TrafficVeil
Вернуться к документации
Документация

SSL/TLS сертификаты

Автоматическое управление SSL сертификатами, настройка TLS и безопасность соединений.

Содержание:

Обзор SSL/TLSАвтоматические сертификатыСобственные сертификатыWildcard сертификатыНастройки TLSРешение проблем

Обзор SSL/TLS


Что такое SSL/TLS в TrafficVeil?

TrafficVeil автоматически управляет SSL/TLS сертификатами для всех ваших доменов, обеспечивая безопасное HTTPS-соединение.


Преимущества:

  • Автоматический выпуск сертификатов Let's Encrypt
  • Автоматическое продление за 30 дней до истечения
  • Поддержка wildcard сертификатов (*.domain.com)
  • Возможность загрузки собственных сертификатов
  • Поддержка современных протоколов (TLS 1.2, 1.3)

    • Типы сертификатов:

  • **Let's Encrypt** — бесплатные, автоматические (по умолчанию)
  • **Custom** — загрузка своего сертификата
  • **Wildcard** — для всех поддоменов (Pro+)

    • Поддерживаемые алгоритмы:

  • RSA 2048/4096 bit
  • ECDSA P-256, P-384
  • Ed25519 (TLS 1.3)

    • Автоматические сертификаты


    Как работает автоматический SSL:


    Шаг 1: Добавление домена

    При добавлении домена TrafficVeil автоматически запрашивает SSL сертификат.


    Шаг 2: Валидация домена

    Используется HTTP-01 challenge:

    1. TrafficVeil создаёт файл в /.well-known/acme-challenge/

    2. Let's Encrypt проверяет доступность файла

    3. Сертификат выпускается за 1-5 минут


    Шаг 3: Установка

    Сертификат автоматически устанавливается и активируется.


    Шаг 4: Продление

    За 30 дней до истечения сертификат автоматически продлевается.


    Требования для автоматического SSL:

  • DNS должен указывать на TrafficVeil
  • Домен должен быть доступен по HTTP (порт 80)
  • Не должно быть блокировки Let's Encrypt

    • Статусы сертификата:

  • 🟢 **Valid** — сертификат активен
  • 🟡 **Pending** — идёт выпуск
  • 🟠 **Expiring** — скоро истекает
  • 🔴 **Expired** — истёк
  • ⚫ **Error** — ошибка выпуска

    • Собственные сертификаты


    Когда использовать собственный сертификат:

  • EV (Extended Validation) сертификаты
  • OV (Organization Validation) сертификаты
  • Сертификаты от корпоративного CA
  • Специфические требования безопасности

    • Загрузка сертификата:

    1. Откройте настройки домена

    2. Перейдите во вкладку "SSL"

    3. Нажмите "Загрузить сертификат"

    4. Загрузите файлы:

    - Certificate (.crt, .pem) — сам сертификат

    - Private Key (.key) — приватный ключ

    - CA Bundle (.ca-bundle, .pem) — цепочка сертификатов (опционально)


    Формат файлов:

    Все файлы должны быть в PEM формате:

    ```

    -----BEGIN CERTIFICATE-----

    MIIFazCCBFOgAwIBAgISA...

    -----END CERTIFICATE-----

    ```


    Проверка сертификата:

    TrafficVeil автоматически проверяет:

  • Соответствие домену
  • Валидность цепочки
  • Срок действия
  • Совместимость ключа

    • Уведомления об истечении:

    Уведомления приходят за 60, 30, 14, 7, 3, 1 день до истечения.


    Wildcard сертификаты


    Что такое Wildcard сертификат:

    Сертификат для всех поддоменов: *.example.com


    Покрывает:

  • blog.example.com
  • shop.example.com
  • api.example.com
  • любой.example.com

    • Не покрывает:

  • example.com (нужен отдельный или SAN)
  • sub.blog.example.com (двойной уровень)

    • Получение Wildcard в TrafficVeil:


    Способ 1: DNS-01 challenge (рекомендуется)

    1. Добавьте домен с wildcard (*.example.com)

    2. Добавьте TXT запись в DNS:

    _acme-challenge.example.com → [значение из панели]

    3. TrafficVeil автоматически выпустит сертификат


    Способ 2: Загрузка собственного

    Загрузите wildcard сертификат от вашего CA.


    Автоматизация DNS-01:

    Для автоматического продления настройте API доступ к DNS:

  • Cloudflare API
  • Route53 API
  • И другие поддерживаемые провайдеры

    • Тарифы:

  • Starter: 1 wildcard домен
  • Pro: 5 wildcard доменов
  • Business: Без ограничений

    • Настройки TLS


    Минимальная версия TLS:

  • TLS 1.0 — устаревший, не рекомендуется
  • TLS 1.1 — устаревший, не рекомендуется
  • **TLS 1.2** — рекомендуемый минимум (по умолчанию)
  • **TLS 1.3** — максимальная безопасность

    • Настройка:

    1. Откройте настройки домена

    2. Перейдите во вкладку "SSL"

    3. Выберите минимальную версию TLS


    Cipher Suites:

    TrafficVeil использует безопасные cipher suites:

  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-CHACHA20-POLY1305
  • ECDHE-RSA-CHACHA20-POLY1305

    • HSTS (HTTP Strict Transport Security):

    Принудительное использование HTTPS:

  • Включить/выключить HSTS
  • max-age: 31536000 (1 год)
  • includeSubDomains
  • preload (для добавления в HSTS preload list)

    • OCSP Stapling:

    Ускоряет проверку сертификата. Включено по умолчанию.


    Дополнительные заголовки:

  • X-Content-Type-Options: nosniff
  • X-Frame-Options: SAMEORIGIN
  • X-XSS-Protection: 1; mode=block

    • Решение проблем


    Ошибка: Сертификат не выпускается


    Причина 1: DNS не указывает на TrafficVeil

  • Проверьте A/CNAME записи
  • Дождитесь распространения DNS (до 48 часов)

    • Причина 2: Блокировка Let's Encrypt

  • Проверьте firewall
  • Убедитесь, что порт 80 открыт

    • Причина 3: Rate Limit Let's Encrypt

  • 50 сертификатов на домен в неделю
  • 5 неудачных попыток в час
  • Подождите или используйте staging

    • Ошибка: ERR_SSL_VERSION_OR_CIPHER_MISMATCH

  • Проверьте минимальную версию TLS
  • Обновите браузер клиента
  • Проверьте cipher suites

    • Ошибка: NET::ERR_CERT_COMMON_NAME_INVALID

  • Сертификат не соответствует домену
  • Проверьте SAN (Subject Alternative Names)
  • Перевыпустите сертификат

    • Ошибка: Mixed Content

  • Все ресурсы должны загружаться по HTTPS
  • Проверьте изображения, скрипты, стили

    • Принудительный перевыпуск:

    1. Откройте настройки домена → SSL

    2. Нажмите "Перевыпустить сертификат"

    3. Дождитесь завершения (1-5 минут)