Как установить SSL-сертификат на nginx — 2026

Enterno.io Editorial Team

Как установить SSL на nginx

Автор: Anatoly Oshmanovsky · Обновлено 18 апреля 2026

Коротко:

Установка SSL на nginx за 15 мин с Let's Encrypt: certbot автоматически модифицирует config + включает HTTPS + HTTP→HTTPS redirect. Для manual control — копируем fullchain.pem + privkey.pem в /etc/ssl/, добавляем ssl-блок в server config, включаем HSTS + modern ciphers.

Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.

Попробовать бесплатно →

Пошаговая настройка

Установите certbot + plugin: apt install certbot python3-certbot-nginx
Убедитесь что domain резолвится на сервер (A-запись)
Auto-install: certbot --nginx -d example.com -d www.example.com
Certbot предложит: redirect HTTP→HTTPS (да, всегда)
Verify: curl -I https://example.com → HTTP/1.1 200 OK
Enable auto-renew: systemctl enable --now certbot.timer
Test: Enterno SSL → grade A+ с правильной cipher suite

Рабочие примеры

Сценарий	Конфиг
nginx ssl block (manual)	`server { listen 443 ssl http2; server_name example.com; ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; }`
HTTP→HTTPS redirect	`server { listen 80; server_name example.com; return 301 https://$host$request_uri; }`
HSTS header (preload-ready)	`add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;`
OCSP Stapling	`ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/letsencrypt/live/example.com/chain.pem; resolver 1.1.1.1 valid=60s;`
Pre-installed cert (не Let's Encrypt)	`# cat cert.pem intermediate.pem > fullchain.pem ssl_certificate /etc/ssl/fullchain.pem; ssl_certificate_key /etc/ssl/private.key;`

Типичные ошибки

Using only cert.pem (без intermediate) → ERR_CERT_AUTHORITY_INVALID у клиентов
Missing OCSP Stapling → -10 очков в Qualys SSL Labs grade
Weak ciphers (RC4, 3DES) → grade F + Chrome ERR_SSL_VERSION_OR_CIPHER_MISMATCH
HSTS без testing — если что-то ломается, клиенты заблокированы на weeks
Port 80 закрыт firewall — certbot renewal fails (HTTP-01 challenge)

СертификатСрок, издатель, домены (SAN)

ЦепочкаПроверка промежуточных и корневых CA

TLS-протоколВерсия TLS и набор шифров

УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3

поддержка

Полная

цепочка CA

<2с

результат

30/14/7

дней до истечения

Как это работает

Введите домен

Проверка цепочки TLS

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)

Подтверждение только владения доменом
Выдаётся за минуты автоматически
Бесплатно через Let's Encrypt
Подходит для большинства сайтов
Самый распространённый тип

OV / EV

Проверка организации (OV) или расширенная проверка (EV)
Выдаётся за 1-5 рабочих дней
Стоимость от $50 до $500/год
Для финансов, e-commerce, госсайтов
Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

❌

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.

❌

Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.

❌

Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.

❌

Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.

❌

Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

✓

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.

✓

Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.

✓

Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.

✓

Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.

✓

Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Исследования

TLS 1.3 adoption 2026: как быстро растёт

Ошибки

Часто задаваемые вопросы

Let's Encrypt подходит для prod?

Да, 100%. Google, Facebook, Cloudflare используют. Единственное ограничение: 90 дней validity (auto-renew решает).

Как установить cert от commercial CA?

Тот же процесс как manual: fullchain.pem = cert + intermediate, отдельно privkey.pem. В nginx — ssl_certificate + ssl_certificate_key.

Certbot модифицирует мой config — безопасно?

Да. Certbot оставляет backup оригинала. Можно откатить: <code>cp nginx.conf.backup nginx.conf</code>.

Как автоматизировать renewal?

systemctl enable --now certbot.timer. Работает 2x в день. На renew hook: <code>--deploy-hook "systemctl reload nginx"</code>.