🔒 HTTPS та SSL — налаштування безпечного з'єднання
📘 Чому HTTPS обов'язковий?
- 🔒 Шифрування даних — захист від перехоплення
- 🎯 SEO бонус — Google підвищує HTTPS-сайти в рейтингу
- ✅ Довіра користувачів — замок в адресному рядку
- ⚡ HTTP/2 підтримка — швидкість завантаження
- 🚫 Браузери позначають HTTP сайти як "Not Secure"
Частина 1: Типи SSL сертифікатів
| Тип | Валідація | Час отримання | Довіра | Ціна | Призначення |
|---|---|---|---|---|---|
| Domain Validation (DV) | Email підтвердження | 5-10 хвилин | Базова | $0-50/рік | Блоги, особисті сайти |
| Organization Validation (OV) | Документи компанії | 1-3 дні | Середня | $50-200/рік | Бізнес-сайти |
| Extended Validation (EV) | Повна перевірка | 1-2 тижні | Максимальна | $150-1000/рік | Банки, e-commerce |
| Wildcard SSL | DV/OV рівень | Залежить від типу | DV/OV | $100-500/рік | *.example.com (субдомени) |
| Let's Encrypt (DV) | Автоматична | 5 хвилин | Базова | ✅ Безкоштовно | Будь-які сайти |
Частина 2: Let's Encrypt — безкоштовні сертифікати
Встановлення Certbot (Ubuntu/Debian)
sudo apt update
sudo apt install certbot python3-certbot-apache # для Apache
sudo apt install certbot python3-certbot-nginx # для Nginx
Автоматичне налаштування для Apache
# Certbot автоматично налаштує SSL
sudo certbot --apache -d scientific-calculators.com -d www.scientific-calculators.com
# Certbot:
# 1) Створить SSL сертифікат
# 2) Змінить Apache конфігурацію
# 3) Налаштує редірект HTTP → HTTPS
✅ auto-renewal (автоматичне оновлення):
# Certbot додає cron job автоматично
sudo certbot renew --dry-run # тест renewal
# Сертифікати оновлюються кожні 60 днів (термін дії 90 днів)
Ручна конфігурація для Nginx
# 1) Отримати сертифікат (без авто-конфігурації)
sudo certbot certonly --nginx -d scientific-calculators.com -d www.scientific-calculators.com
# Сертифікати збережуться в:
# /etc/letsencrypt/live/scientific-calculators.com/fullchain.pem
# /etc/letsencrypt/live/scientific-calculators.com/privkey.pem
# /etc/nginx/sites-available/scientific-calculators.conf
# HTTP → HTTPS редірект
server {
listen 80;
server_name scientific-calculators.com www.scientific-calculators.com;
return 301 https://$host$request_uri;
}
# HTTPS сервер
server {
listen 443 ssl http2;
server_name scientific-calculators.com www.scientific-calculators.com;
root /var/www/scientific-calculators;
index index.html;
# SSL сертифікати
ssl_certificate /etc/letsencrypt/live/scientific-calculators.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/scientific-calculators.com/privkey.pem;
# SSL параметри (рекомендовані)
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';
ssl_prefer_server_ciphers on;
# HSTS (HTTP Strict Transport Security)
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# Security headers
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
location / {
try_files $uri $uri/ =404;
}
}
# Restart Nginx
sudo nginx -t # перевірка конфігурації
sudo systemctl reload nginx
Частина 3: Cloudflare SSL (найпростіший спосіб)
Налаштування (5 хвилин)
- Sign up на Cloudflare.com
- Add Site → введіть домен
scientific-calculators.com - Змініть DNS:
Cloudflare дасть nameservers: ns1.cloudflare.com ns2.cloudflare.com Ідіть до реєстратора домену (GoDaddy, Namecheap) → Nameservers → змініть
- SSL/TLS Settings:
Full (strict)— найбезпечніший режим (потрібен SSL на сервері)Full— SSL на сервері (самопідписаний OK)Flexible— SSL тільки між користувачем та Cloudflare
- Edge Certificates → Always Use HTTPS — увімкнути
⚠️ Flexible SSL — небезпечний:
Flexible режим: Користувач → [HTTPS] → Cloudflare → [HTTP] → Сервер
Дані між Cloudflare та сервером не зашифровані!
✅ Використовуйте Full (strict) з Let's Encrypt сертифікатом.
Частина 4: Apache конфігурація
# /etc/apache2/sites-available/scientific-calculators-ssl.conf
ServerName scientific-calculators.com
ServerAlias www.scientific-calculators.com
# Redirect HTTP → HTTPS
Redirect permanent / https://scientific-calculators.com/
ServerName scientific-calculators.com
ServerAlias www.scientific-calculators.com
DocumentRoot /var/www/scientific-calculators
# SSL Engine
SSLEngine on
SSLCertificateFile /etc/letsencrypt/live/scientific-calculators.com/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/scientific-calculators.com/privkey.pem
# SSL Protocols
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:!aNULL:!MD5
# HSTS
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
AllowOverride All
Require all granted
# Увімкнути модулі
sudo a2enmod ssl
sudo a2enmod headers
sudo a2ensite scientific-calculators-ssl.conf
sudo systemctl reload apache2
Частина 5: Mixed Content (змішаний контент)
⚠️ Проблема Mixed Content:
HTTPS сторінка завантажує ресурси по HTTP (зображення, скрипти) → браузер блокує!
Виправлення Mixed Content
Content Security Policy для HTTPS
Частина 6: Перевірка SSL
SSL Labs Test (найкращий тест)
- Відкрийте SSLLabs.com/ssltest
- Введіть домен:
scientific-calculators.com - Чекайте 2-3 хвилини
- Цільовий результат: A+ рейтинг
Що перевіряє SSL Labs:
- ✅ Валідність сертифіката
- ✅ Підтримка TLS 1.2/1.3
- ✅ Відключені старі протоколи (SSLv3, TLS 1.0)
- ✅ Сильні cipher suites
- ✅ HSTS header присутній
- ✅ Захист від POODLE, Heartbleed
Команда для перевірки сертифіката
# OpenSSL перевірка
openssl s_client -connect scientific-calculators.com:443 -servername scientific-calculators.com
# Інформація про сертифікат
echo | openssl s_client -connect scientific-calculators.com:443 2>/dev/null | openssl x509 -noout -dates
# notBefore=Jan 1 00:00:00 2026 GMT
# notAfter=Apr 1 23:59:59 2026 GMT
Частина 7: HSTS та Security Headers
HTTP Strict Transport Security (HSTS)
# Nginx
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# Apache
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
HSTS параметри:
max-age=31536000— браузер запам'ятовує HTTPS на рікincludeSubDomains— HTTPS для всіх субдоменівpreload— додати сайт в HSTS Preload List браузерів
HSTS Preload (максимальна безпека)
- Налаштуйте HSTS header з
preload - Відкрийте hstspreload.org
- Submit домен
- Чекайте 2-3 місяці (браузери оновлюють список)
⚠️ HSTS Preload — необоротний!
Якщо додасте сайт в preload list, видалити його дуже важко (місяці очікування).
Використовуйте тільки якщо 100% впевнені що HTTPS працює коректно.
Частина 8: Troubleshooting
Проблема 1: "NET::ERR_CERT_AUTHORITY_INVALID"
Причина: Самопідписаний сертифікат або неправильний CA
Рішення: Використовуйте Let's Encrypt або купіть сертифікат від довіреного CA
Проблема 2: "NET::ERR_CERT_COMMON_NAME_INVALID"
Причина: Домен не співпадає з сертифікатом
Рішення: Створіть сертифікат для правильного домену:
sudo certbot certonly --nginx -d scientific-calculators.com
Проблема 3: Mixed Content блокується
Причина: HTTPS сторінка завантажує HTTP ресурси
Рішення: Перевірте всі <img>, <script>, <link> використовують HTTPS або відносні шляхи:
# Знайти HTTP лінки
grep -r "http://" *.html
Висновок
Checklist для налаштування HTTPS:
- ✅ Отримати SSL сертифікат (Let's Encrypt безкоштовно)
- ✅ Налаштувати Apache/Nginx з SSL
- ✅ Редірект HTTP → HTTPS (301 Permanent)
- ✅ Додати HSTS header (
max-age=31536000) - ✅ Виправити Mixed Content (всі ресурси HTTPS)
- ✅ Перевірити SSL Labs (цільовий рейтинг: A+)
- ✅ Налаштувати auto-renewal (Certbot cron)
📚 Ресурси:
- Let's Encrypt — безкоштовні SSL сертифікати
- SSL Labs — перевірка SSL конфігурації
- Certbot — автоматизація Let's Encrypt
- HSTS Preload — додати сайт в HSTS список