Если хотите узнать, насколько хорошо работает ваш SSL-сертификат, воспользуйтесь бесплатной проверкой от SSL Labs. Этот сервис покажет все слабые места и поможет понять, как поднять оценку сертификата.
Что влияет на безопасность и рейтинг SSL
1. Устаревшие протоколы
Многие серверы до сих пор поддерживают старые версии TLS — 1.0 и 1.1. Они давно признаны небезопасными. Лучше оставить только TLS 1.2 и TLS 1.3 — они актуальны и хорошо поддерживаются.
Настройки можно изменить вручную, если у вас есть доступ к серверу. Или обратиться в поддержку хостинга с просьбой отключить устаревшие протоколы. Лучше сразу объяснить, что именно хотите, иначе можно потерять время на ненужную переписку.
2. DNS-записи типа CAA
CAA-записи в DNS указывают, какие центры сертификации могут выпускать SSL-сертификаты для вашего домена.
Записи отсутствуют.
Их можно добавить через панель управления хостингом. Обновление записей может занять от пары часов до суток, это нормально.
Записи добавлены.
Оценку сертификата такие записи почти не улучшают, но добавить их — дело пары минут.
Нужные DNS-записи можно сформировать через онлайн-генератор или написать самостоятельно.
Хостинг beget.ru позволяет добавить DNS-записи через админку.
3. Проблемы с цепочкой сертификатов
Сертификаты работают как цепочка: ваш домен → промежуточный сертификат → корневой центр сертификации.
Иногда в цепочку по ошибке добавляют лишний корневой сертификат — в этом нет смысла, он уже есть в системе у пользователя. Лишняя вставка увеличивает задержку.
Также возможен сбой в порядке: если, например, корневой сертификат стоит не на своем месте.
4. Несовпадение имен
В этом примере основной сертификат настроен правильно и получил хорошую оценку, а вот проблема возникла со вторым — дополнительным сертификатом, он и вызывает ошибку.
Сервис для проверки: https://globalsign.ssllabs.com/
Если сертификат не содержит все нужные варианты домена (например, с www и без), браузер покажет предупреждение.
Чтобы избежать этого, нужно использовать SAN-сертификаты (с поддержкой альтернативных имен). Они бывают трех типов:
- SAN Subdomain — защищает домен и поддомены любого уровня.
- SAN FQDN — покрывает основной и дополнительные домены.
- SAN FQDN + Wildcard — плюс ко всему защищает поддомены.
Ошибки случаются, если в сертификате не указан нужный адрес или если несколько сайтов делят один IP и сертификат конфликтует.
5. Недоверенный центр сертификации
Если сертификат выдан неофициальным центром, браузеры могут не доверять сайту. Это случается, например, когда тестовый сертификат случайно привязан к основному домену.
Чтобы исправить, лучше использовать SNI (если сайты делят IP) или перейти на выделенный IP-адрес.
6. Нет поддержки SNI
SNI — это расширение, которое помогает серверу понять, к какому домену подключается пользователь, даже если все сайты сидят на одном IP.
Без него могут быть ошибки, особенно если у вас несколько доменов или поддоменов. SNI позволяет серверу отправить правильный сертификат для каждого домена.
7. Cloudflare и блокировка из-за РКН
Если вы используете Cloudflare, важно отключить TLS 1.3 с ECH — из-за этого сайт может попасть под блокировку в России.
Всё отключается в панели Cloudflare. Подробности показаны в этом видео: ссылка на ролик.
8. HSTS и его влияние
HSTS — это настройка, которая заставляет браузер всегда использовать HTTPS при подключении к вашему сайту.
Включать HSTS нужно осторожно: если что-то пойдёт не так, откатиться будет сложно. Лучше сначала настроить и протестировать весь сайт, а уже потом добавлять эту опцию.
Вывод
Даже без глубоких знаний можно улучшить настройки SSL и получить высокий балл на проверке. Например, на хостинге beget.ru сертификат получил рейтинг B, но после отключения старых протоколов его оценка поднялась до A.
А после включения HSTS удалось дотянуть до A+.