1 (28.04.2016 12:39:00 отредактировано just_dmitry)

Тема: Поддержка SNI SSL

Добавьте пожалуйста поддержку SNI SSL при HTTPS-проверках.

"Старые браузеры", которые не поддерживают SNI SSL - это только IE на WinXP, так что не страшно "рискнуть" на них забить (доля таких на моем другом сайте вообще ноль). Те кто еще сидит на WinXP - имеют Chrome и Opera. Все остальные браузеры "новые" и отлично работают.

При этом многие хостинги уровня предлагают именно SNI SSL "за адекватные деньги", потому что полноценный SSL требует выделенного IP, а IPv4 так и вообще "кончились" уже полгода (или больше?) назад.

Иметь же сайт без HTTPS плохо по нескольким причинам:
* поисковики начинают учитывать наличие https при ранжировании
* бесплатные "городские" Wi-Fi (привет московскому метро) отлично научились засовывать свою рекламу прямо в html сайтов которые посещает пользователь

2

Re: Поддержка SNI SSL

SNI у нас поддерживается.

Проблема в бесплатном тарифе Cloudflare. Очень часто пользователи задают похожие вопросы, поэтому постараемсся тут рассказать немного подробнее.

У Cloudflare есть бесплатный тариф, где выдаётся бесплатный SSL-сертификат, но проблема в том, что ещё есть шифры, которые должны поддерживаться сервером Cloudflare и браузером клиента. Вот на бесплатном тарифе используется очень ограниченное число шифров, которые не поддерживают многие старые браузеры и роботы.

Поэтому мы не рекомендуем использовать HTTPS от Cloudflare с их бесплатным тарифом. Если у вас сайт банка, где проводятся разные платежи, и необходимо обязательно шифрование, то стоит уж немного доплатить и использовать полноценный HTTPS хотя бы от того же Cloudflare. Если же у вас домашняя страничка или любой сайт, где нет никаких денежных операций, интересных хакерам, то наличие кривого HTTPS только вызовет потерю посетителей, понижение в результатах поиска и медленную загрузку страниц.

Так что на наш взгляд бесплатный SSL-сертификат от Cloudflare на их бесплатном тарифе подходит только для каких-то тестовых целей.

3

Re: Поддержка SNI SSL

Прошу прощения, виноват, не провел полностью тесты.

SNI SSL действительно поддерживается.

Проверил сделав тестовый сайт в другом месте, без "накрытия" Cloudflare. Судя по всему "проблема" в семействе TLS_RSA_*** - SSLLabs показал что Cloudflare их не поддерживает (не знаю насчет их платных тарифов, неохота платить за один эксперимент). Если же сервер умеет общаться с использованием TLS_RSA_***, то ping-admin отлично проверяет ресурс.

При этом по информации того же SSLLabs браузеров, которые хотят именно неподдерживаемые TLS_RSA_*** - ослик восьмой версии на WinXP и древний андроид. Все остальные успешно смогут работать.

При этом совершенно не согласен насчет того что HTTPS будет мешать:
1. Google с 2014 года считает наличие https плюсом для ранжирования (https://webmasters.googleblog.com/2014/ … ignal.html)
2. Хакерам необязательно интересоваться именно "моей страничкой" - вайфай в московском метро одно время отлично совало рекламу на чужие сайты, тупо добавляя свой код в html передаваемой страницы. Открываете свой сайт - а у вас всплывающие баннеры на полстраницы!

4

Re: Поддержка SNI SSL

На платных тарифах Cloudflare поддерживает работу со всеми браузерами, там проблем никаких нет.

Будь я на месте Гугла, было бы так, что сайты, которые с HTTPS, но не работают у всех пользователей как минимум показывались в результатах поиска не всем пользователям (те, кто не смогут попасть на сайт, им и показывать его в результатах не стоит). А как максимум ещё и понижать в результатах, т.к. если взять 2 одинаковых сайта: без HTTPS и с неполноценным HTTPS, то по логике сайт без HTTPS должен быть в результатах поиска выше, чем сайт с неполноценным HTTPS. У того же google.com поддерживается даже протокол SSLv3, т.к. Гугл не хочет терять вообще ни одного пользователя пусть даже с самым древним браузером.

Получается единственный плюс неполноценного HTTPS на бесплатном тарифе от Cloudflare это отсутствие рекламы в бесплатном WiFi в московском метро. Но, думаю, пользователей из метро намного меньше пользователей с Win XP.