Як встановити SSL сертифікат на вашому хостингу: повний покроковий посібник

Захист вашого веб-сайту за допомогою SSL-сертифіката більше не є опціональним — це фундаментальна вимога для будь-якої серйозної онлайн-присутності. SSL (Secure Sockets Layer) шифрує дані, які обмінюються між вашим веб-сервером і відвідувачами, захищаючи конфіденційну інформацію, таку як облікові дані для входу, деталі платежів та персональні дані від перехоплення. Крім безпеки, SSL безпосередньо впливає на вашу SEO-продуктивність: Google підтвердив HTTPS як сигнал рейтингу, що означає, що незашифровані сайти активно штрафуються в результатах пошуку.

Цей комплексний посібник проведе вас через кожен етап встановлення SSL — від вибору правильного типу сертифіката до примусового HTTPS та вирішення проблем змішаного вмісту — щоб ваш веб-сайт залишався безпечним, надійним і конкурентоспроможним.

Що таке SSL-сертифікат і чому це важливо?

SSL-сертифікат — це невеликий цифровий файл, який криптографічно пов’язує криптографічний ключ з деталями вашої організації. Після встановлення на веб-сервер він активує значок замка в адресному рядку браузера та включає протокол HTTPS. Без нього сучасні браузери, такі як Chrome і Firefox, позначають ваш сайт як “Небезпечний”, що негайно підриває довіру відвідувачів і коефіцієнти конверсії.

Ключові переваги встановлення SSL включають:

• Шифрування даних: Весь зв’язок між сервером і браузером шифрується і нечитаний для третіх осіб.
• Аутентифікація: Відвідувачі можуть перевірити, що вони спілкуються з законним веб-сайтом, а не з підробником.
• SEO-переваги: Google надає пріоритет сайтам HTTPS в органічних результатах пошуку.
• Відповідність: Багато нормативних актів про захист даних (GDPR, PCI-DSS) вимагають шифрованої передачі даних.
• Довіра користувачів: Значок замка підвищує впевненість, особливо на сторінках електронної комерції та входу.

Якщо ви ще не захистили своє хостинг-середовище, дослідіть SSL-сертифікати AlexHost для доступних варіантів, сумісних з усіма основними планами хостингу.

Крок 1: Виберіть правильний SSL-сертифікат для своїх потреб

Не всі SSL-сертифікати однакові. Вибір відповідного типу залежить від призначення вашого веб-сайту, аудиторії та рівня довіри, який вам потрібно встановити.

Domain Validation (DV) SSL

• Рівень валідації: Підтверджує лише те, що ви контролюєте домен.
• Час видачі: Хвилини до кількох годин.
• Найкраще для: Особистих блогів, невеликих інформаційних веб-сайтів та середовищ розробки.
• Приклади постачальників: Let’s Encrypt (безплатно), Comodo, Sectigo.

Organization Validation (OV) SSL

• Рівень валідації: Перевіряє власність домену *та* підтверджує існування вашої організації.
• Час видачі: 1–3 робочих дні.
• Найкраще для: Веб-сайтів компаній, корпоративних порталів та постачальників професійних послуг.
• Індикатор довіри: Назва організації видима в деталях сертифіката.

Extended Validation (EV) SSL

• Рівень валідації: Найвищий доступний — вимагає ретельної перевірки юридичного, фізичного та операційного існування.
• Час видачі: 3–7 робочих днів.
• Найкраще для: Магазинів електронної комерції, фінансових установ, платформ охорони здоров’я.
• Індикатор довіри: Назва компанії відображається помітно в адресному рядку браузера (у підтримуваних браузерах).

Wildcard та Multi-Domain SSL

• Wildcard SSL: Захищає первинний домен та всі його поддомени (наприклад, *.example.com).
• Multi-Domain (SAN) SSL: Захищає кілька окремих доменів під одним сертифікатом.

> Професійна порада: Якщо ви керуєте веб-сайтом компанії і хочете максимальної надійності, сертифікати OV або EV варті інвестицій. Для особистих проектів або середовищ staging сертифікати DV від Let’s Encrypt цілком адекватні і абсолютно безплатні.

Крок 2: Створіть запит на підпис сертифіката (CSR)

Запит на підпис сертифіката (CSR) — це закодований блок тексту, що містить інформацію про ваш домен та організацію. Ви подаєте це своєму центру сертифікації SSL (CA), який використовує його для створення вашого сертифіката.

Як створити CSR у cPanel

1. Увійдіть у вашу панель керування хостингом (cPanel, Plesk, DirectAdmin або користувацька панель).
2. Перейдіть до Security → SSL/TLS.
3. Натисніть Certificate Signing Requests (CSR).
4. Заповніть необхідні поля:

1. Натисніть Generate і збережіть як CSR, так і приватний ключ — вони вам знадобляться пізніше.

Як створити CSR через командний рядок (Linux-сервери)

Для адміністраторів, які керують VPS або Dedicated Server, створення CSR через OpenSSL дає вам повний контроль:

Вам буде запропоновано інтерактивно ввести деталі вашої організації. Після завершення у вас будуть два файли:

• domain.key — Ваш приватний ключ (зберігайте його в безпеці і ніколи не діліться ним).
• domain.csr — Ваш CSR для подання до центру сертифікації.

> Попередження про безпеку: Ніколи не діліться файлом приватного ключа з кимось, включаючи вашого постачальника SSL. Зовні подається лише CSR.

Крок 3: Отримайте свій SSL-сертифікат

Варіант A: Придбайте комерційний SSL-сертифікат

1. Відвідайте вибраного вами постачальника SSL (Comodo, DigiCert, Sectigo, GlobalSign тощо).
2. Виберіть тип сертифіката та вставте ваш CSR у форму замовлення.
3. Завершіть валідацію домену (та валідацію організації, якщо застосовується).
4. Завантажте видані файли сертифіката — зазвичай файл .crt та пакет проміжного/ланцюгового сертифіката (.ca-bundle або .pem).

Варіант B: Отримайте безплатний SSL-сертифікат через Let’s Encrypt

Let’s Encrypt — це безплатний, автоматизований та відкритий центр сертифікації, якому довіряють усі основні браузери. Більшість сучасних панелей керування хостингом інтегрують Let’s Encrypt нативно.

У cPanel:

1. Перейдіть до Security → SSL/TLS Status.
2. Виберіть ваш домен(и) і натисніть Run AutoSSL.
3. cPanel автоматично видасть та встановить сертифікат Let’s Encrypt.

Через Certbot на Linux (VPS/Dedicated Server):

Certbot автоматично налаштує ваш веб-сервер і встановить автоматичне поновлення.

Крок 4: Встановіть SSL-сертифікат на ваш хостинг

Встановлення SSL через cPanel

1. Увійдіть у cPanel і перейдіть до Security → SSL/TLS.
2. Натисніть Manage SSL Sites у розділі *Install and Manage SSL for your site (HTTPS)*.
3. Виберіть ваш домен із спадного меню.
4. Вставте вміст ваших файлів сертифіката у відповідні поля:

• Certificate (CRT): Вставте вміст вашого файлу domain.crt.
• Private Key (KEY): Вставте вміст вашого файлу domain.key.
• Certificate Authority Bundle (CABUNDLE): Вставте ланцюг проміжного сертифіката.

1. Натисніть Install Certificate.

Якщо ви використовуєте VPS з cPanel, цей процес ідентичний і повністю підтримується з коробки.

Встановлення SSL через Plesk

1. Увійдіть у Plesk і перейдіть до Websites & Domains.
2. Виберіть ваш домен і натисніть SSL/TLS Certificates.
3. Натисніть Add SSL/TLS Certificate.
4. Введіть назву сертифіката, вставте ваш CSR та приватний ключ, потім натисніть Request.
5. Після видачі сертифіката повертайтеся до цього розділу, виберіть сертифікат і натисніть Install.

Встановлення SSL на Apache (ручне встановлення)

Для користувачів VPS або dedicated server, які керують Apache безпосередньо:

1. Завантажте ваші файли сертифіката на сервер (наприклад, /etc/ssl/certs/ для сертифіката та /etc/ssl/private/ для ключа).

1. Відредагуйте конфігурацію віртуального хоста Apache:

1. Включіть модуль SSL і перезавантажте Apache:

Встановлення SSL на Nginx (ручне встановлення)

Для серверів Nginx на Dedicated Server або VPS:

1. Об’єднайте ваш сертифікат та проміжний ланцюг в один файл:

1. Відредагуйте конфігурацію блоку сервера Nginx:

1. Протестуйте конфігурацію та перезавантажте Nginx:

Крок 5: Перевірте встановлення SSL

Після встановлення підтвердіть, що ваш сертифікат правильно розгорнутий, перш ніж оголошувати зміну користувачам.

Перевірка браузером

1. Відкрийте ваш веб-сайт, використовуючи https://yourdomain.com у браузері.
2. Натисніть на значок замка в адресному рядку.
3. Виберіть Certificate (або *Connection is secure → Certificate is valid*).
4. Перевірте, що:

• Назва домену відповідає вашому сайту.
• Сертифікат видано надійним CA.
• Дата закінчення терміну дії правильна.

Онлайн-інструменти перевірки SSL

Використовуйте ці безплатні інструменти для комплексного технічного аудиту:

Оцінка A або A+ на SSL Labs вказує на відмінну конфігурацію.

Крок 6: Примусьте HTTPS — перенаправте весь трафік HTTP на HTTPS

Встановлення SSL не автоматично перенаправляє відвідувачів з http://yourdomain.com на https://yourdomain.com. Ви повинні налаштувати перенаправлення на стороні сервера, щоб примусово застосувати HTTPS універсально.

Метод 1: Apache .htaccess перенаправлення

Додайте наступне до вашого файлу .htaccess у кореневій папці веб-сайту:

Метод 2: Перенаправлення блоку сервера Nginx

Метод 3: Сайти WordPress

Для WordPress оновіть ваші URL-адреси та примусово застосуйте HTTPS через кілька шарів:

1. Оновіть URL-адреси WordPress:

• Перейдіть до Settings → General.
• Змініть як *WordPress Address (URL)*, так і *Site Address (URL)* з http://yourdomain.com на https://yourdomain.com.
• Натисніть Save Changes.

1. Використовуйте плагін:

• Встановіть Really Simple SSL — він автоматично виявляє ваш SSL-сертифікат і налаштовує перенаправлення HTTPS одним натисканням.
• Крім того, використовуйте WP Force SSL для більш детального контролю.

1. Оновіть wp-config.php (для просунутих користувачів):

Крок 7: Виправте проблеми змішаного вмісту

Змішаний вміст виникає, коли сторінка HTTPS завантажує ресурси (зображення, скрипти, таблиці стилів, iframe) через HTTP. Це порушує значок замка і викликає попередження про безпеку браузера, підриваючи довіру, яку SSL має встановити.

Виявлення змішаного вмісту

• DevTools браузера: Відкрийте Chrome DevTools (F12) → вкладка Console. Попередження про змішаний вміст з’являються як жовті або червоні сповіщення.
• Why No Padlock: Введіть вашу URL-адресу на whynopadlock.com для детального звіту.
• SSL Labs: Повний звіт позначає проблеми змішаного вмісту.

Виправлення змішаного вмісту

1. Оновіть жорстко закодовані HTTP-посилання в HTML/шаблонах:

Пошукайте у файлах теми, шаблонах та HTML http:// і замініть на https://.

2. Оновіть URL-адреси бази даних (WordPress):

Використовуйте плагін Better Search Replace або запустіть цю команду WP-CLI:

3. Використовуйте директиву оновлення Content Security Policy (CSP):

Додайте це до конфігурації вашого сервера або .htaccess, щоб автоматично оновити небезпечні запити:

4. Виправте ресурси третіх сторін:

Для зовнішніх ресурсів (шрифти, скрипти, аналітика) переконайтеся, що ви завантажуєте їх через їхні URL-адреси HTTPS. Більшість основних CDN та сервісів нативно підтримують HTTPS.

Крок 8: Реалізуйте HTTP Strict Transport Security (HSTS)

Після того, як ви впевнені, що ваша установка HTTPS працює правильно, реалізуйте HSTS, щоб доручити браузерам *завжди* використовувати HTTPS для вашого домену — навіть якщо користувач вручну введе http://yourdomain.com.

Apache:

Nginx:

> Обережність: Включайте HSTS лише після того, як ви повністю привласнили HTTPS. Повернення до HTTP, поки HSTS активний, зробить ваш сайт недоступним для користувачів, чиї браузери кешували політику HSTS.

Після стабілізації подайте ваш домен до HSTS Preload List на hstspreload.org для максимального захисту.

Крок 9: Поновлення SSL-сертифіката та поточне обслуговування

SSL-сертифікати не є одноразовою установкою. Вони вимагають активного моніторингу та своєчасного поновлення, щоб уникнути переривань служби.

Графіки поновлення

Автоматизація поновлення Let’s Encrypt

Certbot автоматично встановлює завдання cron або таймер systemd. Перевірте, що він активний:

Найкращі практики моніторингу SSL

• Встановіть нагадування в календарі за 30 та 60 днів до закінчення терміну дії вашого сертифіката.
• Використовуйте інструменти моніторингу, такі як UptimeRobot або StatusCake, які пропонують сповіщення про закінчення SSL.
• Регулярно перевіряйте стан сертифіката через SSL Labs або панель керування вашого хостингу.
• Моніторьте журнали Certificate Transparency на crt.sh, щоб виявити несанкціоновані сертифікати, видані для вашого домену.

Вибір правильного хостингу для підтримки SSL