31.10.2024

Администрация

Защита

Как да инсталирате SSL сертификат на вашия хостинг: Пълно ръководство стъпка по стъпка

Защитата на вашия уебсайт с SSL сертификат вече не е опционална — това е основно изискване за всяко сериозно онлайн присъствие. SSL (Secure Sockets Layer) криптира данните, които се обменят между вашия уеб сървър и вашите посетители, защитавайки чувствителна информация като данни за вход, платежни детайли и лични данни от прихващане. Освен сигурност, SSL директно влияе на вашата SEO производителност: Google потвърди HTTPS като сигнал за класиране, което означава, че незашифрованите сайтове са активно наказани в резултатите от търсенето.

Това всеобхватно ръководство ви преведе през всеки етап на инсталацията на SSL — от избора на правилния тип сертификат до принудителното HTTPS и разрешаване на проблеми със смесено съдържание — така че вашият уебсайт остава защитен, надежден и конкурентоспособен.

Какво е SSL сертификат и защо е важно?

SSL сертификат е малък цифров файл, който криптографски свързва криптографски ключ с детайлите на вашата организация. След инсталирането на уеб сървър, той активира иконата на катинар в адресната лента на браузъра и включва протокола HTTPS. Без него, модерни браузъри като Chrome и Firefox обозначават вашия сайт като „Не е защитен”, което незабавно подкопава доверието на посетителите и процентите на конверсия.

Ключните предимства на инсталирането на SSL включват:

Криптиране на данни: Всички комуникации между сървър и браузър са криптирани и нечетливи за трети страни.
Удостоверяване: Посетителите могат да проверят, че общуват с легитимния уебсайт, а не с подражател.
SEO предимство: Google дава приоритет на HTTPS сайтове в органичните резултати от търсенето.
Съответствие: Много разпоредби за защита на данни (GDPR, PCI-DSS) изискват криптирана предача на данни.
Доверие на потребителя: Иконата на катинар увеличава увереността, особено на електронни търговски и страници за вход.

Ако още не сте защитили вашата хостинг среда, разгледайте SSL сертификатите на AlexHost за достъпни опции, съвместими със всички основни хостинг планове.

Стъпка 1: Изберете правилния SSL сертификат за вашите нужди

Не всички SSL сертификати са еднакви. Избирането на подходящия тип зависи от целта на вашия уебсайт, аудиторията и нивото на доверие, което трябва да установите.

Domain Validation (DV) SSL

Ниво на валидиране: Потвърждава само, че контролирате домейна.
Време на издаване: Минути до няколко часа.
Най-добре за: Лични блогове, малки информационни уебсайтове и среди за разработка.
Примери на доставчици: Let’s Encrypt (безплатно), Comodo, Sectigo.

Organization Validation (OV) SSL

Ниво на валидиране: Проверява собственост на домейна *и* потвърждава съществуването на вашата организация.
Време на издаване: 1–3 работни дни.
Най-добре за: Бизнес уебсайтове, портали на компании и доставчици на професионални услуги.
Индикатор на доверие: Име на организацията видимо в детайлите на сертификата.

Extended Validation (EV) SSL

Ниво на валидиране: Най-високото налично — изисква строго проверяване на правното, физическото и оперативното съществуване.
Време на издаване: 3–7 работни дни.
Най-добре за: Електронни търговски магазини, финансови институции, платформи за здравеопазване.
Индикатор на доверие: Име на компанията показано видимо в адресната лента на браузъра (в поддържаните браузъри).

Wildcard и Multi-Domain SSL

Wildcard SSL: Защитава основния домейн и всички негови поддомейни (напр. *.example.com).
Multi-Domain (SAN) SSL: Защитава множество различни домейни под един сертификат.

> Професионален съвет: Ако управлявате бизнес уебсайт и искате максимална надежност, OV или EV сертификатите си струват инвестицията. За лични проекти или среди за тестване, DV сертификатите на Let’s Encrypt са напълно адекватни и напълно безплатни.

Стъпка 2: Генериране на заявка за подписване на сертификат (CSR)

Заявката за подписване на сертификат (CSR) е кодиран блок текст, съдържащ информация за вашия домейн и организация. Вие го подавате на вашия SSL орган за издаване на сертификати (CA), който го използва, за да създаде вашия сертификат.

Как да генерирате CSR в cPanel

Влезте в вашия хостинг контролен панел (cPanel, Plesk, DirectAdmin или персонализиран панел).
Навигирайте до Security → SSL/TLS.
Кликнете на Certificate Signing Requests (CSR).
Попълнете необходимите полета:

Поле	Описание	Пример
Домейни	Домейнът/ите, които трябва да защитите	example.com
Град	Град на вашата организация	Sofia
Държава	Вашата държава или провинция	Sofia
Страна	Двубуквен ISO код на страната	BG
Компания	Законно име на организацията	Example Inc.
Отдел на компанията	Отдел (опционално)	IT
Имейл	Имейл на административния контакт	admin@example.com
Парола	Опционална парола за сигурност	Оставете празно в повечето случаи

Кликнете на Generate и запазете както CSR, така и частния ключ — ще ви трябват по-късно.

Как да генерирате CSR чрез командния ред (Linux сървъри)

За администратори, управляващи VPS или Dedicated Server, генерирането на CSR чрез OpenSSL ви дава пълен контрол:

openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr

Ще бъдете подканени да въведете детайлите на вашата организация интерактивно. След завършване, ще имате два файла:

yourdomain.key — Вашият частен ключ (пазете го защитен и никога не го споделяйте).
yourdomain.csr — Вашия CSR за подаване на органа за издаване на сертификати.

> Предупреждение за сигурност: Никога не споделяйте вашия файл с частния ключ с никого, включително вашия SSL доставчик. Само CSR се подава външно.

Стъпка 3: Получаване на вашия SSL сертификат

Опция A: Закупуване на търговски SSL сертификат

Посетете вашия избран SSL доставчик (Comodo, DigiCert, Sectigo, GlobalSign и т.н.).
Изберете вашия тип сертификат и поставете вашия CSR в формуляра за поръчка.
Завършете валидирането на домейна (и валидирането на организацията, ако е приложимо).
Изтеглете издадените файлове на сертификата — обикновено файл .crt и пакет с междинен/верижен сертификат (.ca-bundle или .pem).

Опция B: Получаване на безплатен SSL сертификат чрез Let’s Encrypt

Let’s Encrypt е безплатен, автоматизиран и отворен орган за издаване на сертификати, надежден от всички основни браузъри. Повечето модерни хостинг контролни панели интегрират Let’s Encrypt нативно.

В cPanel:

Отидете на Security → SSL/TLS Status.
Изберете вашия/ите домейн/и и кликнете на Run AutoSSL.
cPanel автоматично ще издаде и инсталира сертификат на Let’s Encrypt.

Чрез Certbot на Linux (VPS/Dedicated Server):

# Install Certbot
sudo apt update
sudo apt install certbot python3-certbot-apache  # For Apache
sudo apt install certbot python3-certbot-nginx   # For Nginx

# Issue and install certificate
sudo certbot --apache -d yourdomain.com -d www.yourdomain.com
# Or for Nginx:
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com

Certbot автоматично ще конфигурира вашия уеб сървър и ще настрои автоматично подновяване.

Стъпка 4: Инсталиране на SSL сертификата на вашия хостинг

Инсталиране на SSL чрез cPanel

Влезте в cPanel и навигирайте до Security → SSL/TLS.
Кликнете на Manage SSL Sites под раздела *Install and Manage SSL for your site (HTTPS)*.
Изберете вашия домейн от падащото меню.
Поставете съдържанието на вашите файлове на сертификата в съответните полета:

Certificate (CRT): Поставете съдържанието на вашия .crt файл.
Private Key (KEY): Поставете съдържанието на вашия .key файл.
Certificate Authority Bundle (CABUNDLE): Поставете верижния сертификат на междинния орган.

Кликнете на Install Certificate.

Ако използвате VPS с cPanel, този процес е идентичен и напълно поддържан от кутията.

Инсталиране на SSL чрез Plesk

Влезте в Plesk и отидете на Websites & Domains.
Изберете вашия домейн и кликнете на SSL/TLS Certificates.
Кликнете на Add SSL/TLS Certificate.
Въведете име на сертификата, поставете вашия CSR и частния ключ, след това кликнете на Request.
След издаването на сертификата, върнете се в този раздел, изберете сертификата и кликнете на Install.

Инсталиране на SSL на Apache (ръчна инсталация)

За VPS или потребители на dedicated server, управляващи Apache директно:

Качете вашите файлове на сертификата на сървъра (напр. /etc/ssl/certs/ за сертификата и /etc/ssl/private/ за ключа).

Редактирайте вашата конфигурация на виртуален хост на Apache:

<VirtualHost *:443>
    ServerName yourdomain.com
    ServerAlias www.yourdomain.com
    DocumentRoot /var/www/html

    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/yourdomain.crt
    SSLCertificateKeyFile /etc/ssl/private/yourdomain.key
    SSLCertificateChainFile /etc/ssl/certs/yourdomain.ca-bundle

    # Recommended security headers
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
    Header always set X-Content-Type-Options nosniff
    Header always set X-Frame-Options SAMEORIGIN
</VirtualHost>

Включете SSL модула и рестартирайте Apache:

sudo a2enmod ssl
sudo a2enmod headers
sudo systemctl restart apache2

Инсталиране на SSL на Nginx (ръчна инсталация)

За Nginx сървъри на Dedicated Server или VPS:

Комбинирайте вашия сертификат и междинния верижен сертификат в един файл:

cat yourdomain.crt yourdomain.ca-bundle > yourdomain_combined.crt

Редактирайте вашата конфигурация на Nginx server block:

server {
    listen 443 ssl http2;
    server_name yourdomain.com www.yourdomain.com;
    root /var/www/html;

    ssl_certificate /etc/ssl/certs/yourdomain_combined.crt;
    ssl_certificate_key /etc/ssl/private/yourdomain.key;

    # Modern SSL configuration
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 1d;

    # HSTS
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

Тестирайте конфигурацията и рестартирайте Nginx:

sudo nginx -t
sudo systemctl reload nginx

Стъпка 5: Проверка на инсталацията на SSL

След инсталирането, потвърдете, че вашият сертификат е правилно развернат, преди да съобщите промяната на потребителите.

Проверка на браузъра

Отворете вашия уебсайт, като използвате HTTPS в браузър.
Кликнете на иконата на катинар в адресната лента.
Изберете Certificate (или *Connection is secure → Certificate is valid*).
Проверете, че:

Името на домейна съответства на вашия сайт.
Сертификатът е издан от надежден CA.
Датата на изтичане е правилна.

Онлайн инструменти за проверка на SSL

Използвайте тези безплатни инструменти за всеобхватен технически одит:

Инструмент	URL	Какво проверява
SSL Labs	`ssllabs.com/ssltest`	Пълна TLS конфигурация, сила на шифъра, поддръжка на протокол
SSL Shopper	`sslshopper.com/ssl-checker.html`	Верига на сертификата, изтичане, съответствие на хоста
Why No Padlock	`whynopadlock.com`	Проблеми със смесено съдържание
DigiCert SSL Checker	`digicert.com/help`	Пълнота на инсталацията

Оценка на A или A+ на SSL Labs показва отлична конфигурация.

Стъпка 6: Принудително HTTPS — пренасочване на целия HTTP трафик към HTTPS

Инсталирането на SSL не автоматично пренасочва посетителите от HTTP към HTTPS. Трябва да конфигурирате пренасочвания на сървърната страна, за да принудите HTTPS универсално.

Метод 1: Apache .htaccess пренасочване

Добавете следното към вашия .htaccess файл в основната директория на уебсайта:

RewriteEngine On

# Redirect HTTP to HTTPS
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Optional: Force non-www to www (or vice versa)
RewriteCond %{HTTP_HOST} ^yourdomain.com [NC]
RewriteRule ^(.*)$ https://www.yourdomain.com/$1 [L,R=301]

Метод 2: Nginx Server Block пренасочване

server {
    listen 80;
    server_name yourdomain.com www.yourdomain.com;
    return 301 https://$host$request_uri;
}

Метод 3: WordPress сайтове

За WordPress, актуализирайте вашите URL адреси и принудете HTTPS чрез множество слоеве:

Актуализирайте WordPress URL адреси:

Отидете на Settings → General.
Променете както *WordPress Address (URL)*, така и *Site Address (URL)* от HTTP към HTTPS.
Кликнете на Save Changes.

Използвайте плъгин:

Инсталирайте Really Simple SSL — той автоматично открива вашия SSL сертификат и конфигурира HTTPS пренасочвания с един клик.
Алтернативно, използвайте WP Force SSL за по-детайлен контрол.

Актуализирайте wp-config.php (за напреднали потребители):

define('FORCE_SSL_ADMIN', true);
if (strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}

Стъпка 7: Отстранение на проблеми със смесено съдържание

Смесено съдържание възниква, когато HTTPS страница зарежда ресурси (изображения, скриптове, таблици със стилове, iframe) над HTTP. Това прекъсва иконата на катинар и активира предупреждения за сигурност на браузъра, подкопавайки доверието, което SSL трябва да установи.

Идентифициране на смесено съдържание

Browser DevTools: Отворете Chrome DevTools (F12) → раздел Console. Предупреждения за смесено съдържание се появяват като жълти или червени предупреждения.
Why No Padlock: Въведете вашия URL адрес на whynopadlock.com за подробен доклад.
SSL Labs: Пълният доклад отбелязва проблеми със смесено съдържание.

Отстранение на смесено съдържание

1. Актуализирайте твърдо кодирани HTTP връзки в HTML/шаблони:

Потърсете вашите файлове на темата, шаблони и HTML за HTTP и заменете с HTTPS.

2. Актуализирайте URL адреси на база данни (WordPress):

Използвайте плъгина Better Search Replace или изпълнете тази WP-CLI команда:

wp search-replace 'http://yourdomain.com' 'https://yourdomain.com' --skip-columns=guid

3. Използвайте директива за надстройка на политика за сигурност на съдържанието (CSP):

Добавете това към вашата конфигурация на сървъра или .htaccess, за да автоматично надстроите небезопасни заявки:

Header always set Content-Security-Policy "upgrade-insecure-requests"

4. Отстранете ресурси на трети страни:

За външни ресурси (шрифтове, скриптове, аналитика), уверете се, че ги зареждате чрез техните HTTPS URL адреси. Повечето основни CDN и услуги поддържат HTTPS нативно.

Стъпка 8: Внедряване на HTTP Strict Transport Security (HSTS)

След като сте уверени, че вашата HTTPS настройка работи правилно, внедрете HSTS, за да инструктирате браузърите да *винаги* използват HTTPS за вашия домейн — дори ако потребител въведе HTTP ръчно.

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

> Предупреждение: Включете HSTS само след като сте напълно ангажирани с HTTPS. Връщането към HTTP, докато HSTS е активен, ще направи вашия сайт недостъпен за потребители, чиито браузъри са кеширали политиката на HSTS.

След като е стабилна, подайте вашия домейн на HSTS Preload List на hstspreload.org за максимална защита.

Стъпка 9: Подновяване на SSL сертификата и текущо поддържане

SSL сертификатите не са еднократна настройка. Те изискват активно наблюдение и своевременно подновяване, за да се избегнат прекъсвания на услугата.

Графици на подновяване

Тип сертификат	Период на валидност	Препоръка за подновяване
Let’s Encrypt	90 дни	Автоматизирайте с Certbot cron работа
Търговски DV/OV/EV	1–2 години	Подновете 30 дни преди изтичане

Автоматизиране на подновяването на Let’s Encrypt

Certbot инсталира cron работа или systemd таймер автоматично. Проверете дали е активен:

# Check Certbot timer
sudo systemctl status certbot.timer

# Test renewal process (dry run)
sudo certbot renew --dry-run

Най-добри практики за наблюдение на SSL

Задайте напомняния в календара 30 и 60 дни преди изтичане на вашия сертификат.
Използвайте инструменти за наблюдение като UptimeRobot или StatusCake, които предлагат предупреждения за изтичане на SSL.
Проверете статуса на сертификата редовно чрез SSL Labs или вашия хостинг контролен панел.
Наблюдавайте дневници на прозрачност на сертифик

Спести 15% на всички хостинг услуги