SSL від Cloudflare

 

Для того, щоб виписати сертифікат від Cloudflare, необхідно направити свій сайт на сервери Cloudflare. Для цього потрібно зареєструватися на сайті – cloudflare.com.

 

Після реєстрації додати домен у меню Home - Add a site:

 

1.

 

2.

 

3.

4.

 

 

Згідно з інструкцією змінюємо NS-сервер у реєстратора домену на рекомендовані від Cloudflare. Після зміни серверів очікуємо поки налаштування вступлять в силу (від 1 години до 72 годин)

 

Виписуємо сертифікат

 

Для встановлення сертифіката відкриваємо зліва меню SSL/TLS. За замовчуванням сертифікат буде встановлено і буде вибрано режим Full:

 

 

 

Докладніше про режими роботи SSL-сертифіката від Cloudflare нижче:

 

 

Off

 

Установка для режиму шифрування значення "Off" (не рекомендується) перенаправляє будь-який HTTPS-запит на незашифрований HTTP.

 

Коли ви встановлюєте для режиму шифрування значення Off:

 

- Робить ваших відвідувачів і вашу програму вразливими для атак.

- Буде позначений як «небезпечний» у Chrome та інших браузерах, що зменшить довіру відвідувачів.

- Буде оштрафований у рейтингу SEO.

 

Flexible

 

Встановлення гнучкого режиму шифрування робить ваш сайт частково безпечним. Cloudflare дозволяє HTTPS-з'єднання між вашим відвідувачем та Cloudflare, але всі з'єднання між Cloudflare та вашим сервером хостингу здійснюються через HTTP. В результаті сертифікат SSL не потрібний для вашого сервера хостингу.

 

Виберіть цей варіант, якщо ви не можете налаштувати сертифікат SSL у свого хостера або ваш хостер не підтримує SSL/TLS.

 

Full

 

Коли ви встановлюєте режим шифрування «Повний», Cloudflare дозволяє з'єднання HTTPS між вашим відвідувачем і Cloudflare і встановлює з'єднання з хостером, використовуючи схему, запитану відвідувачем. Якщо ваш відвідувач використовує http, Cloudflare підключається до хостера, використовуючи простий текстовий HTTP і навпаки.

 

Виберіть повний режим, якщо ваш хостер може підтримувати сертифікацію SSL (самопідписаний або безкоштовний від let's encrypt), але з різних причин не може підтримувати дійсний загальнодоступний сертифікат.

 

Перед увімкненням повного режиму переконайтеся, що хостер дозволяє HTTPS-з'єднання через порт 443 і надає сертифікат (самопідписаний, Cloudflare Origin CA або придбаний у центрі сертифікації). В іншому випадку ваші відвідувачі можуть зіткнутися з помилкою 525.

 

Full (strict)

 

 

Коли ви встановлюєте режим шифрування «Повний», Cloudflare робить все в повному режимі, але також застосовує суворіші вимоги до сертифікатів походження.

 

Для забезпечення максимальної безпеки вибирайте повний режим. Ваш хостер повинен мати можливість підтримувати SSL-сертифікат, який:

 

- Термін дії не минув, тобто сертифікат notBeforeDate < now() < notAfterDate.

- Випущений загальнодоступним довіреним центром сертифікації або центром сертифікації Cloudflare Origin.

- Містить спільне ім'я (CN) або альтернативне ім'я суб'єкта (SAN), яке відповідає запитаному або цільовому імені хоста.

 

 

 

Після увімкнення режиму Full (strict) необхідно виписати сертфікат Origin Certificate. У своїй панелі керування Cloudflare відкриваємо зліва меню Origin Server - натискаємо на Create Certificate:

 

- У меню, що відкрило, заповнюємо поля - «Let Cloudflare generate a private key and a CSR».

- Прописуємо потрібні домени та піддомени, які мають бути включені до сертифікату.

- Вибираємо термін дії сертифікату. Нижимам далі "Next".

- Не закриваючи відкритого вікна навпроти "Key format" вибираємо "PEM (Default)", після чого зберігаємо сертифікат та ключ в окремому файлі на своєму ПК.

- Копіюємо збережений сертифікат та ключ в панель на хостингу, докладніше описано в інструкції - https://cityhost.ua/uk/support/hosting/ssl/kak-zagruzit-svoy-ssl-sertifikat/