- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте, друзья!
Сразу скажу, что мои знания обо всем, что связано с системой устройства хостинга, довольно поверхностны, поэтому хотелось бы услышать спецов по следующему вопросу.
Сознательно не буду называть компании, чтобы не делать кому-то рекламу или антирекламу. Итак.
Был на виртуальном хостинге у одного из провайдеров. Приобрел платный SSL thawte и попросил приаттачить его к домену. Сделали. В .htaccess прописал 301-й редирект, чтобы доступ был только по SSL. Захожу на сайт со своего старенького мобильного и бац - не открывается! Начинаю изучать тему и выясняется, что есть такое понятие как SNI. То есть, сайт откроется на устаревших браузерах (кроме IE на XP, так как SNI там вообще не поддерживается) только в случае если сайт живет на выделенном IP. ОК. Заказываю выделенный IP, в панели управлении появилась строчка типа "SSL+IP". Лезу в мобильник, действительно все открывается. Замечу попутно, что свой SSL можно было поставить и на выделенный IP, и на общесерверные, но чтобы сайт открывался по SNI, необходим именно выделенный IP, что понятно.
Через какое-то время ухожу к другому хостинг-провайдеру, повторяя все описанные действия (то есть, заказываю выделенный IP, к нему прилинковываю домен и ставлю свой SSL). И вот тут-то начался просто ад. Во-первых, пинг с 12-13 ms превратился в 53-54 ms. Скачать один мизерный PDF размером 4 Мб заняло около 40 секунд! При заходе через мой мобильный сайт не открывается в отличие от первого хостера. Отказываюсь от выделенного IP, снимаю платный SSL: остаюсь на IP провайдера и беру их бесплатный Let'sEncrypt. Все снова стало летать, но ни о каком SNI не может быть и речи.
Позвонил еще двум провайдерам и рассказал о вышеописанном. "Нет, у нас тоже так не будет работать". То есть, открыть сайт ПО IP-адресу можно (в случае заказа выделенного IP), но в строчке браузера будет перечеркнутый замок и сообщение о том, что "Сайт не защищен".
Для меня очень принципиально использование SNI. Может быть есть у кого мысли, почему у первого провайдера все это работало прекрасно (я мог зайти и по имени домена, и по IP-адресу и все прекрасно открывалось без всяких перечеркнутых замков, а также на мобильном), а остальные провайдеры этого не могут? Хотя бы в теории хотелось бы понимать, что у них настроено иначе, чем у первого провайдера. Есть ли какое-то решение этого вопроса?
но чтобы сайт открывался по SNI, необходим именно выделенный IP, что понятно.
Если по-простому, SNI - это расширения для обеспечения работы сертификатов с "общими" IP-адресами, а не с выделенными.
То есть ваш сайт будет открываться с IE на Windows XP, по протоколу HTTPS с выделенным IP. Есть там поддержка SNI или нет — не важно. Важен только сертификат, например, Let's Encrypt старые браузеры не увидят.
Для меня очень принципиально использование SNI. Может быть есть у кого мысли, почему у первого провайдера все это работало прекрасно (я мог зайти и по имени домена, и по IP-адресу и все прекрасно открывалось без всяких перечеркнутых замков, а также на мобильном), а остальные провайдеры этого не могут? Хотя бы в теории хотелось бы понимать, что у них настроено иначе, чем у первого провайдера. Есть ли какое-то решение этого вопроса?
Если вы заходите по протоколу HTTPS на IP-адрес, то будет подгружен ваш SSL-сертификат ДЛЯ ДОМЕНА. Но IP-адрес нельзя вписать в SSL-сертификат (вообще, в какие-то можно, но это не ваш случай). Соответственно, любой браузер покажет сообщения о том, что "соединение не защищено" и "ваши данные могут похитить" + тот самый красный замочек.
Видимо, когда вы переходили по IP-адресу, вы переходили по HTTP-протоколу. Другого объяснения найти не могу :)
Как у вас настроена переадресация на тот или иной протокол? Без дополнительной информации сложно что либо подсказать.
Воспользуйтесь тестом от ssllabs.com для проверки настроек и того, где откроется а где нет.
Увеличение пинга и низкая скорость на выделенном IP это вообще нонсенс.
Для меня очень принципиально использование SNI
Из вашего поста следует, что вы не до конца поняли что такое SNI и как работает. Скорректирую вас: вам принципиально, чтобы https работал без использования SNI, т.к. у вас устаревшие клиенты, которые его не умеют.
Кстати, в контексте вашего кейса еще сталкивались с тем, что некоторые клиенты настраивают свой веб-сервер (ssl ciphers) так, что он не поддерживает необходимые шифры (т.к. они стали недостаточно стойкими) для старых веб-клиентов, из-за чего последние при попытках подключения выдают ошибки .
Нет-нет-нет, друзья, все не так. Меня здесь в очередной раз пытаются убедить, что мне все приснилось😂
Еще раз о первом провайдере, у которого все работало.
1. Сначала был куплен SSL-сертификат.
2. Затем он был добавлен на площадку хостинга на общесерверные IP. Сайт перестал открываться в WinXP на IE, который стоял у меня тогда, и перестал открываться на устаревшем браузере мобильника.
3. Прошло несколько дней. Меня такое положение дел не устроило, я заказываю выделенный IP. Как уж и к чему они там прикрепили SSL (сертификат к IP или еще как), я не знаю, но факт остается фактом:
а) я смог открыть сайт ПО IP БЕЗ РЕДИРЕКТА на доменное имя; сайт открывался по https, в адресной строчке было типа такого: https://217.21.0.124. При этом в Хроме замечательно отображался зеленый замок и надпись "Защищено".
б) а вот при заходе с мобильного, если ввести только IP-адрес в адресную строчку (без указания типа протокола), открывался домен, опять же в защищенном режиме.
в) сайт не открылся в IE на XP, но на XP по SNI открываются только очень крупные сайты (типа Яндекса), мой так и не открылся.
Вот цитата, которая нашлась на сайте одного из хостинг-провайдеров:
БРАУЗЕРЫ ПК:
Internet Explorer 7 либо более поздние версии
Firefox 2
Opera 8 c TLS 1.1
Google Chrome:
Поддерживается на Windows XP, на Chrome 6 и более поздних версиях
Поддерживается на Vista и поздних версиях по умолчанию
OS X 10.5.7 в Chrome версии 5.0.342.0 и выше
Safari 2.1 и поздние версии (требует OS X 10.5.6 и выше или Windows Vista и выше).
Примечание: ни одна из версий Internet Explorer под Windows XP не поддерживает SNI.
МОБИЛЬНЫЕ БРАУЗЕРЫ:
Мобильная версия Safari для iOS 4.0
Android 3.0 (Honeycomb) и более поздние версии
Windows Phone 7
Я очень хочу доказать вам, что мне это не приснилось, но для этого мне нужно:
1. Купить виртуальный хостинг у того провайдера, о котором я говорю (теста там нет)
2. Купить сертификат (минимальная цена на thawte - 1800 в год)
3. Купить выделенный IP.
Конечно, можно это все заказать, потом откатить и попросить назад деньги, но делать это все ради минутного суть развлечения мне совсем не хочется. Если у кого будет желание убедиться в правдивости моих слов, скину в личку название хостера.
---------- Добавлено 25.05.2018 в 02:21 ----------
Вот.
Вбиваем в Хром (без указания протокола, только цифры): 148.251.3.118. Идет редирект на сайт с SSL. Как мне сделать так же?
Как мне сделать так же?
Настраивается редирект на nginx или apache, чтобы с IP адреса был переброс на сайт с HTTPS, ничего сложного в этом нет.
На сколько мне известно, покупается VDS, ставится любая панелька, покупается сертификат, заливается и всё готово.
Как обстоят дела с вирт.хостингами не знаю т.к. не пользуюсь
Вбиваем в Хром (без указания протокола, только цифры): 148.251.3.118. Идет редирект на сайт с SSL. Как мне сделать так же?
Ну. например, через файл .htaccess в корне сайта, если на сервере используется Apache с mod_rewrite:
Вместо "domain.com" вписываете ваш домен.
На сервере nginx.
Бывает 3 вида SSL-сертификатов:
1. Самоподписанные сертификаты, на которые ругаются браузеры, т.к. их генерят на собственном сервере, а не выдают доверенные центры сертификации. Используются для тестовых целей.
2. Обычные SSL-сертификаты с онлайн-проверкой (домена или e-mail). Такой сертификат, например, у этого форума.
3. EV SSL-сертификаты, где нужно заполнить кучу бумаг для их получения. В адресной строке они выделяются зелёным и пишется название организации для которой они выданы (обычно в интернет-банках крупных банков можно увидеть такие сертификаты).
Thawte отличаются от Let's Encrypt только стоимостью и сроком действия. С технической точки зрения они абсолютно одинаковы.
Для того, чтобы сайт по https открывался в старых браузерах необходимо, чтобы SSL-сертификат вашего сайта был прописан первым (дефолтным) в настройках сервера. Первым его можно прописать только, если использовать отдельный IP для вашего сайта. Кроме этого в настройках веб-сервера должны быть включены такие протоколы и шифры, чтобы сайт открывался старыми браузерами (можно только TLS 1.3 с парой самых новых шифров прописать и ни в каких старых браузерах ничего открываться не будет).
Поэтому, как и советовали выше, стоит сравнить результаты ssllabs.com для вашего сайта и для того сайта, который открывается без проблем у вас в мобильном. После чего просить хостера в настройках Nginx включить протоколы и шифры, как у того сайта, где всё открывается. Но стоит заметить, что не все хостеры это могут сделать, т.к. для индивидуальных настроек они могут сказать, чтобы вы покупали VPS и делали там те настройки, которые вам нужны.