Управление SSL-сертификатами

Для всех сайтов под защитой DDoS-Guard предоставляется бесплатный SSL-сертификат от Let’s Encrypt. Сертификат выдается автоматически при соблюдении следующих условий: 

  • При добавлении домена выбран тип сертификата бесплатный Let’s Encrypt (можно изменить на вкладке SSL)
  • А-записи защищаемого домена и всех его поддоменов направлены только на защищенный IP
  • У защищаемого домена и всех его поддоменов нет АААА-записей (IPv6)
  • Основной домен имеет корректную SOA-запись
  • Основной домен имеет корректную NS-запись
  • Домен не имеет CAA-записей, либо CAA-запись разрешает выпуск сертификатов от Let’s Encrypt

Бесплатные SSL-сертификаты выдаются автоматически для основного защищаемого домена, а также для любого поддомена, который принимает запросы от посетителей. Для услуги «Защита сети» — для любого домена в сети, который принимает запросы.

Сертификат выпускается не сразу, а только после того как система зафиксирует достаточное количество запросов к поддомену, на которые был получен 2хх ответ. Такой механизм защищает от атак на несуществующие поддомены.

Если ваш сервер отвечает с кодом 200 на запросы к любым страницам, злоумышленники могут исчерпать лимит выдачи бесплатных сертификатов, делая запросы к несуществующим поддоменам

Изменить настройки SSL, просмотреть выданные сертификаты и увидеть логи событий можно на вкладке SSL в настройках объекта защиты — домена (для «Защиты сайта») или правила защиты домена/сети (для «Защиты сети»).

Правила выдачи сертификатов

Вкладка SSL, добавлено правило выдачи сертификатов с паттерном novosti.%

Правила выдачи сертификатов позволяют ускорить выпуск сертификатов. Правило представляет собой паттерн — шаблон домена, для которого планируется выпустить сертификат.

Для доменов, которые соответствуют хотя бы одному паттерну, сертификат будет выпущен заранее (если паттерн указывает на конкретный домен) или сразу после первого запроса к домену (если паттерн содержит wilcard-часть %).

В паттерне один или несколько сегментов URL могут быть заменены на wildcard-символ %. Так, например паттерну novosti.%.example.com будут соответствовать домены novosti.161.example.com, novosti.moscow.example.com и любые другие, у которых между сегментами news и example есть еще один сегмент.

Вкладка SSL, добавление правила выдачи сертификатов. Указан паттерн novosti.%

Для основного домена добавлять правило не нужно, сертификат всегда будет выпускаться автоматически

Выданные сертификаты

Вкладка SSL, список выданных сертификатов для различных поддоменов example.com

В списке можно просмотреть и скачать бесплатные сертификаты, выпущенные для ваших доменов. Чтобы скачать сертификат или приватный ключ в формате .pem, нажмите на иконку в правой части строки ( ).

Для совершенно разных доменов и поддоменов может быть выпущен общий SAN-сертификат. Благодаря этому вы с гораздо меньшей вероятностью столкнетесь с исчерпанием лимитов центра сертификации

События SSL



Вкладка SSL, список событий SSL. Включает информацию о доменах, времени запросов, статусе операции и сообщения об ошибках

История событий SSL отображает запросы результат запросов на выдачу бесплатных сертификатов. Если при выдаче сертификата произошла ошибка, информация о ней отобразится здесь.

Минимальная версия TLS

Вкладка SSL, управление минимальной версией TLS. Выбрана версия TLS 1.3

Настройка минимальной версии TLS позволяет ограничить доступ к сайту для посетителей с устаревшей версией TLS-клиента, чтобы повысить защиту сайта от атак на уязвимости прошлых версий TLS.

Чтобы выбрать оптимальную версию TLS, изучите распределение по версиям TLS среди посетителей ваших доменов на вкладке Статистика

 

Вкладка SSL, загружен пользовательский сертификат

Если у вас есть SSL-сертификат для защищенного домена, вы можете загрузить и использовать его вместо бесплатного Let's Encrypt. 

Чтобы загрузить пользовательский сертификат:

  1. Переключите режим SSL на Пользовательский
  2. В форме добавления сертификата вставьте содержимое файла сертификата и ключ, активируйте или оставьте выключенным OCSP stapling
  3. Нажмите Загрузить

При успешной загрузке в личном кабинете появится информация о вашем сертификате.

При переключении обратно на Бесплатный режим вся информация о загруженном сертификате будет удалена

OCSP stapling

При загрузке вы можете включить опцию OCSP stapling (доступна в некоторых тарифах и в магазине дополнительных услуг). Подробнее об OCSP stapling читайте в нашем блоге

Настройка ключей шифрования

Вкладка SSL, настройка набора шифров

Настройка минимальной версии TLS позволяет ограничить доступ к сайту для посетителей с устаревшей версией TLS-клиента, чтобы повысить защиту сайта от атак на уязвимости прошлых версий TLS.

Статистику по версиям TLS среди посетителей вашего сайта можно найти на вкладке «Общая статистика».

Кроме того, вы можете выбрать Пользовательский набор шифров, который позволяет исключить конкретные ключи шифрования, например чтобы соответствовать более строгим требованиям безопасности. Выберите ключи, которые хотите оставить, и нажмите Сохранить.

Настройка набора шифров доступна только для услуги «‎Защита сайта»‎

Наши решения

Защита сайта

Обеспечим защиту от DDoS-атак на уровне L7 OSI и быструю доставку контента с помощью CDN

Защита сети

Защитим инфраструктуру сети от DDoS-атак на уровнях L3-L7 OSI с неограниченным количеством префиксов

Защищенный выделенный сервер

Аренда физического сервера с защитой от DDoS-атак в ЦОДе уровня Tier III

Защищенный VDS/VPS

Аренда виртуальных выделенных серверов с защитой от DDoS-атак и гибкой настройкой конфигурации

Защищенный хостинг

Хостинг на серверах DDoS-Guard с защитой от всех известных DDoS-атак и ускоренной доставкой контента (CDN)

WAF

Отслеживайте попытки вредоносного вторжения и получайте подробную аналитику