Сертификат SSL для интернет магазина

После того как мне мой любимый хостер прислал письмо, что Мозилла возьмется за сайты без HTTPS и будет их гнобить угнетать, да и заявления Google о понижении в выдаче, тоже ничего хорошего не сулят.

Я всерьез задумался, а ведь и в правду пора переходить. Блоги нет конечно — ни к чему пока, на мой взгляд..

А вот все свои интернет магазины, я решил перенести на протокол HTTPS.

Кстати!!! Создание интернет магазинов рекомендую Вам заказать у профи!

Хотя ранее меня немного пугала потеря производительности на дополнительное шифрование, расходы на SSL сертификат, да и вообще лишняя настройка сервера.

Сказано, сделано, начинаем переход на HTTPS!

1. Выбор сертификата.

Для начала перехода нам нужно определиться с сертификатом, их на рынке разнообразное количество от разных фирм (центров сертификации), есть даже бесплатные (но если они не тестовые, с ними могут быть проблемы у различных браузеров).

Мне хотелось чтобы в адресной строке браузера было зеленым написано название, однако есть несколько но:

— минимум нужен сертификат Comodo SGC SSL (сейчас его цена со скидкой 90$ в год);
— сертификаты такого уровня выдаются только организациям, после проверки документов.

Т.е. обычному простому блогу, такой вариант слишком затратный и не сильно нужный. Такое нужно организациям, особенно банковским, крутым магазинам, солидным фирмам.

Нам же подойдет обычный недорогой сертификат Comodo Positive SSL или Comodo Essential SSL.

Так же можно заказать сертификат там где вы берете хостинг или VPS, однако обычно там будет немного дороже. Зато конечно проще.

Я для начала сделал бесплатный сертификат на 90 дней на сайте Comodo (напишите в поиске free ssl comodo и вылезет страница).

Заполнил на Комодо нужные поля по шагам.

Произвел генерацию приватного ключа:

openssl genrsa 2048 > key.pem

Создал запрос на сертификацию на основе секретного ключа:

openssl req -new -key key.pem -out csr.pem

Пишу по памяти, могут быть неточности в ходе процесса, но у вас все получится, если будете читать и не будете спешить.

Заполнил, адреса, почты, телефоны и прочее все что нужно.

На почту пришел архив с файлами такого вида

STAR_yourdomain_ext.crt
COMODORSADomainValidationSecureServerCA.crt
COMODORSAAddTrustCA.crt
AddTrustExternalCARoot.crt

«Засовываем» все нужное в один файл командой

cat STAR_yourdomain_ext.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > bundle.cer

Конечно же вписываем вместо STAR_yourdomain_ext ваше доменное имя.

2. Настройка сервера (nginx)

Хорошо, у нас уже есть сертификат, ключ и надеюсь первым сервером, который раздает статику стоит nginx, если у вас Apache, то начните с настройки и установки nginx перед Апачем.

Создаем каталог, например тут

mkdir /etc/nginx/ssl

Копируем по ssh на сервер наши ключи (привожу уже реальные, свои названия)

test_com.cer
test_com.pem

Устанавливаем на каталог права доступа (чтобы не добрались плохие люди  )

chmod 600 /etc/nginx/ssl

Переходим к файлам конфигурации сайтов nginx

/etc/nginx/sites-enabled/test.com

В секцию 80-го порта добавляем редирект с http на https (делаем 301 редирект)

server {
listen 80;
server_name test.com www.test.com;
return 301 https://test.com$request_uri;

И добавляем еще новую секцию с описанием 443 порта

server {
listen 443 ssl;
server_name test.com www.test.com;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
location ~* \.(jpg|jpeg|gif|bmp|png|pdf|zip|css|js|swf|ico|tgz|gz|rar|bz2|doc|xls|exe|ppt|txt|tar|mp3|avi|cur|htm|html|jar|jnlp)$ {
root /data/site/test.com/www;
expires 30d;
}
ssl on;
ssl_certificate /etc/nginx/ssl/test_com.cer;
ssl_certificate_key /etc/nginx/ssl/test_com.pem;
access_log /var/log/nginx/test.com-ssl_access.log;
error_log /var/log/nginx/test.com-ssl_error.log;

Из особенностей: я пока не включаю технологию SPDY и сокетную опцию SO_REUSEPORT (которая появилась в версии nginx 1.9.1), эти технологии я буду опробовать на новом тестовом VPS, который я делаю тут ссылка (очень недорого — 250 рублей)

Так же строкой ssl_protocols TLSv1 TLSv1.1 TLSv1.2; мы указали не использовать и отключить SSLv3 полностью, чтобы не подвергнуться атаке POODLE.

Релоадим nginx и пробуем зайти на блог, уже должно работать, если конечно нет ошибок.

service nginx reload

3. Приведение к зеленому статусу https

Скорее всего у вас уже начал работать блог по https, однако картинки и возможно стили, может js файлы плагинов все еще запрашиваются с http, в таком случае у вас в IE будет предупреждение, а в Хроме не будет зелененького))

Теперь нас предстоит довольно кропотливая работа, нужно заменить все упоминания http, на https. И делать это нужно аккуратно и с умом.

Для начала переходим в админку блога и меняем http на https — это делается в Настройки — Общие

Возможно вы не сможете зайти в админку и у вас будет ошибка ERR_TOO_MANY_REDIRECTS, я напишу отдельную заметку с решением — ссылка.

После того как поменяли, дальше меняем адреса к картинкам блога, это делается запросом MySQL, например в PHPMyAdmin

Заменить картинки в блоге на https

UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://test.com/', 'https://test.com/');

Замените test.com на адрес вашего блога.

Дальше я долго копался в css и различных модулях, искал Firebug’ом где вызывается http и правил.  В итоге все получилось.

4. SiteMap и Robots, аналитика

Проверяем чтобы sitemap.xml отдавал ссылки и они начинались с https, скармливаем Яндекс Вебмастеру новый sitemap.xml

Правим robots.txt . Меняем HTTP на HTTPS.

Всё ))