SSL și TLS: Cum configurați și reînnoiți certificatele pe serverul dumneavoastră

SSL și TLS reprezintă fundamentul securității comunicațiilor pe internet, iar configurarea corectă a certificatelor este obligatorie pentru orice website sau aplicație web. Un certificat SSL valid asigură criptarea datelor transmise între server și utilizatori, protejând informațiile sensibile.

Fără HTTPS, browserele moderne afișează avertismente de securitate care descurajează vizitatorii și afectează negativ clasarea în Google.

SSL și TLS: Cum configurați și reînnoiți certificatele pe serverul dumneavoastră

SSL (Secure Sockets Layer) a fost înlocuit de TLS (Transport Layer Security), dar termenul SSL este folosit în continuare pentru a descrie certificatele de securitate. Versiunile moderne utilizate sunt TLS 1.2 și TLS 1.3, variantele mai vechi fiind considerate nesigure.

Există mai multe tipuri de certificate: DV (Domain Validation), OV (Organization Validation) și EV (Extended Validation), fiecare cu un nivel diferit de verificare și vizibilitate.

Obținerea unui certificat SSL gratuit cu Let’s Encrypt și Certbot

Let’s Encrypt oferă certificate SSL gratuite, automate și recunoscute de toate browserele majore. Certbot este instrumentul oficial pentru instalarea și reînnoirea automată a acestor certificate.

sudo apt update
sudo apt install certbot python3-certbot-nginx

Pentru Apache, înlocuiți python3-certbot-nginx cu python3-certbot-apache. Obținerea certificatului se realizează cu o singură comandă care configurează automat și serverul web.

sudo certbot --nginx -d domeniu.ro -d www.domeniu.ro

Configurarea HTTPS forțat în Nginx

După instalarea certificatului, configurați serverul pentru a redirecționa automat tot traficul HTTP spre HTTPS. Aceasta elimină posibilitatea accesării site-ului prin conexiuni nesecurizate.

server {
    listen 80;
    server_name domeniu.ro www.domeniu.ro;
    return 301 https://$server_name$request_uri;
}

server {
    listen 443 ssl;
    server_name domeniu.ro www.domeniu.ro;
    ssl_certificate /etc/letsencrypt/live/domeniu.ro/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/domeniu.ro/privkey.pem;
}

Configurarea HTTPS forțat în Apache

În Apache, redirecționarea se configurează în fișierul de configurare al site-ului sau în .htaccess. Activați mai întâi modulul mod_rewrite dacă nu este activ.

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Alternativ, în fișierul de configurare Apache VirtualHost, utilizați directiva Redirect pentru o soluție mai curată și mai ușor de întreținut.

<VirtualHost *:80>
    ServerName domeniu.ro
    Redirect permanent / https://domeniu.ro/
</VirtualHost>

Reînnoirea automată a certificatelor Let’s Encrypt

Certificatele Let’s Encrypt expiră după 90 de zile. Certbot configurează automat un cron job sau un timer systemd pentru reînnoire, dar este important să verificați că funcționează corect.

sudo certbot renew --dry-run

Comanda dry-run simulează reînnoirea fără a modifica efectiv certificatele. Dacă nu apar erori, reînnoirea automată este configurată corect.

sudo systemctl status certbot.timer

Verificarea expirării certificatelor SSL

Monitorizați data expirării certificatelor pentru a evita întreruperi de serviciu. Puteți verifica expirarea direct din linia de comandă fără să accesați site-ul în browser.

echo | openssl s_client -connect domeniu.ro:443 2>/dev/null | openssl x509 -noout -dates

Setați alerte prin email sau folosiți servicii de monitorizare SSL care vă notifică automat cu 30 de zile înainte de expirare.

Configurarea parametrilor SSL pentru securitate maximă

Instalarea certificatului nu este suficientă. Trebuie să configurați și parametrii SSL pentru a dezactiva protocoalele vechi și algoritmii slabi de criptare.

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;

Implementarea HSTS pentru securitate suplimentară

HTTP Strict Transport Security (HSTS) instruiește browserele să acceseze site-ul exclusiv prin HTTPS, chiar dacă utilizatorul tastează adresa fără prefix. Aceasta elimină vulnerabilitatea la atacurile de tip SSL stripping.

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Adăugați domeniul în lista de preload HSTS după ce ați verificat că configurația HTTPS funcționează perfect. Procesul de preloading este ireversibil pe termen scurt.

Certificate SSL în cPanel: instalare și gestionare

În cPanel, certificatele SSL se gestionează din secțiunea Security > SSL/TLS. AutoSSL instalează și reînnoiește automat certificate Let’s Encrypt pentru toate domeniile din cont.

Verificați că AutoSSL este activat și că toate domeniile au certificat valid din SSL/TLS > Manage SSL Sites. Domeniile fără certificat apar cu statusul „Certificate Expired” sau „No Certificate”.

Depanarea problemelor SSL comune

Cele mai frecvente probleme SSL includ certificate expirate, lanț de certificare incomplet și erori de nepotrivire a domeniului. Folosiți SSL Labs pentru un audit detaliat al configurației dumneavoastră.

Un scor A sau A+ pe SSL Labs indică o configurație excelentă. Scorul B sau mai mic semnalează probleme care trebuie remediate urgent, în special pentru site-urile care procesează date sensibile sau plăți online.

Securitatea SSL este un element esențial al infrastructurii oricărui website profesional. Menținerea certificatelor actualizate și configurarea corectă a parametrilor TLS protejează atât datele utilizatorilor, cât și reputația afacerii dumneavoastră. Aflați mai multe despre serviciile de securitate web disponibile pe goai.ro.