256-бітного EC) може в принципі бути зламаний, дозволяючи зловмиснику видавати себе за ваш сайт. Слабкий підпис (SHA-1 або MD5) може бути підроблений для створення переконливого фальшивого сертифіката. Сучасні безкоштовні сертифікати за замовчуванням використовують сильні ключі і підписи, тому виправлення майже завжди — лише повторне видання без витрат.