Срок действия сертификата безопасности сайта истек: что делать

На срок действия SSL-сертификатов существуют ограничения: максимум – 27 месяцев (24 мес. – срок действий и 3 месяца на пролонгацию). Сертификация осуществляется раз в два года, раз в год или в соответствии с обозначенными SSL-документом сроками (90 дней для Let’s encrypt).

Окончание срока означает, что соединение между физическим лицом и сайтом больше не кодируется по протоколу криптографического шифрования SSL (Secure Sockets Layer). Веб-ресурс взаимодействует с пользователем только по http – Hypertext Transfer Protocol – который не шифрует передаваемую информацию. Нахождение пользователя на сайте больше не защищено.  Его персональные данные (пароли, логины и др.) могут быть перехвачены мошенниками, стали доступны провайдеру, оператору или администратору сети Wi-Fi.

Визуально отсутствие SSL выразится в замене закрытого замочка на другой знак перед адресом сайта в строке браузера, например на восклицательный знак в кружочке или метку «не защищено», на появление предупреждения об истечении срока действия SSL-документа перед заходом на сайт, исчезновению в https буквы «s», указывающей на защищенный протокол: там будет http.

Потенциальные последствия:

  • Отказ от взаимодействия с сайтом со стороны банков, платежных систем и др.
  • Падение престижности фирмы. Уровень верификации EV, например, делает адресную строку зеленого цвета и подписывает имя компании, что указывает на максимум защищенности. А уровень OV подтверждает существование и доменного имени и компании. С окончанием срока действия эта маркировка исчезнет. Это вызовет сомнения у опытных пользователей, постоянных клиентов при виде появившейся отметки «не защищено».
  • Сокращение потока пользователей. Они видят предупреждение на веб-ресурсе об истечении периода сертификации и не хотят им далее пользоваться.
  • Изменение места в ранжировании поисковыми системами: посетителей становится намного меньше, они не задерживаются на странице. Поисковики понижают такие сайты в выдаче. Специалисты полагают, что для Гугл наличие SSL улучшает ранжирование на 1-2%.
  • Падение прибылей, потому что покупатели не хотят пользоваться небезопасным ресурсом, вводить данные, пароли, общаться с менеджерами компании при риске, что их сообщения будут перехвачены или искажены.
  • Вышеуказанные проблемы умножаются многократно при прекращении срока действия сертификатов типа:
    • WC – распространяются на поддомены, включая 3 уровня;
    • MD – защита множества доменов, до 100 шт.;
    • Server Gated Cryptography – SGC – часто домены сайтов государственных структур.

Как продлить платный сертификат безопасности сайта

О необходимости обновления пользователь предупреждается за несколько дней до истечения старой версии. Новый сертификат действует с момента активации, поэтому возможно одновременное функционирование и старого и нового сертификационного документа в один отрезок времени.

Как выполнить:

  1. Воспользоваться услугой «Автообновление». Опция включается в личном кабинете провайдера, с баланса аккаунта списывается сумма стоимости нового SSL-документа. Переустановка на хостинг часто не требуется.
  2. Продлить сертификат вручную в установленный срок. Обычно не более 30 дней до истечения предыдущего. Для этого в личном кабинете у провайдера выбирается раздел «Сертификаты», вкладка «Продлить» или «Продлить с изменением уровня доверия». К примеру, рядовой сертификат можно поменять на бизнес-вариант (OrganizationSSL) или на опцию с расширенной проверкой (ExtendedSSL).

Для 2 случая может понадобиться переустановка для хостинга. Информация по сертификату высылается на электронную почту, часть из нее в виде корневого, промежуточного, основного сертификатов и CSR-запроса может дублироваться в Личном кабинете у провайдера.

Азаренко Михаил
Азаренко Михаил
Вебмастер со стажем 10+ лет
Задать вопрос
Порядок установки различается у разных провайдеров, зависит способа управления сервером. Если это, к примеру, ISP-менеджер для VPS, то сертификационные документы устанавливаются автоматически. В личном кабинете выбирается сертификат, к нему прикрепляются файлы, полученные по почте, направляется заявка на установку.

Или добавляется новый сертификат, в который вставляются данные, полученные по электронной почте.

Для установки на выделенном сервере Nginx выполняются следующие действия:

  • В текстовом редакторе создается файл ваш_домен.crt, в него без пробелов из письма вставляются сертификат, корневой сертификат, промежуточный сертификат. Они разделяются ——BEGIN CERTIFICATE—— и ——END CERTIFICATE——.
  • Создается файл ваш_домен.key, в который копируется приватный ключ.
  • Оба вышеуказанных файла складываются в директорию, обычно, /ect/ssl/.
  • Выполняется мини-настройка виртуального хоста путем добавления в файл конфигурации Nginx следующей информации:

server { listen 443 ssl;
server_name ваш_домен;
ssl_certificate указывается путь до файла ваш_домен.crt  например /ect/ssl/ ваш_домен.crt;
ssl_certificate_key указывается путь до файла ваш_домен.key, например /ect/ssl/ ваш_домен.key; }.

Как обновить бесплатный сертификат безопасности сайта

Бесплатная продукция такого типа предоставляется автоматизированным центром сертификации Let’s encrypt. Для выпуска и последующего продления применяется Certbot, который скачивается с certbot.off.org, устанавливается непосредственно на С, запускается через командную строку или Power Shell. В Пауэр Шелл набираем:

cd Certbot
certbot renew —force -renewal   (команда обновляет все сертификаты)
certbot renew —force -renewal -d www.ваш_домен.ru, ваш_домен.ru (с www и без него, выборочное обновление)

Азаренко Михаил
Азаренко Михаил
Вебмастер со стажем 10+ лет
Задать вопрос
Когда к серверу обращаются через браузер, то сервер, к примеру Nginx, проверяет сертификаты, созданные посредством Certbot на подлинность. Информация при этом считывается единожды и кешируется. Для извещения сервера об изменении сертификатов ему нужно об этом “сообщить” посредством команды reload. Кэш сбросится без перезапуска Nginx, что оставляет сайт доступным для пользователей на время выполнения команды.

Как узнать, до какого числа действует ssl (https) сертификат?

Метод для рядовых пользователей (может различаться для разных браузеров):

  1. Нажимаем значок «замочек» в адресной строке, открываем информацию о соединении.
  2. В подразделе «Подробнее» смотрим дату.

Вебмастера могут узнать срок действия SSL-документов в личном кабинете провайдера в разделе «Сертификаты». Там указывается доменное имя и дата окончания.

Проверить сам файл сертификата (представляет собой текстовый файл) можно на сайте sslshopper.com. Для этого файл сертификата начиная с ——BEGIN CERTIFICATE—— и заканчивая ——END CERTIFICATE—— вставляется в раздел certificate-decoder. После проверки внизу высвечивается информация о сертификационном продукте.

Программисты проверяют сроки действия сертификатов SSL с применением библиотеки OpenSSL, которая устанавливается в Linux в дистрибутивах, доступна для установки в Windows. Здесь с точностью до секунд проверяется дата истечения сроков SSL-документов для действующего сайта, срок действия самозаверяющегося сертификата (выпущенного создателем сертификационного документа), срок из файла в кодировке pem.