SSL от Cloudflare

Для того чтобы выписать сертификат от Cloudflare необходимо направить свой сайт на сервера Cloudflare. Для этого нужно зарегистрироваться на сайте - cloudflare.com.

После регистрации добавить домен в меню Home - Add a site:

1.

2.

3.

4.

Согласно инструкции меняем NS-сервера у регистратора домена на рекомендованные от Cloudflare. После смены серверов ожидаем применения изменений (от 1 часа до 72х часов)

Выписываем сертификат

Для установки сертификата открываем слева меню SSL/TLS. По-умолчанию сертификат будет установлен и будет выбран режим Full:

Подробнее о режимах работы SSL-сертификата от Cloudflare ниже:

Off

Установка для режима шифрования значения «Off» (не рекомендуется) перенаправляет любой HTTPS-запрос на незашифрованный HTTP.

Когда вы устанавливаете для режима шифрования значение Off:

- Делает ваших посетителей и ваше приложение уязвимыми для атак.
- Будет помечен как «небезопасный» в Chrome и других браузерах, что снизит доверие посетителей.
- Будет оштрафован в рейтинге SEO.

Flexible

Установка гибкого режима шифрования делает ваш сайт частично безопасным. Cloudflare разрешает HTTPS-соединения между вашим посетителем и Cloudflare, но все соединения между Cloudflare и вашим сервером хостинга осуществляются через HTTP. В результате SSL-сертификат не требуется для вашего сервера хостинга.

Выберите этот вариант, если вы не можете настроить сертификат SSL у своего хостера или ваш хостер не поддерживает SSL/TLS.

Full

Когда вы устанавливаете режим шифрования «Полный», Cloudflare разрешает HTTPS-соединения между вашим посетителем и Cloudflare и устанавливает соединения с хостером, используя схему, запрошенную посетителем. Если ваш посетитель использует http, то Cloudflare подключается к хостеру, используя простой текстовый HTTP и наоборот.

Выберите полный режим, если ваш хостер может поддерживать сертификацию SSL (самоподписанный, либо бесплатный от let's encrypt), но по разным причинам не может поддерживать действительный общедоступный сертификат.

Перед включением полного режима убедитесь, что ваш хостер разрешает HTTPS-соединения через порт 443 и предоставляет сертификат (самоподписанный, Cloudflare Origin CA или приобретенный в центре сертификации). В противном случае ваши посетители могут столкнуться с ошибкой 525.

Full (strict)

Когда вы устанавливаете режим шифрования «Полный», Cloudflare делает все в полном режиме, но также применяет более строгие требования к сертификатам происхождения.

Для обеспечения максимальной безопасности по возможности выбирайте полный режим. Ваш хостер должен иметь возможность поддерживать SSL-сертификат, который:

- Срок действия не истек, то есть сертификат notBeforeDate < now() < notAfterDate.
- Выпущен общедоступным доверенным центром сертификации или центром сертификации Cloudflare Origin.
- Содержит общее имя (CN) или альтернативное имя субъекта (SAN), которое соответствует запрошенному или целевому имени хоста.

После включения режима Full (strict) необходимо выписать сертфикат Origin Certificate. В своей панели управления Cloudflare открываем слева меню Origin Server - нажимаем на Create Certificate: