Как достичь рейтинга А для SSL-сертификата на вашем сайте, и другие аспекты безопасности хостинга / Хабр

Содержание

Что такое ssl-сертификат
Что такое ssl-сертификат?
1с-битрикс – ssl-сертификаты: что это такое и как правильно выбрать
Wildcard-сертификаты
Где получить ssl сертификат бесплатно
Для чего нужен ssl сертификат
Зачем нужен ssl-сертификат
Как же достичь рейтинга а ?
Как получить ssl-сертификат
Как работает ssl-сертификат
Как работают ssl-сертификаты?
Как узнать, есть ли у сайта ssl-сертификат
Какой ssl-сертификат выбрать для сайта |
Можно ли использовать ssl-сертификат на нескольких серверах?
Мультидоменные сертификаты (mdc)
О безопасности сервера
Оптимизация сервера
Сертификаты унифицированных коммуникаций (ucc)
Сертификаты, подтверждающие организацию (ov ssl)
Тестирование сервера
Типы ssl-сертификатов
У хостинг-провайдера или регистратора доменных имен
Упрощение задачи

Что такое ssl-сертификат

SSL-сертификат — это криптографический протокол, обеспечивающий защиту данных, передаваемых по сети. Какие задачи призван решить этот протокол?

Что такое ssl-сертификат?

SSL-сертификат – это цифровой сертификат, удостоверяющий подлинность веб-сайта и позволяющий использовать зашифрованное соединение. Аббревиатура SSL означает Secure Sockets Layer – протокол безопасности, создающий зашифрованное соединение между веб-сервером и веб-браузером.

Компаниям и организациям необходимо добавлять SSL-сертификаты на веб-сайты для защиты онлайн-транзакций и обеспечения конфиденциальности и безопасности клиентских данных.

SSL обеспечивает безопасность интернет-соединений и не позволяет злоумышленникам считывать или изменять информацию, передаваемую между двумя системами. Если в адресной строке рядом с веб-адресом отображается значок замка, значит этот веб-сайт защищен с помощью SSL.

С момента создания протокола SSL около 25 лет назад, он был доступен в нескольких версиях. При использовании каждой из этих версий в определенный момент возникали проблемы безопасности. Затем появилась обновленная переименованная версия протокола – TLS (Transport Layer Security), которая используется до сих пор. Однако аббревиатура SSL прижилась, поэтому новая версия протокола по-прежнему часто называется старым именем.

1с-битрикс – ssl-сертификаты: что это такое и как правильно выбрать

Коллеги! С вами , руководитель интернет-агентства .

Последнее время SSL-технологии вызывают большой интерес, их доля в доменных зонах растет. Несмотря на популярность, многие не понимают, что это такое. Мы расскажем, что называют SSL-сертификатами, зачем они нужны и как их выбирать.

Показать скрытое содержимое

Для чего нужен SSL-сертификат

SSL-сертификат — это своеобразное «удостоверение» сайта, подтверждающее его безопасность для пользователей. На сайте с SSL-сертификатом пользователи могут совершать покупки и вводить пароли, не опасаясь, что их данные перехватят злоумышленники. Сам сертификат представляет собой набор файлов, установленных на сервер.

Сударь, защищайте свой сайт!

Как узнать, установлен ли на сайте SSL-сертификат

Замок или зеленая строка рядом с доменным именем в браузерной строке означают, что на сайте установлен SSL-сертификат и вся информация передается по защищенному протоколу, значит, никто не украдет ваши пароли и другую конфиденциальную информацию.

Как работает технология SSL

Для безопасной передачи данных между пользовательским браузером и сервером используется инфраструктура ключей. Она позволяет зашифровать передаваемую информацию (необходим открытый ключ) и расшифровать ее (известный только владельцу закрытый ключ). Инфраструктура ключей подчиняется стандарту x.509, определяющему состав электронного сертификата:

номер версии (1-3);
порядковый номер;
название выдавшей сертификат компании;
идентификатор алгоритма подписи;
период действия;
имя владельца сертификата;
открытый ключ владельца;
цифровая подпись.

Нужно отметить, что стандарт x.509 не устанавливает определенного алгоритма шифрования; при этом наиболее часто используется RSA.

Подробнее остановимся на том, зачем используют сертификаты, и какие задачи они выполняют.

Каждый SSL-сертификат должен выполнять три функции, а именно:

шифровать передаваемую информацию;
проводить аутентификацию, т.е. проверять веб-ресурс на подлинность;
сохранять целостность передаваемых данных.

Все это помогает пользователю убедиться в том, что ресурс, к которому подключен сертификат, безопасен и ему можно доверять.

Не очень-то внушает доверие, да?

Рассмотрим на примере функции SSL-сертификатов

Представьте ситуацию: девушка Мария собирается купить авиабилет на сайте компании-перевозчика. Для этого ей нужно отправить данные своей банковской карты, защитив их от перехвата сторонними лицами. Чтобы не сомневаться в безопасности покупки, Мария проверяет, есть ли на сайте SSL-сертификат. Сделать это просто: надо убедиться, что в начале адресной строки обозначено https-соединение (его обычно выделяют зеленым цветом). Такое обозначение подтверждает, что данные между браузером пользователя и сервером авиакомпании зашифрованы. В этом случае у компании-перевозчика есть два ключа – общедоступный открытый и закрытый ключ, который известен только сотрудникам организации. Зашифрованную открытым ключом информацию может расшифровать только закрытый ключ и наоборот. Если выбранная Марией компания пользуется сертификатом, выданным действующим центром сертификации, то браузер покупательницы определит его как доверенный, т.е. произойдет аутентификация. После этого браузер при помощи открытого ключа зашифрует данные. Опасаться утечки информации не стоит, даже если мошенникам удастся перехватить данные: они не смогут их прочитать, поскольку у них нет доступа к закрытому ключу.

Самоподписанные сертификаты

SSL-сертификат действует в течение ограниченного времени, кроме того, чтобы его получить, нужно заплатить определенную сумму. Поэтому многие выбирают самоподписанные сертификаты, которые можно бесплатно сгенерировать на веб-сервере, воспользовавшись панелью управления. Однако такая экономия не всегда целесообразна.

Все браузеры проверяют, был ли сертификат выдан специальным центром. Если нет (как в случае с самоподписанным сертификатом), на экране появится надпись: «Сертификат безопасности сайта не является доверенным!».

Ваш сертификат подозрителен

Такое предупреждение с высокой вероятностью насторожит потенциальных клиентов, и они покинут ресурс. Вывод: самоподписанные сертификаты – плохой выбор для интернет-магазинов или сайтов с высоким трафиком. Однако они подходят для внутреннего использования, например, в небольшой компании, сотрудникам которой известно о происхождении сертификата, добавленного в доверенные. Помимо этого, самозаверенные сертификаты пригодны для разработки и тестирования приложений, если используется сервер Apache.

Виды SSL-сертификатов

Если вы хотите купить SSL-сертификат в центре сертификации, вам нужно знать об их разновидностях. При выборе необходимо учитывать несколько критериев:

желаемая степень доверия к сайту;
количество доменов и поддоменов, для которых нужен сертификат;
статус покупателя: физическое или юридическое лицо;
бюджет на приобретение сертификата.

Остановимся на каждом из перечисленных пунктов более подробно.

Валидность ресурсов подтверждается одной из трех степеней проверки, поэтому SSL-сертификаты по типу валидации делятся на 3 разновидности:

Domain Validation. Сертификаты подтверждают право владения доменом.
Organization Validation. Сертификаты подтверждают не только домен, но и факт юридического существования компании.
Extended Validation. Сертификаты с расширенной проверкой компании.

Domain Validation

У доступных DV-сертификатов скромные возможности: они просто проверяют принадлежность домена владельцу сертификата. Domain Validation подходит для небольших сайтов, блогов со средним количеством посетителей и форумов.

Про сертификаты: Люминофор - порошок светящийся в темноте (светонакопительный пигмент)

DV-сертификат можно получить без предоставления дополнительных документов. Их выпускают в течение 5-10 минут, а стоимость сертификата колеблется от 1000 до 4000 рублей. Domain Validation доступен и физическим, и юридическим лицам и обеспечивает начальный уровень защиты.

Organization Validation

Солидные OV-сертификаты – это не только подтверждение бизнес-статуса компании, но и способ обеспечить доверие пользователей. Владельцам интернет-магазинов или другого онлайн-бизнеса рекомендуется выбирать именно этот вид сертификатов.

OV-сертификат – это обеспечение среднего уровня защиты. Сертификат доступен только для юрлиц, его выпускают в срок до 5 дней. Годовая стоимость сертификата — 4000-50000 рублей. Для получения OV-сертификата потребуются копии документов и номер телефона собственника организации и телефонной компании, где указано название фирмы.

Extended Validation

Высокая стоимость EV-сертификатов компенсируется их надежностью. Такие сертификаты – выбор крупных компаний, которые заботятся о безопасности и своем имидже. EV-сертификат обеспечивает более высокий уровень защиты в сравнении с другими сертификатами. Он доступен только юридическим лицам, поддерживает кириллические домены. Extended Validation выпускается в срок от 3 до 10 дней, а его годовая стоимость колеблется от 10 до 100 тысяч рублей.

Получить такой сертификат можно только при предъявлении ряда документов: уведомления о регистрации юрлица, извещения о регистрации в качестве страхователя и т.д.

Проверив документацию, провайдер может позвонить по указанному компанией номеру, и этот звонок станет дополнительным этапом проверки. Хотя получение EV-сертификата требует немало времени и усилий, это оправдано: сайт будет иметь высокий уровень доверия. У сайтов с EV-сертификатом в адресной строке есть панель зеленого цвета – свидетельство высокого статуса организации. Нажав на панель, пользователи могут также получить полные сведения о компании. Такие сертификаты надежно защищают от фишинга, поскольку мошенники не могут пройти все уровни проверки. Благодаря строгим правилам верификации, поддельные EV-сертификаты встречаются крайне редко.

Выбирая SSL-сертификат, учитывайте возможности своего бюджета и специфику вашего бизнеса. Используйте опыт своих партнеров и конкурентов, изучите крупные известные сайты. Например, WildBerries.ru пользуется SGC OV SSL Wildcard с максимальным уровнем защиты, а Tinkoff.ru — EV SSL от Thawte.

Тщательно проверяйте название организации: киберпреступники могут создать «липовую» фирму со схожим названием, привязав к ней сертификат.

При выборе сертификата часто возникает вопрос об одновременной защите нескольких поддоменов или разных доменов, расположенных на одном сервере. В таком случае лучше купить SAN (UCC) сертификат для мультидоменных проектов. Чтобы защитить только несколько поддоменов, подойдут Wildcard-сертификаты. С их помощью вы обеспечите шифрование как основного домена, так и поддоменов типа subdomain1.domain.com и т.д. Защита основного домена предусмотрена не для каждого Wildcard-сертификата – обратите на это внимание перед покупкой. Хотя такие сертификаты удобны и экономичны, иногда дешевле купить отдельные сертификаты для каждого поддомена.

Крупные поставщики SSL-услуг — Symantec, Thawte и Comodo. По сути, они продают практически идентичные продукты. Отличие заключается в сервисе. Symantec обладает большой пролонгированной гарантией — до 1,75 млн. долларов. Эта сумма полагается покупателю, если компания понесла убытки из-за нарушения обязательств со стороны Symantec. Кроме того, компания предлагает антивирусную защиту, которая ежедневно сканирует страницы на хосте покупателя и выявляет вредоносные программы. Такой привлекательный функционал стоит дорого – цена сертификатов от Symantec превышает стоимость продуктов от Thawte и Comodo. Thawte предлагает продукцию средней стоимости (без дополнительных функций), а Comodo является поставщиком с более демократичными ценами (плюс антивирусная защита и сервис PCI-анализа).

Отметим, что сегодня владельцы сайтов часто покупают SSL-сертификаты у хостинг-провайдеров.. Благодаря большим объемам продаж, стоимость сертификатов часто оказывается ниже стоимости продукта от прямого поставщика.

Важно: поддержка IDN предусмотрена не во всех сертификатах. Может случиться так, что сертификат с безупречным сочетанием цены, качества и функционала не подойдет для кириллического домена. Чтобы не ошибиться с выбором, приобретайте сертификаты с поддержкой IDN у GlobalSign, Thawte, Comodo или Symantec.

Уязвимость SSL-сертификатов

SSL-сертификат – это не волшебная палочка, способная решить все вопросы безопасности. Несмотря на всю сложность механизмов криптографического шифрования, человеческий фактор все равно доминирует. Простой пример: в сентябре 2021 года Symantec выпустила целых 164 нелегитимных сертификата для 76 доменных имен. Это произошло из-за ошибки сотрудников компании.

Слежу за легитимностью твоего SSl

Хранение закрытого ключа тоже связано с некоторыми трудностями. Его не получится изолировать от всего мира: секретный ключ часто используется при https-соединении. Из-за этого есть риск взлома сервера с целью получения закрытого ключа. Здесь опять доминирует человеческий фактор: если происходит взлом, то в этом, вероятнее всего, виноват администратор, который не защитил сервер. Чтобы обезопасить закрытые ключи, их владельцы устанавливают пароли.

Поведем итоги

Несколько рекомендаций о том, как выбрать SSL-сертификат. Учитывайте опыт конкурентов. Обратите внимание, какими сертификатами пользуются компании с аналогичной продукцией, охватом аудитории и способом обмена данными с пользователями.

Не забывайте, что сайты с https ранжируются Google выше, чем другие. Сайты без сертификатов, которые принимают номера и пароли банковских карт, определяются Google Chrome как небезопасные. Это еще один веский довод в пользу приобретения SSL-сертификата. Сегодня https-соединение доступнее для пользователей, чем еще несколько лет назад. Некоторые компании проводят выгодные акции и иногда дарят сертификаты в качестве бонуса.

Напоминаем, что на линейку готовых решений INTEC: Universe действуют скидки:

Читайте другие наши статьи:

Wildcard-сертификаты

Wildcard-сертификаты (сертификаты с подстановочными символами) позволяют защитить базовый домен и неограниченное количество поддоменов с помощью одного сертификата. Если имеется несколько поддоменов, которые нужно защитить, приобретение Wildcard-сертификата будет намного дешевле, чем приобретение отдельных SSL-сертификатов для каждого поддомена.

Wildcard-сертификаты содержат звездочку (*) как часть общего имени. Звездочка указывается вместо любого допустимого поддомена в составе одного базового домена. Например, один Wildcard-сертификат для веб-сайта можно использовать для защиты следующих страниц:

Где получить ssl сертификат бесплатно

Нашла для вас пять способов получить SSl сертификат без затрат.

Эта некоммерческая организация выдает бесплатные SSL DV сертификаты со сроком жизни три месяца. Можно получить wildcard-сертификат.

Еще одна некоммерческая организация, которая также выдает 90-дневные DV сертификаты. Отличается от Let’s Encrypt совместимостью: как заявляет компания, их сертификаты поддерживаются на 99,99% устройств. Нет опции wildcard.

У этого сервиса есть бесплатный тариф — DV сертификат на 90 дней. Как и Free SSL, заявляют о 99,99% совместимости с серверами, браузерами и устройствами, однако на бесплатном тарифе не поддерживается wildcard.

Про сертификаты: Принцип работы пожарного датчика дыма

Этот сервис защищает сайты от DDoS-атак — моментов, когда злоумышленники пытаются перегрузить ваш сайт множеством одновременных запросов, а также ускоряет загрузку. Бесплатный SSL сертификат — приятное дополнение к сервису. CloudFlare предлагает получить SSL сертификат бесплатно и на неопределенный срок на базовом тарифе, который предназначен для личных некоммерческих сайтов.

У бесплатного SSL от CloudFlare есть одно «но». Загрузка сайта ускоряется благодаря тому, что сервис кеширует ваш сайт на свои серверы и контент попадает пользователю с них. Общение происходит по цепочке «пользователь — серверы CloudFlare — ваш сервер», и SSL зашифрует только первую связь.

Для чего нужен ssl сертификат

Во-первых, SSL сертификат поможет защитить ваших пользователей от мошенников. Какие варианты обмана могут быть:

Злоумышленник просто заберет данные пользователей из потока данных и будет использовать их в своих целях.
Более активное вмешательство — злоумышленник сможет изменить данные. Например, вы будете переводить платеж, а он поменяет счет получателя и сумму, и все ваши деньги уйдут к нему.

Во-вторых, пользователь будет спокоен — он увидит значок замка и будет чувствовать себя в безопасности.

В-третьих, получение SSL сертификата положительно скажется на ранжировании сайта поисковиками. Это знак, что вы заботитесь о безопасности пользователей, и повод для системы разместить вас повыше в выдаче.

Зачем нужен ssl-сертификат

SSL-сертификаты сайтов требуются для обеспечения безопасности данных пользователей, подтверждения прав собственности на сайт, предотвращения создание поддельной версии сайта злоумышленниками и обеспечения доверия со стороны пользователей.

Если использование веб-сайта предполагает вход в систему, ввод личных данных, таких как номера кредитных карт, или просмотр конфиденциальной информации, такой как данные медицинской страховки, или финансовой информации, то важно сохранить конфиденциальность этих данных.

Как же достичь рейтинга а ?

Как же, в итоге, достичь рейтинга «А »? Нужно выполнить следующую оптимизацию:

Отключить уязвимые SSL-протоколы (SSL v1, v2, v3)
Актуализировать набор шифров.
Сгенерировать надёжный ключ dh_param.
Включить механизм HSTS.
Ускорить SSL-переговоры с помощью OCSP Stapling.
Ускорить SSL-переговоры с помощью SPDY.
Включить кэширование.

Вот результат проделанной нами работы:

На что следует обратить внимание?

После получения рейтинга «А » мы можем видеть, что у многих старых устройств и браузеров не получается подключиться к нашему сайту, потому что они просто не поддерживают какие-то наборы шифров или протоколов.

Поэтому, я рекомендую выбрать в Mozilla-конфигураторе уровень шифрования intermediate, а не modern. Это будет достаточно надёжно, но при этом вы получите рейтинг «А». Это не критично, к тому же вы не потеряете потенциальных посетителей вашего сайта.

Как получить ssl-сертификат

SSL-сертификат можно получить непосредственно в центре сертификации. Центры сертификации, иногда также называемые сертифицирующими организациями, ежегодно выдают миллионы SSL-сертификатов. Они играют важную роль в работе интернета и обеспечивают прозрачное и надежное взаимодействие в сети.

Стоимость SSL-сертификата может доходить до сотен долларов, в зависимости от требуемого уровня безопасности. После выбора типа сертификата можно найти издателей сертификатов, предлагающих SSL-сертификаты нужного уровня.

Получение SSL-сертификата включает следующие шаги:

После получения сертификата его необходимо настроить на вашем веб-хосте или серверах, если вы обеспечиваете хостинг веб-сайта самостоятельно.

Скорость получения сертификата зависит от типа сертификата и поставщика сертификатов. Для завершения каждого уровня проверки требуется разное время. Простой SSL-сертификат, подтверждающий домен, может быть выпущен в течение нескольких минут после заказа, а получение сертификата с расширенной проверкой может занять целую неделю.

Как работает ssl-сертификат

Когда мы заходим на защищённую страницу, браузер посылает серверу запрос. Помимо прочего, в этом запросе передаётся ID сессии. Далее браузер передаёт набор тех шифров, с которыми он может работать, и по какому протоколу. Сервер на основании этой информации решает, по какому протоколу они будут общаться в дальнейшем, какими наборами шифров они будут шифровать информацию, и отправляет браузеру ответ со своим сертификатом и открытым ключом.

Браузер проверяет сертификат: не отозван ли, не просрочен ли, убеждается в доверенности сертификационного центра, который его выписал. Далее браузер шифрует информацию открытым ключом и передаёт серверу вместе с нужными ему данными. С помощью закрытого ключа сервер расшифровывает полученную информацию.

Как работают ssl-сертификаты?

Использование SSL гарантирует, что данные, передаваемые между пользователями и веб-сайтами или между двумя системами, невозможно прочитать сторонним лицам или системам. SSL использует алгоритмы для шифрования передаваемых данных, что не позволяет злоумышленникам считать их при передаче через зашифрованное соединение.

Процесс работает следующим образом:

Браузер или сервер пытается подключиться к веб-сайту (веб-серверу), защищенному с помощью SSL.
Браузер или сервер запрашивает идентификацию у веб-сервера.
В ответ веб-сервер отправляет браузеру или серверу копию своего SSL-сертификата.
Браузер или сервер проверяет, является ли этот SSL-сертификат доверенным. Если это так, он сообщает об этом веб-серверу.
Затем веб-сервер возвращает подтверждение с цифровой подписью и начинает сеанс, зашифрованный с использованием SSL.
Зашифрованные данные используются совместно браузером или сервером и веб-сервером.

Этот процесс иногда называют подтверждением SSL-соединения. Хотя по описанию этот процесс выглядит длительным, в реальности он занимает миллисекунды.

Как узнать, есть ли у сайта ssl-сертификат

Самый простой способ узнать, есть ли у сайта SSL-сертификат – обратить внимание на следующие элементы в адресной строке браузера:

Какой ssl-сертификат выбрать для сайта |

SSL-сертификаты бывают трёх типов: с проверкой домена, проверкой организации и расширенной проверкой организации. Проверка — это обязательная процедура, которую понадобится пройти, чтобы получить сертификат. Её проводит компания-издатель сертификата — центр сертификации.

При проверке домена понадобится просто подтвердить, что вы владеете доменом, для которого покупаете сертификат. Это можно сделать тремя способами: добавить DNS-запись в зону домена, загрузить специальный файл на хостинг, где хранится ваш сайт, или перейти по ссылке в письме, которое отправят на почту на вашем домене.

При обычной и расширенной проверке организации понадобится подтвердить владение доменом, ответить на проверочный звонок и предоставить центру сертификации юридическую информацию о бизнесе. То есть бизнес должен быть зарегистрирован официально. Иначе сертификат с такой проверкой получить не выйдет.

Проверка не влияет на то, как сертификат зашифровывает данные, все они одинаково надёжны. Но информация, которую вы отправите при проверке, потом станет частью сертификата. Это значит, что её сможет увидеть любой человек, который кликнет на значок замка в адресной строке.

Про сертификаты: Что такое SSL-сертификат

Если у вас сертификат с проверкой домена, там будет информация только о домене, для которого выпустили сертификат. А если сертификат с проверкой организации, кроме домена будет также информация о регистрации бизнеса. Она поможет посетителю понять, что перед ним сайт, который принадлежит реальной компании.

Как достичь рейтинга А для SSL-сертификата на вашем сайте, и другие аспекты безопасности хостинга / Хабр

Информация о регистрации Википедии в Mozilla Firefox

Сертификаты с расширенной проверкой также добавляют юридическое название компании прямо в адресную строку. Это имиджевый элемент, от которого отказываются разработчики большинства браузеров в новых версиях. Но в Opera и старых версиях других популярных браузеров такая строка ещё есть.

Как достичь рейтинга А для SSL-сертификата на вашем сайте, и другие аспекты безопасности хостинга / Хабр

Строка с юридическим названием в Opera

Можно ли использовать ssl-сертификат на нескольких серверах?

Один SSL-сертификат можно использовать для нескольких доменов на одном сервере. В зависимости от поставщика, можно также использовать один SSL-сертификат на нескольких серверах. Это позволяют мультидоменные SSL-сертификаты, описанные выше.

Как следует из названия, мультидоменные SSL-сертификаты работают с несколькими доменами. Количество доменов остается на усмотрение конкретного центра сертификации. Мультидоменный SSL-сертификат отличается от однодоменного SSL-сертификата, который, как следует из названия, предназначен для защиты одного домена.

Мультидоменные SSL-сертификаты также называются SAN-сертификатами. SAN означает альтернативное имя субъекта. Каждый мультидоменный сертификат имеет дополнительные поля (например, альтернативные имена субъектов), которые можно использовать для перечисления дополнительных доменов, чтобы на них распространялся один сертификат.

Сертификаты унифицированных коммуникаций (UCC) и Wildcard-сертификаты также можно применять на нескольких доменах и, в последнем случае, на неограниченном количестве поддоменов.

Мультидоменные сертификаты (mdc)

Мультидоменные сертификаты можно использовать для защиты нескольких доменных и поддоменных имен, включая сочетания полностью уникальных доменов и поддоменов с разными доменами верхнего уровня (TLD), за исключением локальных / внутренних доменов.

Например:

О безопасности сервера

Установка SSL-сертификата на сервер ещё не означает, что данные ваших клиентов в полной безопасности. Поэтому хотел бы дать несколько советов.

Разграничивайте свои сервисы по разным VPS-серверам. Кстати, «1С-Битрикс» как минимум умеет разворачивать веб-кластер из коробки. Пример из технической поддержки: часто клиенты сообщают о проблемах со спамом. Либо их заспамили, либо они получили уязвимость на сайте и им загрузили скрипт, рассылающий спам. В итоге у клиента забиваются либо inode, либо дисковое пространство. Но по сути это проблема не спама, а неработоспособности самого сайта, когда элементарно не могут выполняться операции ввода-вывода. Сайт не работает, база данных не работает.
Всегда проставляйте корректные права на файлы и директории. На директории — 755 на файлы — 644. К счастью, «1С-Битрикс» это тоже умеет делать по умолчанию. Никогда не оставляйте файлы без пользователей группы, этим тоже могут воспользоваться злоумышленники.
Не ставьте лёгкие для понимания человека пароли, которые поддаются подбору.
Ограничивайте доступ к 22 порту, а также к другим портам IPtables, то есть к файрволу сервера.
Также я бы советовал отключить и не пользоваться FTP, лучше перейти на SFTP.
Откажитесь от telnet, используйте SSH.

Безопасность вашего сервера напрямую зависит от того, кто именно им управляет, а также от вас. В противном случае вы можете проснуться однажды утром и увидеть на своем сайте приблизительно такое:

Оптимизация сервера

Я приведу список оптимизаций только для NGINX, настраивать Apache нужно приблизительно так же.

Сертификаты унифицированных коммуникаций (ucc)

Сертификаты унифицированных коммуникаций (UCC) также считаются мультидоменными SSL-сертификатами. Сертификаты унифицированных коммуникаций изначально были разработаны для защиты серверов Microsoft Exchange и Live Communications. Сегодня любой владелец веб-сайта может использовать эти сертификаты, чтобы обеспечить защиту нескольких доменных имен с помощью одного сертификата.

Сертификаты унифицированных коммуникаций проверяются на уровне организации. Для них в браузере отображается значок замка. Сертификаты унифицированных коммуникаций можно использовать в качестве сертификатов с расширенной проверкой, чтобы обеспечить посетителям веб-сайта максимальную безопасность.

Важно различать типы SSL-сертификатов, чтобы получить правильный тип сертификата для веб-сайта.

Сертификаты, подтверждающие организацию (ov ssl)

Этот тип SSL-сертификатов имеет такой же уровень доверия, что и сертификаты с расширенной проверкой, поскольку для его получения владелец веб-сайта должен пройти основательную проверку. Для этого типа сертификатов информация о владельце веб-сайта также отображается в адресной строке, что позволяет отличить его от вредоносных сайтов.

SSL-сертификаты, подтверждающие организацию, обычно являются вторыми по стоимости (после SSL-сертификатов с расширенной проверкой). Их основная цель – зашифровать конфиденциальные данные пользователей при транзакциях. Коммерческие или общедоступные веб-сайты должны устанавливать сертификаты, подтверждающие организацию, чтобы гарантировать конфиденциальность информации о клиентах.

Тестирование сервера

Можем ли мы быть полностью уверены в том, что данные наших пользователей и клиентов сайта находятся в безопасности из-за одного лишь факта установки SSL-сертификата? Для ответа на этот вопрос давайте рассмотрим три аспекта:

Для примера я выбрал сервер, на котором был предустановлен ряд приложений. Front-end —NGINX, back-end — Apache.

Ресурс SSL LABS принадлежит компании QUALYS, которая с 1999 года занимается облачной защитой, так что я считаю, что ему можно доверять. Прямо в панели можно установить SSL-сертификат, без каких-либо вмешательств в настройки сервера. Рейтинг довольно плохой — “С”.

И первое, на что я хочу обратить внимание, — сервер до сих пор поддерживает старый протокол SSLv3, уязвимый к POODLE-атаке, в ходе которой можно перехватывать и расшифровывать данные. Злоумышленник может намеренно заставить нашего клиента использовать неактуальный уязвимый протокол SSLv3, и воспользоваться этим в своих целях.

Типы ssl-сертификатов

Существуют разные типы SSL-сертификатов с разными уровнями проверки. Шесть основных типов:

Сертификаты с расширенной проверкой (EV SSL)
Сертификаты, подтверждающие организацию (OV SSL)
Сертификаты, подтверждающие домен (DV SSL)
Wildcard-сертификаты
Мультидоменные сертификаты (MDC)
Сертификаты унифицированных коммуникаций (UCC)

У хостинг-провайдера или регистратора доменных имен

Это условно-бесплатный способ получить SSL сертификат. Если вы только собираетесь заводить сайт или ищете новый хостинг — рассмотрите предложения, где бонусом идет сертификат.

Регистратор доменных имен предлагает бесплатный SSL сертификат при покупке имени

Упрощение задачи

Не каждый из нас обладает навыками системного администрирования, поэтому я предлагаю всё вышеперечисленное забыть и немного упростить задачу.

Есть такой ресурс, как Mozilla SSL Configuration Generator. На нём можно в несколько кликов сформировать уже готовый виртуальный хост с нужными настройками, которые позволят вам получить в SSL LABS рейтинг «А». К примеру, мы выбираем веб-сервер NGINX, уровень шифрования modern, то есть самый безопасный, и указываем версию сервера. После генерирования нашего конфигурационного файла мы получаем все директивы, которые необходимы.