SSL сертификаты

ONREZA автоматически выпускает и обновляет SSL сертификаты для всех custom domains.

Как это работает

Вы добавляете домен в ONREZA
DNS настраивается и проверяется
ONREZA запрашивает сертификат у Let’s Encrypt
Сертификат устанавливается автоматически
Сертификат обновляется до истечения

Провайдер сертификатов

ONREZA использует Let’s Encrypt — бесплатный центр сертификации:

Доверенный всеми браузерами
Автоматическое обновление каждые 60 дней
Поддержка wildcard сертификатов

Статусы TLS

Статус	Описание
Pending	Ожидает проверки DNS
Issuing	Запрос сертификата от Let’s Encrypt
Issued	Сертификат активен
Failed	Ошибка выпуска
Expired	Сертификат истёк

Требования для выпуска

Для успешного выпуска сертификата:

DNS Validated — CNAME запись настроена правильно
Домен доступен — сервер отвечает на HTTP запросы
Нет блокировок — CAA записи разрешают Let’s Encrypt

HTTP-01 Challenge

ONREZA использует HTTP-01 challenge для проверки владения доменом:

Let’s Encrypt отправляет запрос на http://domain/.well-known/acme-challenge/token
ONREZA отвечает с подтверждением
Сертификат выпускается

Автообновление

Сертификаты обновляются автоматически:

Let’s Encrypt сертификаты действуют 90 дней
ONREZA обновляет за 30 дней до истечения
Нет простоя при обновлении

HTTPS Redirect

После выпуска сертификата:

HTTP запросы автоматически редиректятся на HTTPS
HSTS header включён для безопасности
Смешанный контент (HTTP на HTTPS странице) блокируется браузером

Troubleshooting

Сертификат не выпускается

Проверьте DNS статус

DNS должен быть Validated перед выпуском сертификата
Проверьте доступность домена

Через браузер или инструменты онлайн
Проверьте CAA записи

Используйте онлайн-инструменты для проверки DNS записей

Если есть CAA записи, добавьте Let’s Encrypt:
```
example.com.  CAA  0 issue "letsencrypt.org"
```
Подождите

Первый выпуск может занять до 10 минут

”Challenge failed”

Let’s Encrypt не смог проверить домен:

Убедитесь что домен указывает на ONREZA (не на другой сервер)
Если используете Cloudflare Proxy — отключите его (серая тучка)
Проверьте что нет firewall блокирующего Let’s Encrypt

”Rate limited”

Let’s Encrypt имеет лимиты:

50 сертификатов на домен в неделю
5 дублирующих сертификатов в неделю

Подождите и попробуйте позже.

”Certificate expired”

Проверьте что домен всё ещё настроен в ONREZA
Проверьте DNS — он мог измениться
Нажмите Refresh Certificate в настройках

Mixed Content Warning

Если браузер показывает предупреждения:

Убедитесь что все ресурсы загружаются через HTTPS
Замените http:// на https:// или используйте //
Проверьте внешние скрипты и стили

Кастомные сертификаты

Если вам нужен кастомный сертификат (например, EV), обратитесь в поддержку.

Wildcard сертификаты

Для поддоменов платформы (*.onreza.app) используется wildcard сертификат.

Безопасность

TLS версии

ONREZA поддерживает:

TLS 1.3 (рекомендуется)
TLS 1.2 (для совместимости)

TLS 1.0 и 1.1 отключены по соображениям безопасности.

Cipher suites

Используются современные cipher suites с приоритетом:

ECDHE (Forward Secrecy)
AES-GCM (производительность)
ChaCha20 (для мобильных устройств)

HSTS

HTTP Strict Transport Security включён:

Strict-Transport-Security: max-age=31536000; includeSubDomains

Это предотвращает downgrade атаки.

Проверка сертификата

В браузере

Нажмите на замок в адресной строке → View certificate

Онлайн инструменты

SSL Labs — полный анализ
Certificate Search — история сертификатов

См. также

DNS настройка — настройка CNAME
Добавление домена — пошаговое руководство
Custom Domains — обзор