HTTPS
Протокол HTTPS применяется для безопасного обмена данными между веб-ресурсом и пользователем. Если веб-ресурс не поддерживает HTTPS, современные веб-браузеры могут уведомлять пользователя об опасности посещения такого веб-ресурса.
Для использования HTTPS на сервере веб-ресурса должен быть установлен SSL-сертификат. SSL-сертификат содержит информацию о владельце домена веб-ресурса, реквизиты поставщика SSL-сертификата и открытый ключ для шифрования данных. SSL-сертификат подписывается удостоверяющим центром, что гарантирует неизменность содержащейся с нем информации.
Применение HTTPS имеет ряд преимуществ:
- 1.Конфиденциальность. Между веб-ресурсом и пользователем данные передаются в зашифрованном виде. Злоумышленники не смогут узнать, какие действия выполнял пользователь на веб-ресурсе, перехватить пароли или данные кредитных карт.
- 2.Целостность. Подмена данных при передаче между веб-ресурсом и пользователем невозможна.
- 3.Аутентичность. Браузеры автоматически проверяют валидность SSL-сертификата и соответствие домена веб-ресурса указанному в SSL-сертификате.
Для использования HTTPS на Платформе NGENIX необходима настройка сервиса SSL Support. Для использования заказчиком собственных SSL-сертификатов дополнительно необходима настройка сервиса Hosted SSL.
Включение поддержки HTTPS осуществляется на странице «SSL Support» клиентского портала NGENIX Multidesk раздельно для каждой сервисной конфигурации. Может быть выбран один из следующих режимов:
- HTTP + HTTPS. Сервисная конфигурация поддерживает работу протоколов HTTP и HTTPS одновременно. При включении поддержки протокола HTTPS этот режим выбирается по умолчанию.
- Только HTTPS. Сервисная конфигурация поддерживает работу только протокола HTTPS. На любой запрос по протоколу HTTP пользователю будет возвращена ошибка.
При активации этой настройки в рамках сервиса SSL Support на любой запрос пользователя по протоколу HTTP будет возвращен код ответа 301 (Moved Permanently) с редиректом на этот же объект по протоколу HTTPS.
HSTS – механизм, позволяющий информировать браузер о том, что для данного веб-ресурса необходимо использовать только протокол HTTPS, даже если пользователь введет
http в адресной строке браузера (RFC6797). Использование HSTS снижает вероятность незащищенного обмена с пользователем.Если HSTS настроен, то во время обращения пользователя к веб-ресурса по протоколу HTTPS ему будет возвращен HTTP-заголовок
Strict-Transport-Security, который будет содержать в директиве max-age срок действия политики HSTS в секундах. Браузер, поддерживающий HSTS, будет обращаться к веб-ресурсу исключительно по протоколу HTTPS в течение срока, указанного в директиве max-age. Каждый раз при успешном подключении к веб-ресурсу по протоколу HTTPS браузер будет обновлять срок действия политики HSTS.Пример настроенного HTTP-заголовка:
Strict-Transport-Security: max-age=31536000. В данном случае срок действия политики HSTS равен одному году. Соблюдайте осторожность при выборе срока действия HSTS. В случае каких-либо проблем с HTTPS браузер не позволит пользователю взаимодействовать с веб-ресурсом по протоколу HTTP до истечения срока действия HSTS. Рекомендуем начать с небольшого срока действия HSTS (например, 1 час
max-age=3600) и увеличить его только после проверки беспрепятственного доступа пользователей.Это настройка определяет список версий протокола TLS и наборы шифров, которые будут поддерживаться серверами доставки для сервисной конфигурации.
Профиль TLS | Поддерживаемые версии протокола TLS |
min_10 (по умолчанию) | TLSv1 TLSv1.1 TLSv1.2 TLSv1.3 |
min_12 | TLSv1.2 TLSv1.3 |
min_10_max_12 | TLSv1 TLSv1.1 TLSv1.2 |
only_12 | TLSv1.2 |
Во время установки защищенного соединения сервер доставки автоматически выберет максимальную версию протокола TLS, поддерживаемую конечным пользователем и доступную в профиле TLS. Для изменения профиля TLS обратитесь к инженеру NGENIX.
Платформа NGENIX поддерживает следующие виды SSL-сертификатов:
- SSL-сертификат NGENIX. Используется Wildcard SSL-сертификат NGENIX для доменов вида
*.cdn.ngenix.net. Актуально, если вы планируете использовать доменное имя NGENIX в ссылках к данным. SSL-сертификат NGENIX используется для сервисных конфигураций, для которых настроен сервис SSL Support и не настроен сервис Hosted SSL.
- Cобственный SSL-сертификат. Используется SSL-сертификат, который загружается на Платформу через клиентский портал NGENIX Multidesk. Актуально, если вы планируете использовать собственное доменное имя в ссылках к данным, например, при доставке веб-ресурса целиком через Платформу NGENIX. Для использования собственного SSL-сертификата для сервисной конфигураций необходимо его загрузить в настройках сервиса Hosted SSL.
- SSL-сертификат Let's Encrypt. В этом случае для вашего доменного имени будет автоматически выпущен SSL-сертификат Let's Encrypt, который будет обновляться каждые два месяца. Актуально, если вы планируете использовать собственное доменное имя и не хотите сами заниматься выпуском и обновлением SSL-сертификата. Для использования собственного SSL-сертификата Let's Encrypt для сервисной конфигурации необходимо настроить его автоматический выпуск в настройках сервиса Hosted SSL.