Управление SSL-сертификатами

Для всех сайтов под защитой DDoS-Guard предоставляется бесплатный SSL-сертификат от Let’s Encrypt. Сертификат выдается автоматически при соблюдении следующих условий: 

  • При добавлении домена выбран тип сертификата бесплатный Let’s Encrypt (можно изменить на вкладке SSL)
  • А-записи защищаемого домена и всех его поддоменов направлены только на защищенный IP
  • У защищаемого домена и всех его поддоменов нет АААА-записей (IPv6)
  • Основной домен имеет корректную SOA-запись
  • Основной домен имеет корректную NS-запись
  • Домен не имеет CAA-записей, либо CAA-запись разрешает выпуск сертификатов от Let’s Encrypt

Бесплатные SSL-сертификаты выдаются автоматически для основного защищаемого домена, а также для любого поддомена, который принимает запросы от посетителей. Для услуги «Защита сети» — для любого домена в сети, который принимает запросы.

Сертификат выпускается не сразу, а только после того как система зафиксирует достаточное количество запросов к поддомену, на которые был получен 2хх ответ. Такой механизм защищает от атак на несуществующие поддомены.

Если ваш сервер отвечает с кодом 200 на запросы к любым страницам, злоумышленники могут исчерпать лимит выдачи бесплатных сертификатов, делая запросы к несуществующим поддоменам

Изменить настройки SSL, просмотреть выданные сертификаты и увидеть логи событий можно на вкладке SSL в настройках объекта защиты — домена (для «Защиты сайта») или правила защиты домена/сети (для «Защиты сети»).

Настройки выдачи сертификатов

Настройки выдачи сертификатов дают возможность управлять тем, для каких доменов будут автоматически выпускаться бесплатные сертификаты. Доступны два режима:

  • Режим Для любых доменов — разрешает выдачу сертификатов Let's Encrypt для любых доменов (в случае «Защиты сайта» — для любых поддоменов защищенного домена), если они отвечают с кодом 2хх на достаточное количество запросов
  • Режим Только по правилам — разрешает выдачу сертификатов Let's Encrypt только для тех доменов, которые соответствуют паттерну одного из правил выдачи сертификатов

Режим Только по правилам позволяет защититься от атак на несуществующие поддомены. Если вы видите в логах выпуск сертификатов на несуществующие поддомены ваших доменов, вы можете использовать этот режим для защиты от исчерпания лимитов Let's Encrypt.

Рекомендуется использовать режим Только по правилам, если у защищаемого сайта нет поддоменов, есть ограниченное количество заранее известных поддоменов, либо поддомены строятся по одному паттерну, который может быть описан в правиле выдачи сертификатов

Вы также можете настроить максимальный уровень домена, для которого будет разрешен выпуск бесплатного сертификата. Например, если установить максимальным домен 3-го уровня, то для домена a.b.example.com (4-го уровня) выдача сертификата будет запрещена.

Сейчас максимальный уровень домена имеет приоритет над правилами выдачи сертификатов, в будущем это будет изменено.

 

Правила выдачи сертификатов

Вкладка SSL, добавлено правило выдачи сертификатов с паттерном novosti.%

Правила выдачи сертификатов позволяют ускорить выпуск сертификатов. Правило представляет собой паттерн — шаблон домена, для которого планируется выпустить сертификат.

Роль правила зависит от режима выдачи сертификатов:

  • В режиме Для любых доменов — для доменов, которые соответствуют хотя бы одному правилу, сертификат будет выпущен сразу после первого запроса к домену
  • В режиме Только по правилам сертификаты выпускаются только для доменов, которые соответствуют хотя бы одному правилу

В паттерне один или несколько сегментов URL могут быть заменены на wildcard-символ %. Так, например паттерну novosti.%.example.com будут соответствовать домены novosti.161.example.com, novosti.moscow.example.com и любые другие, у которых между сегментами news и example есть еще один сегмент.

Вкладка SSL, добавление правила выдачи сертификатов. Указан паттерн novosti.%

Для основного домена добавлять правило не нужно, сертификат всегда будет выпускаться автоматически

Выданные сертификаты

Вкладка SSL, список выданных сертификатов для различных поддоменов example.com

В списке можно просмотреть бесплатные сертификаты, выпущенные для ваших доменов.

Для совершенно разных доменов и поддоменов может быть выпущен общий SAN-сертификат. Благодаря этому вы с гораздо меньшей вероятностью столкнетесь с исчерпанием лимитов центра сертификации

События SSL



Вкладка SSL, список событий SSL. Включает информацию о доменах, времени запросов, статусе операции и сообщения об ошибках

История событий SSL отображает запросы результат запросов на выдачу бесплатных сертификатов. Если при выдаче сертификата произошла ошибка, информация о ней отобразится здесь.

Минимальная версия TLS

Вкладка SSL, управление минимальной версией TLS. Выбрана версия TLS 1.3

Настройка минимальной версии TLS позволяет ограничить доступ к сайту для посетителей с устаревшей версией TLS-клиента, чтобы повысить защиту сайта от атак на уязвимости прошлых версий TLS.

Чтобы выбрать оптимальную версию TLS, изучите распределение по версиям TLS среди посетителей ваших доменов на вкладке Статистика

 

Вкладка SSL, загружен пользовательский сертификат

Если у вас есть SSL-сертификат для защищенного домена, вы можете загрузить и использовать его вместо бесплатного Let's Encrypt. 

Чтобы загрузить пользовательский сертификат:

  1. Переключите режим SSL на Пользовательский
  2. В форме добавления сертификата вставьте содержимое файла сертификата и ключ, активируйте или оставьте выключенным OCSP stapling
  3. Нажмите Загрузить

При успешной загрузке в личном кабинете появится информация о вашем сертификате.

При переключении обратно на Бесплатный режим вся информация о загруженном сертификате будет удалена

OCSP stapling

При загрузке вы можете включить опцию OCSP stapling (доступна в некоторых тарифах и в магазине дополнительных услуг). Подробнее об OCSP stapling читайте в нашем блоге

Настройка ключей шифрования

Вкладка SSL, настройка набора шифров

Настройка минимальной версии TLS позволяет ограничить доступ к сайту для посетителей с устаревшей версией TLS-клиента, чтобы повысить защиту сайта от атак на уязвимости прошлых версий TLS.

Статистику по версиям TLS среди посетителей вашего сайта можно найти на вкладке «Общая статистика».

Кроме того, вы можете выбрать Пользовательский набор шифров, который позволяет исключить конкретные ключи шифрования, например, чтобы соответствовать более строгим требованиям безопасности. Выберите ключи, которые хотите оставить, и нажмите Сохранить.

Настройка набора шифров доступна только для услуги «‎Защита сайта»‎

Оповещение об истечении сертификата

Если срок действия загруженного сертификата подходит к концу или уже истек, вы увидите соответствующее предупреждение в разделе Пользовательский сертификат:

l7ssl-noticeRU.png

Ниже вы можете настроить email-оповещение об истечении срока действия пользовательского сертификата за 24 часа или за 3, 14 и 30 дней — можно выбрать один или сразу несколько периодов оповещения.

При истечении сертификата для домена будет автоматически выпущен бесплатный сертификат Let's Encrypt. Это происходит за 48 часов до даты истечения, чтобы предотвратить недоступность вашего сайта для клиентов

Уведомление будет отправлено на основной email аккаунта. Если в один день должны быть отправлены уведомления об истечении сертификата для нескольких доменов, они будут объединены в одно письмо. 

Наши решения

Защита сайта

Обеспечим защиту от DDoS-атак на уровне L7 OSI и быструю доставку контента с помощью CDN

Защита сети

Защитим инфраструктуру сети от DDoS-атак на уровнях L3-L7 OSI с неограниченным количеством префиксов

Защищенный выделенный сервер

Аренда физического сервера с защитой от DDoS-атак в ЦОДе уровня Tier III

Защищенный VDS/VPS

Аренда виртуальных выделенных серверов с защитой от DDoS-атак и гибкой настройкой конфигурации

Защищенный хостинг

Хостинг на серверах DDoS-Guard с защитой от всех известных DDoS-атак и ускоренной доставкой контента (CDN)

WAF

Отслеживайте попытки вредоносного вторжения и получайте подробную аналитику