Что нужно делать при переводе сайта на HTTPS?

Question

[Евгений]

Добрый день. Никогда не задавался этим вопросом, но пришёл приказ на работе перевести сайт на протокол HTTPS.

Погуглив я понял, что нужно покупать SSL-сертификат для сайта.

Но появились вопросы

1) Будет ли дополнительно грузиться сервер если сайт будет работать через HTTPS
2) Нужно ли проводить настройку? Если да, то где. Апач/ IIS или эта настройка на уровне домена?

Comments

[d'Ivan]

А сейчас какой сервер обслуживает запросы?

[Евгений]

Роман Мирр, Конкретно сейчас IIS , который стоит на локальной машине

[d'Ivan]

Евгений, в нем тоже есть работа с протоколом HTTPS.

[Евгений]

Роман Мирр, Я это нашёл , но SSL-ку покупать то всё равно нужно

[ky0]

Евгений, только ради освоения бюджета - других объективных причин в общем-то нет.

[Евгений]

ky0, Просто я в этом почти не шарю поэтому не в курсе реально ли бесплатно юзать сайт через https , чтобы было написано - безопасное подключение. Если у вас есть статья где про эту настройку можно почитать, буду рад ознакомиться)

[ky0]

Евгений, вот хорошая статья про бест-практиксы, но она больше теоретическая - https://github.com/ssllabs/research/wiki/SSL-and-T.... Для понимания практических шагов гуглите интеграцию Let`s Encrypt с IIS (ну или переходите на какой-нибудь менее тяжеловесный сервер).

Answer 1

[Александр]

Для перевода сайта на https все сводится к копированию двух файлов key.pem и certificate.cer и прописанию их в настройки. Для Apache:

<VirtualHost *:443>
    ServerName mysite.com

    SSLEngine on
    SSLCertificateFile /home/mysite/certificate.cer
    SSLCertificateKeyFile /home/mysite/key.pem
</VirtualHost>

Сертификат может быть купленным - организация выдавшая тем самым подтверждает что сайт принадлежит такой-то организациии. Также сертификат может быть "самодельным"(selfsigned) - когда вы сами подтвержаете что сайт ваш, естественно это может сделать кто угодно и браузеры будут ругаться на недостоверность сертификата.

Comments

[Евгений]

Настроечки эти видел, но как я понимаю, чтобы было безопасное подключение нужен только платный SSL ?

[ky0]

Евгений, конечно, нет. Любой сертификат, выданный доверенным УЦ, приватный ключ которого вы сохраняете в безопасности подойдёт. Бесплатность нисколько не делает его хуже.

Answer 2

[Виктор Л]

1)Посмотрите Хостинг и Регистратор домена какие у них есть предложения по SSL сертификатам может там есть бесплатная или можно купить
2) Да производить настройку нужно все зависит от того на чем это у вас крутится

Comments

[Евгений]

В качестве хостинга у нас юзается наша машина со статик ip адрес, и уже админ стягивает его с доменом.

У нас просто несколько сайтов и часть работает на IIS часть на Apache.

Как я понял https это 443 порт http 80.

Как настроить в принципе нашёл вот тут Ссылка

Но меня интересует самое главное - нагрузка на ЦП. Будет ли создаваться дополнительная нагрузка на процессор? Если да то примерно насколько больше чем было?

[Виктор Л]

Евгений, Сервер теперь вынужден всё шифровать. Разумеется, это нагрузка увеличится

[Евгений]

Виктор Л, А примерно прикинуть в % можно на сколько? Чтобы знать нужно ли модернизировать текущую машину

[hint000]

Евгений, в современных процессорах есть очень эффективное ускорение AES-шифрования: https://ru.wikipedia.org/wiki/Расширение_системы_к...

Другой вопрос, насколько широко на практике используется именно AES в https-трафике, там ведь допустимы и другие алгоритмы. Любопытно узнать статистику.

[Виктор Л]

Максимальная нагрузка на одно ядро CPU составляет всего 5% и лишь в редких случаях доходит до 10%.

Answer 3

[CityCat4]

Если у вас не продающий сайт - хватит LE. Если продающий - покупайте OV-сертификат у крупных поставщиков, он дороже, выдача сложнее, но престижнее :)

По настройке апача уже написал Александр . Можно добавить еще следующее:

SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
    SSLHonorCipherOrder on

первая строка отключает поддержку старых дырявых протоколов.
вторая строка задает использование только современных шифронаборов с сильной криптографией. Если на сайт будут ходить с WinXP, старых андроидов - не ставьте ее
третья строка задает использовать шифронаборы, заданные вами, а не клиентом (у которого может быть слабый и уязвимый шифронабор)