Содержание

Так все-таки платный или бесплатный SSL-сертификат?

Главная

Новости

Разное

Так все-таки платный или бесплатный SSL-сертификат?

21.09.2018

Давайте посмотрим, чем отличаются платные сертификаты от бесплатного, и выясним, в каких случаях, какой вид сертификата можно использовать.

И начнем с бесплатного сертификата Let’s Encrypt, который доступен всем клиентам нашего хостинга.

Let’s Encrypt — это некоммерческий центр сертификации, выпускающий SSL-сертификаты бесплатно. Они распознаются во всех топовых браузерах, а метод шифрования отвечает современным требованиям и стандартам. Для заказа Let’s Encrypt сертификата не требуется выделенный IP-адрес, а установка, конфигурация и обновления проводятся в автоматическом режиме. Такие сертификаты выпускаются только с проверкой по домену.

Платные же сертификаты делятся по типу проверки (домена, компании, расширенной проверки) и по количеству защищаемых доменов и/или поддоменов.

Сравнение сертификатов

Let’s Encrypt COMODO POSITIVE SSL COMODO EV SSL COMODO POSITIVE SSL WILDCARD
Цена (за год) Бесплатно 28 BYN 250 BYN 210 BYN
Продолжительность действия 90 дней 1-2 года 1-2 года 1-2 года
Что защищаем? site.com site.com + www.site.com site.com + www.site.com site.com + www.site.com
Поддержка поддоменов Нет Нет Нет Есть
Страховка Нет 10 000 $ 1 750 000 $ 10 000 $
Зеленая строка Нет Нет Есть Нет

Итак, основные отличия:

  1. Это все про деньги, а именно про гарантии. Организация Let’s Encrypt не предоставит компенсаций в случае взлома сертификата. В то же время все платные сертификаты предполагают страховку, сумма которой зависит от вида сертификата и центра сертификации.
  2. Разнообразие сертификатов. Let’s Encrypt выпускает только сертификаты DV SSL (Domain Validation), проверяющие только доменное имя. А вот платные сертификаты могут проверять и просто домен, и компанию OV SSL (Organization Validation) и осуществлять расширенную проверку — EV SSL (Extended Validation), которая дает в результате ту самую, заветную, зеленую строку.
  3. Срок действия. Вы либо ничего не платите, но каждые три месяца Вам придется перевыпускать сертификат, либо платите и забываете о необходимости продления на год или два.
  4. Кроме того, бесплатные SSL сертификаты Let’s Encrypt поддерживают технологию SNI (Server Name Identification), которая позволяет установить несколько SSL сертификатов на один IP-адрес. Многие платежные системы не работают с этой технологией, поэтому сертификаты Let’s Encrypt не всегда подходят для работы интернет-магазинов или других сайтов, предполагающих использование электронных платежей.

    Поэтому любым финансовым учреждениям, интернет-магазинам и другим сайтам, которые задействуют электронные платежи, очень важно иметь надежный SSL-сертификат

    .

А еще установка бесплатного сертификата требует технических навыков, в то время, когда с платным в таких знаниях нет нужды.

Закажите SSL-сертификат у нас на сайте, чтобы обезопасить Ваш интернет-проект и данные пользователей.

Для подключения бесплатного сертификата на небольшой информационный сайт воспользуйтесь инструкциями:

  • получение бесплатного сертификата от Let’s Encrypt
  • продление сертификата Let’s Encrypt

    По всем вопросам обращайтесь любым удобным способом:

    1. чат на сайте;
    2. телефон: +375 44 77 22 800, +375 17 399 65 95;
    3. почта: info@support.
      by;
    4. социальные сети: Facebook, ВКонтакте.

  • Возврат к списку

    Бесплатный SSL-сертификат | FirstVDS

    Клиенты FirstVDS с панелью ISPmanager на виртуальном сервере могут устанавливать бесплатные сертификаты Let’s Encrypt для любого количества сайтов. Let’s Encrypt представляет собой обычный SSL-сертификат с проверкой домена (DV), который выдается на неограниченный срок.

    • Как установить сертификат?
    • Для чего подходит?
    • Какие типы проверки имеются?
    • Как быстро выпускается?
    • Сколько действует сертификат?
    • Будет ли сертификат определяться браузерами как доверенный?
    • Можно ли использовать в коммерческих целях?
    • Поддерживаются ли национальные домены (IDN)?
    • Поддерживаются ли поддомены (wildcard)?
    • Поддерживается ли мультидомен (SAN)?
    • Как настроить автоматический редирект на HTTPS
    • Ссылки на дополнительные материалы

    Как установить сертификат?

    1. Зайдите в панель ISPmanager с правами супер-пользователя (root). Доступы можно найти в разделе ТоварыВиртуальные серверыИнструкция.

    2. Перейдите в Настройки web-сервераSSL-сертификаты, выберите Let’s Encrypt

    3. Выберите пользователя и домен, на который хотите установить сертификат. Домен должен быть делегирован, т.е. по нему должен открываться сайт — иначе сертификат не будет выдан. Заполните остальную форму.

    4. Сертификат автоматически установится на сайт с выбранным доменом. Сначала на сайт устанавливается самоподписанный сертификат, который после завершения процесса заменяется полноценным. Дождитесь выпуска сертификата — тип должен смениться на «Существующий».

    5. Готово! Ваш сайт защищен подписанным сертификатом Let’s Encrypt — в адресной строке должен появиться замок. Сертификат действует бессрочно.

    Для чего подходит?

    Сертификаты Let’s Encrypt подходят для защиты веб-сайтов. Сертификат не получится использовать для подписи кода и шифрования email.

    Какие типы проверки выполняются?

    Только проверка домена (DV, domain validation). Поддержка проверок OV и EV отсутствует и не планируется.

    Как быстро выпускается?

    Сертификат Let’s Encrypt выпускается и начинает работать в течение нескольких минут. Главное условие — домен, к которому привязывается сертификат, должен быть делегирован. Проверить просто: напишите доменное имя сайта в адресной строке браузера и нажмите Enter. Если вы увидите свой сайт, то всё в порядке — можно приступать к получению сертификата.

    Сколько действует сертификат?

    Вечно, при наличии на сервере панели управления ISPmanager. При отсутствии панели сертификат продляться не будет! Почему так? Сертификаты Let’s Encrypt выпускаются на 3 месяца. Плагин ISPmanager обновляет сертификат автоматически за 7 дней до окончания очередного срока. Если удалить панель, то при окончании очередных 3-х месяцев сертификат не обновится и перестанет определяться браузерами — появится перечеркнутый значок HTTPS и предупреждение о небезопасном подключении. В этом случае обновлять сертификат придется вручную каждые 3 месяца, либо самостоятельно настроить авто-обновление с помощью стороннего ПО.

    Будет ли сертификат определяться браузерами как доверенный?

    Да, будет. Поддерживается большинство современных браузеров. Детальную информацию о совместимости можно найти на официальном форуме поддержки.

    Можно ли использовать в коммерческих целях?

    Да, можно. Именно для таких целей сертификат и создавался.

    Поддерживаются ли национальные домены (IDN)?

    Сертификаты Let’s Encrypt поддерживают IDN — доменные имена с использованием символов национальных алфавитов. Вы можете использовать сертификат для кириллических доменов вида мойсайт. рф.

    Поддерживаются ли поддомены (wildcard)?

    Сертификаты Let’s Encrypt поддерживают wildcard. Проверяются такие сертификаты только через DNS-записи.

    Поддерживается ли мультидомен (SAN)?

    Нет. Сам сертификат поддерживает SAN до 100 разных доменов, но автоматизированный процесс привязки в панели исключает использование этой возможности. Каждый домен придется настраивать отдельно.

    Как настроить автоматический редирект на HTTPS?

    Даже если на сайте установлен сертификат, посетитель может набрать в браузере адрес через http://..., либо перейти по старой ссылке в поисковой системе. В этом случае его подключение не будет безопасным, и он не узнает, что сайт использует SSL-сертификат для шифрования передаваемых данных. Чтобы все запросы посетителей сайта шифровались сертификатом, необходимо настроить редирект HTTPHTTPS.

    Редирект на связке Apache+Nginx

    1. В панели управления ISPmanager перейдите в ДоменыWWW-домены, выберите домен с сертификатом и нажмите Изменить.

    2. В настройках установите галочку Перенаправлять HTTP-запросы в HTTPS

    и примените изменения.

     

    3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.

    Редирект на чистом Apache

    Внимание! Все изменения в конфигурационном файле Apache вы делаете на свой страх и риск! Настройки, описанные ниже, сработают для большинства случаев, но могут вызвать проблемы на специфических конфигурациях. Доверьтесь специалистам, если не уверены в результате вносимых изменений.

     

    1. В панели управления ISPmanager перейдите в ДоменыWWW-домены, выберите домен с сертификатом и нажмите Конфиг.

    2. В конце первого блока VirtualHost (перед первой строкой </VirtualHost>) добавьте код:

    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule (. *) https://%{HTTP_HOST}%{REQUEST_URI}  
    

    3. Готово! Все запросы к сайту теперь проходят через безопасное подключение HTTPS.

     

    Внимание! Если на сервере несколько сайтов, а сертификат вы ставите на один, произойдёт ошибка. Сайты без сертификата тоже начнут работать по HTTPS, но будут вести на домен с сертификатом. Браузер будет предупреждать, что сертификат не соответствует доменному имени. Выход из ситуации – поставить сертификат на каждый домен или перевесить сайт с сертификатом на отдельный IP-адрес.

    Как настроить безопасное соединение и редиректы, чтобы избежать циклической переадресации, изложено в материале нашей энциклопедии.

    Смотри также

    • Документация на сайте разработчика ISPmanager
    • Официальный сайт Let’s Encrypt
    • Форум сообщества
    • Как установить бесплатный сертификат Let’s Encrypt без панели управления ISPmanager (manual mode)
    • Полная инструкция по настройке и автоматизации (англ. )
    Этот материал был полезен?

    Letsencrypt для бесплатных и простых SSL-сертификатов

    Узнайте, как легко использовать letsencrypt для создания и автоматического обновления БЕСПЛАТНЫХ SSL-сертификатов!

    Среда:

    Вот что мы используем в видео

    • Ubuntu 16.04 на AWS.
    • Ubuntu 16.04 AMI можно найти здесь, если вам интересно.
    • Nginx
    • Certbot (например, Letsencrypt)

    У меня был реальный домен, указывающий на этот сервер: tutorial.serverops.io .

    Первоначальная установка:

    Я выполнил следующее, чтобы обновить сервер и установить nginx:

     sudo apt update
    sudo подходящее обновление -y
    sudo apt install -y nginx 

    Когда я перешел на http://tutorial.serverops.io в браузере, я увидел сайт nginx по умолчанию. Ура!

    Nginx Security

    Многие люди защищают точечные файлы в конфигурации вашего сервера Nginx. Это означает, что доступ к любому файлу или папке, начинающийся с точки, возвращает ответ об отказе в доступе.

    |/)\. { отрицать все; } 9|/)\. { позволять все; }

    Установить Letsencrypt

    Раньше Letsencrypt предлагал вам установить инструмент командной строки, который назывался, соответственно, «letsencrypt». С тех пор он был изменен на более простой «certbot».

    В Ubuntu 16.04 есть пакет для «letsencrypt» (в настоящее время для версии 0.4.1-1):

     $ apt show certbot # Нет результатов
    $ apt показать letsencrypt
    Пакет: letsencrypt
    Версия: 0.4.1-1
    Приоритет: необязательно
    Раздел: вселенная/веб
    Источник: python-letsencrypt
    Происхождение: Убунту
    Сопровождающий: Разработчики Ubuntu 
    Первоначальный сопровождающий: Debian Lets Encrypt Ошибки: https://bugs.launchpad.net/ubuntu/+filebug Установленный размер: 24,6 КБ Зависит: диалог, python-letsencrypt (= 0.4.1-1), python: любой (>= 2.7~) Предлагает: python-letsencrypt-apache, python-letsencrypt-doc Домашняя страница: https://letsencrypt. org/ Размер загрузки: 10.9КБ Источники APT: http://us-east-1.ec2.archive.ubuntu.com/ubuntu xenial/universe Пакеты amd64 Описание: Основной клиент Lets Encrypt...

    Последний выпуск certbot на момент написания этой статьи, если 0.7.0. Давайте не будем довольствоваться старой версией!

    На самом деле это был 0.8.0 на следующий день — разработка идет быстро!

    Чтобы установить более новую версию:

     sudo apt install -y git
    компакт-диск / выбор
    sudo git клон https://github.com/certbot/certbot
    компакт-диск certbot
    ./certbot-auto -h 

    Мы будем использовать команду certbot-auto .

    Установить сертификат

    Letsencrypt имеет несколько «модулей», которые в основном сводятся к тому, «как мне настроить для вас сертификат SSL».

    Во всех случаях letsencrypt должен иметь возможность пропинговать ваш сервер через HTTP, чтобы убедиться, что ваш домен указывает на сервер, на который вы устанавливаете сертификат.

    Автономный

    Один из способов, которым letsencrypt делает это, — это «автономный» модуль , который запускает веб-сервер, прослушивающий порт 80. Проблема здесь может быть или не быть очевидной для вас — у нас уже есть привязанный веб-сервер. на порт 80. Может быть только один.

    Это означает отключение веб-сервера, запуск lets encrypt и повторное включение. Это жизнеспособный вариант (и именно так я делал это в прошлом), но давайте сделаем лучше.

    Webroot

    Я собираюсь использовать модуль «webroot» , который похож на то, как инструменты Google для веб-мастеров доказывают право собственности. Он создает файл в корневом каталоге вашего веб-сайта, который может проверить letsencrypt, что затем доказывает, что вы фактически устанавливаете SSL на сервер, к которому он может получить доступ из вашего домена.

    Обратите внимание, что это получает сертификат, но не устанавливает его. Для этого есть модули apache и nginx. Модуль Apache кажется стабильным, но они прикрепляют страшное «экспериментальное» предупреждение к модулю Nginx, поэтому я его не использовал.

    Следуя документации по параметру webroot, я использую следующую команду:

     # Не забывайте, что мы находимся в /opt
    # и все файлы в настоящее время принадлежат пользователю root
    компакт-диск /opt/certbot
    # Запуск от имени root, что позволяет избежать зависимостей от Python
    # при попытке установить в /home/ubuntu от имени пользователя root
    судо су
    # Обратите внимание, что я знаю и использую корневую папку Nginx по умолчанию
    # который я взял из /etc/nginx/sites-available/default
    # Также обратите внимание, что требуется --non-interactive --agree-tos --email 
    # чтобы избежать подсказок (отлично подходит для автоматизации!)
    # Также помните, что мы работаем как root
    ./certbot-auto точно --webroot -w /var/www/html \
        -d tutorial.serverops.io \
        --non-interactive --agree-tos --email [email protected] 

    Я использовал tmux для разделения своего терминала и запустил sudo tail -f /var/log/nginx/access. log , чтобы просмотреть журнал доступа, когда я выполнил указанную выше команду. Я видел это:

     66.133.109.36 - - [01/Jun/2016:15:30:25 +0000] "GET /.well-known/acme-challenge/-IeTRWj2zRKRxim2ngMPUP3_Nvt6DN_TR-fLXUQMfHk HTTP/1.1" 200 8 7"- ""Mozilla/5.0 (совместимый; сервер проверки Let's Encrypt; +https://www.letsencrypt.org)" 

    И сама команда выводит это:

     ВАЖНЫЕ ПРИМЕЧАНИЯ:
     - Поздравляю! Ваш сертификат и цепочка сохранены по адресу
       /etc/letsencrypt/live/tutorial.serverops.io/fullchain.pem. Твой
       срок действия сертификата истекает 30 августа 2016 г. Чтобы получить новую или измененную версию
       этого сертификата в будущем, просто снова запустите certbot-auto.
       Чтобы неинтерактивно обновить *все* ваши сертификаты, запустите
       "certbot-автоматическое продление"
     - Если вы потеряете учетные данные своей учетной записи, вы можете восстановить их через
       электронные письма, отправленные на [email protected].
     - Ваши учетные данные были сохранены в вашем Certbot
       каталог конфигурации в /etc/letsencrypt.  Вы должны сделать
       безопасное резервное копирование этой папки сейчас. Этот каталог конфигурации будет
       также содержат сертификаты и закрытые ключи, полученные Certbot, поэтому
       идеально делать регулярные резервные копии этой папки.
     - Если вам нравится Certbot, рассмотрите возможность поддержки нашей работы:
       Пожертвование в пользу ISRG / Let's Encrypt: https://letsencrypt.org/donate
       Пожертвование в пользу EFF: https://eff.org/donate-le 

    Мы также можем проверить этот каталог, который он упоминает:

     # Все еще работает как пользователь root
    $ ls -lah /etc/letsencrypt/live/tutorial.serverops.io
    всего 8
    drwxr-xr-x 2 root root 4096 1 июня 15:30 ./
    drwx------ 3 root root 4096 1 июня 15:30 ../
    lrwxrwxrwx 1 root root 45 1 июня 15:30 cert.pem -> ../../archive/tutorial.serverops.io/cert1.pem
    lrwxrwxrwx 1 root root 46 1 июня 15:30 chain.pem -> ../../archive/tutorial.serverops.io/chain1.pem
    lrwxrwxrwx 1 root root 50 1 июня 15:30 fullchain.pem -> ../../archive/tutorial. serverops.io/fullchain1.pem
    lrwxrwxrwx 1 root root 48 1 июня 15:30 privkey.pem -> ../../archive/tutorial.serverops.io/privkey1.pem 

    Отлично, мы видим, что они связаны с некоторыми другими файлами. Они обновляются, когда мы обновляем наши сертификаты, но это символическая ссылка, которую мы используем в нашей конфигурации Nginx, поэтому нам не нужно обновлять конфигурацию веб-сервера при обновлении!

    Конфигурация Nginx

    Давайте настроим нашу конфигурацию Nginx для использования нашего нового SSL-сертификата.

    Мы отредактируем /etc/nginx/sites-available/default и раскомментируем часть конфигурации SSL.

     сервер {
        слушать 80 default_server;
        слушать 443 ssl default_server;
        ssl_certificate /etc/letsencrypt/live/tutorial.serverops.io/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/tutorial.serverops.io/privkey.pem;
        # Остальные удалены для краткости 

    Мы используем fullchain.pem , поэтому у нас есть корневой сертификат и промежуточные полномочия. И, конечно же, мы используем закрытый ключ, используемый для создания сертификата.

    После того, как изменения добавлены, мы можем протестировать Nginx и перезагрузить конфигурацию, предполагая, что она не находит никаких проблем.

     служба sudo nginx configtest
    sudo service nginx reload 

    Теперь зайдите в наш домен с «https://» ( https://tutorial.serverops.io ), и мы увидим зеленый замок блаженства!

    Продление

    Срок действия сертификатов Letsencrypt составляет всего 90 дней, поэтому их необходимо периодически продлевать. Это чертовски легко.

     # еще раз, как пользователь root
    компакт-диск /opt/certbot
    ./certbot-auto renew --webroot -w /var/www/html 

    Это обновит все сертификаты, срок действия которых истекает в течение 30 дней. Вы можете установить это как задачу cron и запускать ее столько раз, сколько хотите (хотя лично я запускаю ее первого числа каждого месяца).

    Вот пример /etc/cron.monthly/letsencrypt файл bash (убедитесь, что он исполняемый — sudo chmod u=rwx,go=rx /etc/cron. monthly/letsencrypt ):

     #!/usr/bin/env bash
    компакт-диск /opt/certbot
    ./certbot-auto обновить --webroot \
        --неинтерактивный \
        -w /var/www/html \
        --post-hook "service nginx reload" 

    Обновление: Я обнаружил, что в некоторых случаях сертификат не обновляется (из-за того, как и когда Certbot решает, что сертификат еще не готов к обновлению). Чтобы противодействовать этому, я просто добавляю --force-renewal флаг:

     #!/usr/bin/env bash
    компакт-диск /opt/certbot
    ./certbot-auto обновить --webroot \
        --форс-обновление \
        --неинтерактивный \
        -w /var/www/html \
        --post-hook "service nginx reload" 

    Затем (отмечено выше, но повторяется и здесь) нам нужно убедиться, что скрипт является исполняемым:

     sudo chmod +x /etc/cron.monthly/letsencrypt 

    Мы снова используйте модуль webroot и сообщите путь к webroot. Затем мы также устанавливаем пост-хук , чтобы перезагрузить Nginx, чтобы убедиться, что он всасывает новый сертификат.

    Если вы хотите протестировать продление немедленно, добавьте флаг --force-renewal !

    Вот оно! Ваши сертификаты будут обновлены.

    Настройка бесплатных SSL-сертификатов с помощью LetsEncrypt | Митхилеш Саид | Основание Итаки

    Опубликовано в

    ·

    Чтение за 4 мин.

    ·

    13 апреля 2018 г.

    Небольшой учебник для тех, кто не знаком с тем, что такое SSL-сертификаты и почему они важны . Представьте, что вы заходите на сайт своего банка и входите в систему, используя свой пароль интернет-банкинга. Ваш браузер отправляет данные вашей учетной записи и пароль на серверы банка, которые проверят вашу учетную запись и предоставят вам доступ.
    Но прежде чем пароль достигнет банковских серверов, он должен пройти через Интернет, и он может пройти через несколько серверов маршрутизации. Существует вероятность того, что хакер, перехватив данные, проходящие через один из этих серверов, сможет перехватить ваш пароль и использовать его в своих интересах.

    Чтобы этого не произошло, данные, передаваемые через Интернет, должны быть зашифрованы, т.е. преобразуется из открытого текста в тарабарщину на стороне отправителя, а затем преобразуется обратно в открытый текст на принимающей стороне. Это шифрование основано на красивой концепции асимметричной криптографии, о которой вы можете прочитать здесь. Идея проста. Есть два ключа. Один называется открытым ключом, а другой — закрытым ключом. Когда вы переходите на веб-сайт в своем браузере, сервер отправляет браузеру свой открытый ключ, сохраняя закрытый ключ при себе.

    Браузер шифрует данные, которые необходимо передать, с помощью открытого ключа. И эти данные можно расшифровать только с помощью закрытого ключа, который есть у сервера. Поэтому до тех пор, пока сервер не раскрывает свой закрытый ключ, вся связь между браузером и сервером безопасна. Сертификаты SSL позволяют вам сделать именно это. Когда вы видите https в URL-адресе браузера, ваша связь с сервером зашифрована и, следовательно, безопасна.

    Все браузеры предназначены для работы только с доверенным набором поставщиков SSL-сертификатов. Если вы неправильно настроите свои SSL-сертификаты или используете ненадежного поставщика сертификатов, браузеры отклонят эти сертификаты, и вы не сможете получить доступ к веб-сайту. В результате важно убедиться, что вы получаете сертификаты SSL из надежного источника. DigiCert, Verisign и LetsEncrypt — одни из самых надежных поставщиков сертификатов. В то время как DigiCert и Verisign предоставляют платные сертификаты, LetsEncrypt — это бесплатный центр сертификации, инициированный и поддерживаемый крупными технологическими компаниями.

    Примечание: Если вы работаете в масштабе, когда ваши серверы получают несколько тысяч запросов в секунду или более, каждый байт данных в заголовках ваших http-запросов будет учитываться. Я бы порекомендовал вам обратиться к поставщикам платных сертификатов, поскольку они специализируются на уменьшении размера полезной нагрузки при сохранении безопасности. В конечном итоге вы сэкономите деньги на пропускной способности сервера.

    Однако, если вы работаете в малом или среднем масштабе или у вас есть хобби-проект, требующий SSL-защиты, прочитайте о том, как настроить бесплатные сертификаты с помощью LetsEncrypt.

    1. Установить NGINX
     $ sudo apt-get update 
    $ sudo apt-get install nginx

    2. LetsEncrypt поставляется с простым в использовании ботом, который поможет вам установить и настроить сертификаты

     $ sudo add- подходит- репозиторий ppa:certbot/certbot 
    $ sudo apt-get update
    $ sudo apt-get install python-certbot-nginx

    3. Настройте конфигурацию NGINX. Мы создадим образец блока сервера.

     $ sudo vim /etc/nginx/sites-available/default... # внутри файла конфигурации nginx добавьте это 
    сервер {
    слушать 80;
    имя_сервера www.example.com;
    вернуть 301 https://www.example.com$request_uri;
    } сервер {
    слушать 443 ssl;
    имя_сервера www. example.com; # конфигурация сертификата ssl
    ssl_certificate
    /etc/letsencrypt/live/example.com/fullchain.pem;

    ssl_certificate_key
    /etc/letsencrypt/live/example.com/privkey.pem;

    ssl_trusted_certificate
    /etc/letsencrypt/live/example.com/chain.pem;
    местоположение / {
    # ... вся информация о вашем обратном проксировании идет сюда ...
    }
    }

    Первый блок сервера в приведенной выше конфигурации сообщает NGINX, что весь трафик, поступающий на порт 80, который является портом http по умолчанию, должен быть перенаправлен. на порт 443, который является https-портом по умолчанию.

    После перенаправления трафика на порт 443 второй блок конфигурации указывает NGINX использовать SSL-сертификаты для расшифровки входящего и исходящего трафика. Пути к файлам сообщают NGINX, где на сервере хранятся эти сертификаты.

    4. Откройте порт 443 на вашем сервере, если он еще не открыт —nginx -d www.example.com

    6. Время от времени обновляйте сертификаты.