SSL/TLS

Протокол HTTPS обеспечивает безопасную передачу данных между веб-ресурсом и пользователем. Если веб-ресурс не использует HTTPS, современные браузеры могут предупредить пользователя о возможных рисках при посещении такого ресурса.

Для использования HTTPS на веб-сервере необходимо установить SSL-сертификат. Этот сертификат содержит информацию о владельце домена, данные поставщика сертификата и открытый ключ для шифрования информации. SSL-сертификат подписывается удостоверяющим центром, что гарантирует его подлинность и неизменность данных.

Использование HTTPS обеспечивает ряд преимуществ:

  1. Конфиденциальность. При передаче данных между веб-ресурсом и пользователем они шифруются. Это значит, что злоумышленники не смогут узнать, какие действия выполнял пользователь на сайте, перехватить его пароли или данные кредитных карт.

  2. Целостность. При передаче данных невозможно их подменить.

  3. Аутентичность. Браузеры автоматически проверяют, действителен ли SSL-сертификат и соответствует ли домен веб-ресурса указанному в сертификате.

Использование HTTPS на Платформе

Чтобы использовать HTTPS на Платформе NGENIX, нужно настроить сервис SSL Support. Если вы хотите использовать свои собственные SSL-сертификаты, то дополнительно потребуется настроить сервис Hosted SSL.

Включение и режимы поддержки HTTPS

Включение поддержки HTTPS осуществляется в клиентском портале NGENIX Multidesk в разделе SSL/TLS на странице Настройки HTTPS (боковое меню настроек выбранной Cервисной конфигурации). При включении можно задать один из следующих режимов:

  • HTTP + HTTPS. Сервисная конфигурация поддерживает работу протоколов HTTP и HTTPS одновременно. При включении поддержки протокола HTTPS этот режим выбирается по умолчанию.

  • Только HTTPS. Сервисная конфигурация поддерживает работу только протокола HTTPS. На любой запрос по протоколу HTTP пользователю будет возвращена ошибка.

Редирект с HTTP на HTTPS

При активации этой настройки на любой запрос пользователя по протоколу HTTP будет возвращен код ответа 301 (Moved Permanently) с редиректом на этот же объект по протоколу HTTPS.

HTTP Strict Transport Security (HSTS)

HSTS – механизм, позволяющий информировать браузер о том, что для данного веб-ресурса необходимо использовать только протокол HTTPS, даже если пользователь введет http в адресной строке браузера (RFC6797). Использование HSTS снижает вероятность незащищенного обмена с пользователем.

Если HSTS настроен, то во время обращения пользователя к веб-ресурса по протоколу HTTPS ему будет возвращен HTTP-заголовок Strict-Transport-Security, который будет содержать в директиве max-age срок действия политики HSTS в секундах. Браузер, поддерживающий HSTS, будет обращаться к веб-ресурсу исключительно по протоколу HTTPS в течение срока, указанного в директиве max-age. Каждый раз при успешном подключении к веб-ресурсу по протоколу HTTPS браузер будет обновлять срок действия политики HSTS.

Пример настроенного HTTP-заголовка: Strict-Transport-Security: max-age=31536000. В данном случае срок действия политики HSTS равен одному году.

Соблюдайте осторожность при выборе срока действия HSTS. В случае каких-либо проблем с HTTPS браузер не позволит пользователю взаимодействовать с веб-ресурсом по протоколу HTTP до истечения срока действия HSTS. Рекомендуем начать с небольшого срока действия HSTS (например, 1 час max-age=3600) и увеличить его только после проверки беспрепятственного доступа пользователей.

Профиль TLS

Это настройка определяет список версий протокола TLS и наборы шифров, которые будут поддерживаться серверами доставки для сервисной конфигурации.

Профиль TLS

Поддерживаемые версии протокола TLS

min_10 (по умолчанию)

TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

min_12

TLSv1.2 TLSv1.3

min_10_max_12

TLSv1 TLSv1.1 TLSv1.2

only_12

TLSv1.2

Во время установки защищенного соединения сервер доставки автоматически выберет максимальную версию протокола TLS, поддерживаемую конечным пользователем и доступную в профиле TLS.

Для изменения профиля TLS обратитесь к службу сопровождения клиентских сервисов NGENIX.

Виды SSL-сертификатов

Платформа NGENIX поддерживает следующие виды SSL-сертификатов:

  • SSL-сертификат NGENIX. Используется Wildcard SSL-сертификат NGENIX для доменов вида *.cdn.ngenix.net. Актуально, если вы планируете использовать доменное имя NGENIX в ссылках к данным. SSL-сертификат NGENIX используется для сервисных конфигураций, для которых настроен сервис SSL Support и не настроен сервис Hosted SSL.

Как настроить поддержку HTTPS с SSL-сертификатом NGENIX?
  • Cобственный SSL-сертификат. Используется SSL-сертификат, который загружается на Платформу через клиентский портал NGENIX Multidesk. Актуально, если вы планируете использовать собственное доменное имя в ссылках к данным, например, при доставке веб-ресурса целиком через Платформу NGENIX. Для использования собственного SSL-сертификата для сервисной конфигураций необходимо его загрузить в настройках сервиса Hosted SSL.

  • SSL-сертификат Let's Encrypt. В этом случае для вашего доменного имени будет автоматически выпущен SSL-сертификат Let's Encrypt, который будет обновляться каждые два месяца. Актуально, если вы планируете использовать собственное доменное имя и не хотите сами заниматься выпуском и обновлением SSL-сертификата. Для использования собственного SSL-сертификата Let's Encrypt для сервисной конфигурации необходимо настроить его автоматический выпуск в настройках сервиса Hosted SSL.

  • Самоподписанный SSL-сертификат. В этом случае вы самостоятельно выпускаете себе SSL-сертификат. Используйте самоподписанный SSL-сертификат с осторожностью и только в том случае, если требуется реализовать безопасный канал для обмена информацией между сервером и клиентами, и при этом не требуется обеспечивать проверку подлинности владельца. Например: при разработке или тестировании веб-сайта, когда безопасность не является основным требованием. Также они могут использоваться внутри ограниченных сетей или для локальных проектов, где доверенность корневого сертификата (СА) не является обязательной.

Как настроить поддержку HTTPS с собственным SSL-сертификатом или SSL-сертификатом Let's Encrypt?

Поддерживаемые алгоритмы шифрования

Платформа NGENIX поддерживает следующие алгоритмы шифрования для SSL-сертификатов:

  • RSA - асимметричный алгоритм шифрования, изобретен в 1978 году и назван в честь математиков, которые его изобрели: RSA (Rivest–Shamir–Adleman).

  • ECDSA - алгоритм шифрования с открытым ключом, основанный на базе криптографии на эллиптических кривых.

  • ГОСТ - подразумевают использование при генерации SSL-сертификата российских криптографических алгоритмов шифрования.

Last updated