Как ПРАВИЛЬНО настроить SSL сертификаты
Дмитрий Александрович

Глав. администратор


Рейтинг: 94


Сообщений: 44


Спасибок: 10

Приветствую!

На статью не претендует, просто короткий очерк. Очередной раз перехожу с этого форума по внешней ссылке и вижу лажу с не поддерживаемым набором шифров.
К этой проблеме относятся ошибки ERR_SSL_VERSION_OR_CIPHER_MISMATCH, а также no cypher overlapERR_SPDY_INADEQUATE_TRANSPORT_SECURITY и прочая подобная светотень. Несмотря на название статьи - я тут ни слова не скажу про то как настроить SSL и где взять сертификат. Их на шару выдает Lets Encrypt, также с некоторых пор CPanel, все это интегрировано в панели управления и делается простым нажатием кнопок.

Расскажу о том что ОБЯЗАТЕЛЬНО должен сделать каждый владелец сайта, независимо от того настраивал ли он сервер своими, возможно не из того места растущими, золотыми руками, либо это за него такими руками сделал выпускник курсов ШАГ, работающий в хостинг-провайдере, либо даже такое изредка встречается в дефолтных конфигах веб сервера некоторых левых репозиториев. Не важно чей косяк, но проблемы из-за него будут у посетителей вашего сайта и в конечном итоге у вас (потери аудитории, показатель отказов и возвратов в поиск и прочий негатив для вашего сайта). Часто там скрыты грабли для посетителей со смартфонов 5+ летней давности, которые невозможно обновить поскольку под них нет официальных прошивок с более новой ОС, а кастомную сделать не каждому под силу.

Идете на https://www.ssllabs.com/ssltest/analyze.html, вбиваете там адрес своего сайта и ждете пока все закончится. После этого щелкаете на IP адресе сервера и смотрите в самый низ таблицы ("Handshake Simulation"). Все строчки, в которых красным написано Server sent fatal alert: handshake_failure - это потенциальные потери посетителей. Если там только IE 6 или что-то еще даром никому не нужное - пропускаем, если же хоть одна из строчек с Firefox или Chrome дает ошибку - у вас проблемы.

Что делать?
Лезете в конфиг Apache / Nginx / на чем там у вас крутится сайт и добавляете в набор используемых шифров такие чтобы сайт открывался. Все подробности - в Google.
Если ваш сайт работает на виртуальном хостинге - Вы платите деньги кому-то за рукожопие. Пишите в техподдержку, требуйте сделать так чтобы не было красных строчек.
Если ваш сайт стоит за CloudFlare - это все хорошо, но эти умники тоже думают не тем местом и на бесплатном тарифе дают SSL сертификат, не открывающийся в Windows XP ни в чем кроме Firefox (набор шифров ECDHE не поддерживается виндой, у FF есть свой обработчик, не зависящий от операционки). Техподдержка Cloudflare существует, пишите письма. Еще пара десятков жалоб и они это исправят.

Да, в сети иногда гуляют мануалы о том что должен сделать посетитель в настройках своего браузера чтобы сайт открылся. Обычно это заканчивается тем что он должен включить то, чего его браузер не поддерживает и кнопки из мануала в настройках не будет. В любом случае, юзер не будет маяться ерундой, юзер откроет следующий по очереди в поисковой выдаче сайт.

Вроде бы все, успехов вам и вашим сайтам.

Авторизация
  Войти через ВК
Последнее на форуме

ВИДЕО И ДЕМКИ

Дата: Позавчера в 14:04

Автор: SlOnIK

Бан без причины

Дата: 9 июня 2021 г, 18:49

Автор: VIENNA

ебломяс забанил просто так

Дата: 3 июня 2021 г, 02:27

Автор: Максим Романенко

Автоматическая установка драйверов для видео карт

Дата: 28 февраля 2021 г, 01:38

Автор: VIENNA

ВИДЕО и ПРИКОЛЫ С СЕРВЕРА

Дата: 26 февраля 2021 г, 01:17

Автор: VIENNA