SSL/TLS сертификат для сайта бесплатно + защита от DDoS-атак
Здравствуйте, господа!
После того, как Бог-Император начал приведение к Согласию очередного аграрного мира, количество компаний, выпускающих SSL/TLS сертификаты для доменов .RU, .BY, .РФ резко сократилось. Сегодня я расскажу Вам как решить данную проблему во славу Омниссии!
Итак, начну с того, что обещанная раздача бесплатных сертификатов на ГосУслугах оказалась доступна только компаниям. Мне как физику получить его не удалось. Возможно, что в будущем эта услуга будет доступна и рядовым слугам Бога-Императора.
На данный момент (17.05.2022) гарантированно можно выпустить сертификат с помощью Let's Encrypt. Однако, по имеющейся у меня информации, компания выпускает сертификат на 90 дней и может его отозвать.
Мой проект подходит к завершению, и для проверки авторизации, системы лицензирования и рассылки писем с регистрационной информацией мне потребовалось залить сайт на публичный хостинг.
Домены я регистрирую на reg.ru. У них есть услуга "выпуск бесплатного сертификата", реализуемая через GlobalSign. На сайте reg.ru честно написано, что выпуск сертификата может занять несколько рабочих дней.
Устав ждать более 5 дней я решил заняться проблемой самостоятельно. На сайте самого GlobalSign указано, что для российских и белорусских доменов время выпуска увеличено.
Ручная модерация?
Без сертификата заниматься тестированием сайта очень грустно, поэтому начал искать пути решения...
В результате поисков я открыл для себя CloudFlare.
По бесплатному тарифу, они также выпускают сертификат на 90 дней. Однако, они заявили, что не намерены разрывать сотрудничество с организациями, которые прямо не попадают под санкции США, а также считают, что России требуется больше интернета, а не меньше.
Топаем на сайт CloudFlare. Регистрируемся...
Скриншоты добавлять не буду, ибо все весьма банально. Поэтому лучше опишу функционал, чтобы Вы могли принять решение о том, подходит ли Вам данный вариант или нет.
CloudFlare не выдаёт Вам сертификат на руки для последующей установки на сервер. Вместо этого Вам предлагается изменить ссылки на DNS-серверы CloudFlare.
Спустя некоторое время (обещают 24 часа, но у меня вышло часа 3) на почту придёт уведомление о том, что сертификат выпущен. Устанавливать его никуда не надо. Запрос от клиента идёт на DNS-сервер CloudFlare, а между ними устанавливается защищенное соединение. Сам же запрос ретранслируется на Ваш сайт уже без шифрования. Для кого-то это может стать причиной прекратить чтение статьи, а для кого-то нет. Лично я не вижу в этом дыры в безопасности.
В личном кабинете следует добавить нужные Вам DNS-записи и включить принудительное использование HTTPS. Открыть настройку можно по пути %YourSite% -> SSL/TLS -> Edge Certificates -> Always Use HTTPS.
Резюме.
При таком раскладе, вам из коробки будет доступна защита от DDoS-атак, кэширование контента для ускорения доступа, защита почтовых ящиков на домене Вашего сайта, аналитика входящего трафика и куча всего, что я ещё пока не изучил. :)
Обычно, я не рекомендую то, чем не пользовался значительное время, но как говорится, "не до жиру, быть бы живу".
Надеюсь, что статья будет Вам полезна.
Всем хорошего дня!
P.S. Комментарий от @gskm18. Рекомендую ознакомиться.