Comment on page
HTTPS
Протокол HTTPS применяется для безопасного обмена данными между веб-ресурсом и пользователем. Если веб-ресурс не поддерживает HTTPS, современные веб-браузеры могут уведомлять пользователя об опасности посещения такого веб-ресурса.
Для использования HTTPS на сервере веб-ресурса должен быть установлен SSL-сертификат. SSL-сертификат содержит информацию о владельце домена веб-ресурса, реквизиты поставщика SSL-сертификата и открытый ключ для шифрования данных. SSL-сертификат подписывается удостоверяющим центром, что гарантирует неизменность содержащейся с нем информации.
Применение HTTPS имеет ряд преимуществ:
- 1.Конфиденциальность. Между веб-ресурсом и пользователем данные передаются в зашифрованном виде. Злоумышленники не смогут узнать, какие действия выполнял пользователь на веб-ресурсе, перехватить пароли или данные кредитных карт.
- 2.Целостность. Подмена данных при передаче между веб-ресурсом и пользователем невозможна.
- 3.Аутентичность. Браузеры автоматически проверяют валидность SSL-сертификата и соответствие домена веб-ресурса указанному в SSL-сертификате.
Для использования HTTPS на Платформе NGENIX необходима настройка сервиса SSL Support. Для использования заказчиком собственных SSL-сертификатов дополнительно необходима настройка сервиса Hosted SSL.
Включение поддержки HTTPS осуществляется� на странице «SSL Support» клиентского портала NGENIX Multidesk раздельно для каждой сервисной конфигурации. Может быть выбран один из следующих режимов:
- HTTP + HTTPS. Сервисная конфигурация поддерживает работу протоколов HTTP и HTTPS одновременно. При включении поддержки протокола HTTPS этот режим выбирается по умолчанию.
- Только HTTPS. Сервисная конфигурация поддерживает работу только протокола HTTPS. На любой запрос по протокол�у HTTP пользователю будет возвращена ошибка.
При активации этой настройки в рамках сервиса SSL Support на любой запрос пользователя по протоколу HTTP будет возвращен код ответа 301 (Moved Permanently) с редиректом на этот же объект по протоколу HTTPS.
HSTS – механизм, позволяющий информировать браузер о том, что для данного веб-ресурса необходимо использовать только протокол HTTPS, даже если пользователь введет
http в адресной строке браузера (RFC6797). Использование HSTS снижает вероятность незащищенного обмена с пользователем.Если HSTS настроен, то во время обращения пользователя к веб-ресурса по протоколу HTTPS ему будет возвращен HTTP-заголовок
Strict-Transport-Security, который будет содержать в директиве max-age срок действия политики HSTS в секундах. Браузер, поддерживающий HSTS, будет обращаться к веб-ресурсу исключительно по протоколу HTTPS в течение срока, указанного в директиве max-age. Каждый раз при успешном подключении к веб-ресурсу по протоколу HTTPS браузер будет обновлять срок действия политики HSTS.Пример настроенного HTTP-заголовка:
Strict-Transport-Security: max-age=31536000. В данном случае срок действия политики HSTS равен одному году. Соблюдайте осторожность при выборе срок�а действия HSTS. В случае каких-либо проблем с HTTPS браузер не позволит пользователю взаимодействовать с веб-ресурсом по протоколу HTTP до истечения срока действия HSTS. Рекомендуем начать с небольшого срока действия HSTS (например, 1 час
max-age=3600) и увеличить его только после проверки беспрепятственного доступа пользователей.Это настройка определяет список версий протокола TLS и наборы шифров, которые будут поддерживаться серверами доставки для сервисной конфигурации.
Профиль TLS | Поддерживаемые версии протокола TLS |
min_10 (по умолчанию) | TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 |
min_12 | TLSv1.2 TLSv1.3 |
min_10_max_12 | TLSv1 TLSv1.1 TLSv1.2 |
only_12 | TLSv1.2 |
Во время установки защищенного соединения сервер доставки автоматически выберет максимальную версию протокола TLS, поддерживаемую конечным пользователем и доступную в профиле TLS. Для изменения профиля TLS обратитесь к инженеру NGENIX.
Платформа NGENIX поддерживает следующие виды SSL-сертификатов:
- SSL-сертификат NGENIX. Используется Wildcard SSL-сертификат NGENIX для доменов вида
*.cdn.ngenix.net. Актуально, если вы планируете использовать доменное имя NGENIX в ссылках к данным. SSL-сертификат NGENIX используется для сервисных конфигураций, для которых настроен сервис SSL Support и не настроен сервис Hosted SSL.
- Cобственный SSL-сертификат. Используется SSL-сертификат, который загружается на Платформу через клиентский портал NGENIX Multidesk. Актуально, если вы планируете использовать собственное доменное имя в ссылках к данным, например, при доставке веб-ресурса целиком через Платформу NGENIX. Для использования собственного SSL-сертификата для сервисной конфигураций необходимо его загрузить в настройках сервиса Hosted SSL.
- SSL-сертификат Let's Encrypt. В этом случае для вашего доменного имени будет автоматически выпущен SSL-сертификат Let's Encrypt, который будет обновляться каждые два месяца. Актуально, если вы планируете использовать собственное доменное имя и не хотите сами заниматься выпуском и обновлением SSL-сертификата. Для использования собственного SSL-сертификата Let's Encrypt для сервисной конфигурации необходимо настроить его автоматический выпуск в настройках сервиса Hosted SSL.