Массовый перевод сайтов на HTTPS

[number4]

Решил я, что хватит тянуть и перевел массово все говносайты на HTTPS.
Три дня потратил, на полуавтоматизированном процессе переключил все на https

Мой совет: никогда так не делайте Лучше постепенно и растянуть удовольствие на месяц.
Почему?
Гугл считает, что по https - это новый сайт и надо его переиндексить. Все б хорошо, но когда переиндексируется сотня сайтов одновременно...
бэкенды короче дымятся уже неделю.

Tasks: 168, 74 thr; 37 running
Load average: 31.04 33.22 34.15


Второй интересный момент:
старые сайты (более 2х) лет после перевода на https потеряли весь гугл траффик, при этом субдомены, которые не переводились на https трафик не потеряли. Есть вероятность, что трафик вернется на уровень 70-80% от предыдущих значений.

[yandexru]

хуй знает, я за 3 минуты переключу на https, на другой домен перенесу за 10 минут, ркн научил

[number4]

Краткая инструкция, как перевести дешево и сердито на HTTPS сайты:


1. идем в консоль линукса, на пример в убунту:
apt-get update;apt-get install software-properties-common -y
затем
echo|add-apt-repository ppa:certbot/certbot;apt-get update;apt-get install python-certbot-nginx -y;apt-get autoremove

если все ок, certbot установился.
Эта приблуда генерит SSL от Letsencrypt.org. Сертификат бесплатный, браузеры его понимают (корневой сертификат установлен почти везде, так что ок)

2. Теперь нужно сгенерить сертификаты.
Сертификат тип SNI - то есть один сертификат на N доменов.
Но не нужно пихать в один сертификат все свои домены. Любой, кто захочет, сможет проверить SSL чекером сертификат любого домена и получит в списке все ваши домены, на которых действует сертификат.
Лучше так: если сайтов сидит много, то генерить бандлами типа
www.site.com , site.com - то есть делать SNI на два сайта: www. и без www


3. Первый запуск цертбота
При первом запуске нужно согласится с TOS и указать емейл.
Емейл указывается один раз на весь сервер. Я использую специальные "мусорные" емейлы, которые выглядят как нормальные. В данном случае на указанный емейл приедет конфирм регистрации, а потом чуть позже первый спам от EFF - это нестрашно вовсе.

итак, в консоли:
certbot --nginx -d www.site.com,site.com

где
--nginx - это юзать нгинкс
--apache - соотвествено апач

внимание: синтаксис конфигов должен быть валидным перед запуском, иначе облом. То есть должны быть либо две секции
server { } с server_name www.site.com и server_name site.com
или server_name www.site.com site.com;


значит далее: указать емейл, согласится, затем нажать Y
два сертификата будут выписаны и прописаны автоматом в конфиг. в завершении будет выбор:
оставить сайт доступным по http/https или только по https
естественно п.2
В принципе на этом все.
Но я обычно привожу конфиги в нормальный вид, типа:
server {
listen 1.1.1.1:80;
listen 1.1.1.1:443;
server_name www.site.com;
ssl_certificate /etc/letsencrypt/live/site.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/site.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
return 301 https://site.com$request_uri;
}

server {
listen 1.1.1.1:80;
listen 1.1.1.1:443;
server_name site.com;
ssl_certificate /etc/letsencrypt/live/site.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/site.com/privkey.pem;
include /etc/letsencrypt/options-ssl-nginx.conf;
if ($scheme != "https") {
return 301 https://$host$request_uri;
}
.....



все следующие запуски бота:
certbot --nginx -d www.site.com,site.com -n

[holms]

в исп5 сейчас есть поддержка ssl от Letsencrypt. быстро и удобно.

[FastJack]

работает не трогай, нахуй ета лотерея то, делай новое на HTTPS а старое лучше не трогать

[Petter]

Цитата:

Сообщение от FastJack

работает не трогай, нахуй ета лотерея то, делай новое на HTTPS а старое лучше не трогать

солидарен с данным мнением. нахрена переносить старый работающий норм и проводить эти эксперименты? новый уже не вопрос, только на него надо.

[Вебстер]

Если это не ИМ, или какие-то сервисы, а тупо информационный сайт, то его вообще не нужно переводить на защищенный протокол.
Тем более что гугл пояснил - на позицию в выдаче ваш http-протокол не повлияет, в худшем случае будет предупреждение о "небезопасном сайте" в строке ввода адреса.

[huyum]

Я бы с бесплатным ssl от Let's Encrypt был ооочень аккуратен, ибо бесплатный... куча подводных камней, если смотреть в завтрашний день...
Он уже засран порядком, и есть шансы что в будущем с ним вообще что угодно может произойти, а сайты уже висят в топе... придется что-то срочно предпринимать, покупать платный, дорогой сертийикат и т.д. В любом случае ненужная потенциальная встряска.

[Cisco]

huyum, один бесплатный выдавальщик сертификатов (из китая вроде) уже сдох. Кроме того нужно уметь навастривать его перегенерацию каждые 3 месяца, которая при каких то обстоятельствах зачастую не срабатывает.

[denis4web]

Цитата:

Я бы с бесплатным ssl от Let's Encrypt был ооочень аккуратен, ибо бесплатный... куча подводных камней, если смотреть в завтрашний день...

да какие нахер камни.
У миллионов людей он уже стоит.
Его рекомендует сам гугл. неужто он такой мудак, что бы рекомендовать и потом это отключать? Предупредит тоже за год.

платный сертификат стоит не в три дорого, а на год 700-800 р.
А это меньше сотки в месяц.

Я пользуюсь летсом уже второй год, все хорошо, всегда сам обновляется, при том что стоит у меня бесплатная панель веста на впске.
Никаких косяков нет.

Ах нет, был один раз, когда для одного домена указал левое мыло, серт не продлился, но мыло поправил и все гуд.