HTTPS

Протокол HTTPS применяется для безопасного обмена данными между веб-ресурсом и пользователем. Если веб-ресурс не поддерживает HTTPS, современные веб-браузеры могут уведомлять пользователя об опасности посещения такого веб-ресурса.

Для использования HTTPS на сервере веб-ресурса должен быть установлен SSL-сертификат. SSL-сертификат содержит информацию о владельце домена веб-ресурса, реквизиты поставщика SSL-сертификата и открытый ключ для шифрования данных. SSL-сертификат подписывается удостоверяющим центром, что гарантирует неизменность содержащейся с нем информации.

Применение HTTPS имеет ряд преимуществ:

  1. Конфиденциальность. Между веб-ресурсом и пользователем данные передаются в зашифрованном виде. Злоумышленники не смогут узнать, какие действия выполнял пользователь на веб-ресурсе, перехватить пароли или данные кредитных карт.

  2. Целостность. Подмена данных при передаче между веб-ресурсом и пользователем невозможна.

  3. Аутентичность. Браузеры автоматически проверяют валидность SSL-сертификата и соответствие домена веб-ресурса указанному в SSL-сертификате.

Использование HTTPS на Платформе

Для использования HTTPS на Платформе NGENIX необходима настройка сервиса SSL Support. Для использования заказчиком собственных SSL-сертификатов дополнительно необходима настройка сервиса Hosted SSL.

Включение и режимы поддержки HTTPS

Включение поддержки HTTPS осуществляется на странице «SSL Support» клиентского портала NGENIX Multidesk раздельно для каждой сервисной конфигурации. Может быть выбран один из следующих режимов:

  • HTTP + HTTPS. Сервисная конфигурация поддерживает работу протоколов HTTP и HTTPS одновременно. При включении поддержки протокола HTTPS этот режим выбирается по умолчанию.

  • Только HTTPS. Сервисная конфигурация поддерживает работу только протокола HTTPS. На любой запрос по протоколу HTTP пользователю будет возвращена ошибка.

Редирект с HTTP на HTTPS

При активации этой настройки в рамках сервиса SSL Support на любой запрос пользователя по протоколу HTTP будет возвращен код ответа 301 (Moved Permanently) с редиректом на этот же объект по протоколу HTTPS.

HTTP Strict Transport Security (HSTS)

HSTS – механизм, позволяющий информировать браузер о том, что для данного веб-ресурса необходимо использовать только протокол HTTPS, даже если пользователь введет http в адресной строке браузера (RFC6797). Использование HSTS снижает вероятность незащищенного обмена с пользователем.

Если HSTS настроен, то во время обращения пользователя к веб-ресурса по протоколу HTTPS ему будет возвращен HTTP-заголовок Strict-Transport-Security, который будет содержать в директиве max-age срок действия политики HSTS в секундах. Браузер, поддерживающий HSTS, будет обращаться к веб-ресурсу исключительно по протоколу HTTPS в течение срока, указанного в директиве max-age. Каждый раз при успешном подключении к веб-ресурсу по протоколу HTTPS браузер будет обновлять срок действия политики HSTS.

Пример настроенного HTTP-заголовка: Strict-Transport-Security: max-age=31536000. В данном случае срок действия политики HSTS равен одному году.

Соблюдайте осторожность при выборе срока действия HSTS. В случае каких-либо проблем с HTTPS браузер не позволит пользователю взаимодействовать с веб-ресурсом по протоколу HTTP до истечения срока действия HSTS. Рекомендуем начать с небольшого срока действия HSTS (например, 1 час max-age=3600) и увеличить его только после проверки беспрепятственного доступа пользователей.

Профиль TLS

Это настройка определяет список версий протокола TLS и наборы шифров, которые будут поддерживаться серверами доставки для сервисной конфигурации.

Профиль TLS

Поддерживаемые версии протокола TLS

min_10 (по умолчанию)

TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

min_12

TLSv1.2 TLSv1.3

min_10_max_12

TLSv1 TLSv1.1 TLSv1.2

only_12

TLSv1.2

Во время установки защищенного соединения сервер доставки автоматически выберет максимальную версию протокола TLS, поддерживаемую конечным пользователем и доступную в профиле TLS. Для изменения профиля TLS обратитесь к инженеру NGENIX.

Виды SSL-сертификатов

Платформа NGENIX поддерживает следующие виды SSL-сертификатов:

  • SSL-сертификат NGENIX. Используется Wildcard SSL-сертификат NGENIX для доменов вида *.cdn.ngenix.net. Актуально, если вы планируете использовать доменное имя NGENIX в ссылках к данным. SSL-сертификат NGENIX используется для сервисных конфигураций, для которых настроен сервис SSL Support и не настроен сервис Hosted SSL.

  • Cобственный SSL-сертификат. Используется SSL-сертификат, который загружается на Платформу через клиентский портал NGENIX Multidesk. Актуально, если вы планируете использовать собственное доменное имя в ссылках к данным, например, при доставке веб-ресурса целиком через Платформу NGENIX. Для использования собственного SSL-сертификата для сервисной конфигураций необходимо его загрузить в настройках сервиса Hosted SSL.

  • SSL-сертификат Let's Encrypt. В этом случае для вашего доменного имени будет автоматически выпущен SSL-сертификат Let's Encrypt, который будет обновляться каждые два месяца. Актуально, если вы планируете использовать собственное доменное имя и не хотите сами заниматься выпуском и обновлением SSL-сертификата. Для использования собственного SSL-сертификата Let's Encrypt для сервисной конфигурации необходимо настроить его автоматический выпуск в настройках сервиса Hosted SSL.