Последний месяц хостеры сообщают своим клиентам следующую новость:
Google начнет помечать сайты без HTTPS как «небезопасные» с 1 января 2017 года.
Что такое HTTPS, сертификат SSL, зачем оно надо и как получить бесплатно сертификат SSL для своего сайта? Ответы на эти вопросы вы найдете далее…
Для начала разберемся, что такое HTTP и HTTPS. HTTP, или «hypertext transfer protocol», как видно из расшифровки аббревиатуры является протоколом передачи данных типа клиент-сервер (за полной теорией, кому надо, милости прошу в Википедию). HTTPS является расширением протокола HTTP, поддерживающим шифрование (Википедия).
В двух словах: передача данных по протоколу HTTP не защищена от несанкционированного доступа, а HTTPS — защищена.
Еще короче: если сайт, на котором вы вводите какие-либо личные данные: номер телефона, домашний адрес, данные платежной карточки не имеет в адресной строке вот такого замочка: 
, то лучше его обойти стороной.
То же самое в картинках:
при использовании HTTP злоумышленник без труда получает доступ к вашим данным
А вот при использовании HTTPS трафик как бы «заворачивается» в защищенную оболочку:
А теперь расскажу как получить бесплатно сертификат на свой домен сроком на три года от сервиса startssl на примере сайта ДжейСи Консалт (если лень читать — в конце поста есть видео с процессом получения сертификата).
Итак, идем на сайт startssl.com и жмем сверху «sign up» (я выбрал русский язык, т.к. демонстрировал процесс товарищу, и пожалел несколько раз — сайт локализован очень плохо):
Далее вводим свой e-mail, соглашаемся с условиями договора (не забыв их прочитать) и жмем «send verification code».
И бежим проверять почту на наличие кода подтверждения такого вида: CVMKLDFNBKDBS. Соответственно, на следующем этапе вставляем его в форму и переходим к следующему шагу. Надо придумать пароль для так называемого логин-сертификата:
Жмем скачать файл и сохраняем куда-нибудь наш логин-сертификат:
Далее, нам надо его установить в систему, для этого просто кликните два раза по только что скачанному файлу. Там все параметры оставляйте по умолчанию, жмите «далее», а когда попросят пароль, введите тот который мы придумывали чуть выше.
По окончании процесса система нас известит что сертификат успешно импортирован:
Теперь перезапускаем браузер и идем на startssl.com, жмем там «login», жмем «ciient certificate login» 
и должно выскочить вот такое окошко:
Это мы только зарегистрировались и зашли на сайт startssl.com. А вот теперь переходим непосредственно к получению сертификата для нашего домена. Жмем «certificates wizard», знакомимся с типами сертификатов, доступных для получения и выбираем интересующий нас бесплатный:
Жмем «DV SSL certificate». И сайт нам сообщает, что надо сделать два действия:
- Подтвердить принадлежность домена;
- Установить сертификат.
Жмем по ссылке «finish», в следующем окошке вводим имя своего домена:
Сайт предложит пройти верификацию, отправив на один из служебных ящиков код подтверждения. Как правило, у всех существует ящик postmaster@ваш.домен — просто поищите данные доступа к своему хостингу. Выбрали служебный ящик, на него пришел код, ввели его в форму и, вуаля, домен подтвержден:
Далее жмем «на SSL сертификат», чтобы это не значило:
В следующем шаге в верхнее поле вводим имя своего домена, и чуть ниже выбираем генерацию CSR самостоятельно (если вы вдруг пользуетесь Internet Explorer’ом, то можете попробовать пункт «генерировать через IE»):
Сохраняем себе StartComTool.exe, запускаем ее, жмем большую кнопку снизу «generate CSR»:
Программа предложит сохранить key (обязательно оставьте этот файл, т.к. он в последствии нам понадобится для установки сертификата на хостинге) и csr файлы, и в левой части появится блок CSR. Копируйте его и вставляйте в форму на сайте. Жмите одну единственную кнопку ниже и радуйтесь — мы прошли все шаги и нам осталось только сохранить себе наш сертификат:
По ссылке будет архив с набором сертификатов для различных web-серверов:
Поздравляю! Вы получили сертификат SSL сроком на 3 года для своего сайта абсолютно бесплатно. Осталось теперь привязать его к сайту, но об этом в следующий раз.
P.S. Все то же самое, только в видео:
P.P.S. Сертификаты, выданные WoSign и StartCOM после 21 октября 2016 теперь не признаются некоторыми браузерами 🙁 (пруф)