Без SSL ваш корпоративный портал на Битрикс24 становится уязвимым. Браузеры помечают его как небезопасный, а сотрудники сталкиваются с пугающими предупреждениями. Вся информация между клиентом и сервером передаётся в открытом виде. Давайте разберёмся, как грамотно поднять HTTPS с нуля и защитить данные.
Понимание важности SSL для Битрикс24
SSL — это не просто зелёный замочек в адресной строке. Протокол шифрует весь трафик между браузером пользователя и сервером. Без него любой, кто находится в той же сети, может перехватить логины, пароли, данные сделок и переписку. Атака типа MITM (man-in-the-middle) в корпоративных Wi-Fi сетях — не редкость. Особенно если кто-то из сотрудников работает из кафе или коворкинга. Для CRM, где хранятся контакты клиентов и финансовые данные, это прямая угроза утечки.
С точки зрения SEO ситуация тоже однозначная: Google и Яндекс учитывают наличие HTTPS при ранжировании. Если ваш портал доступен извне — для партнёров или клиентов — отсутствие сертификата негативно сказывается на позициях. Например, сайты без HTTPS могут терять до 20% трафика. Chrome с версии 68 прямо сообщает «Не защищено» рядом с адресом, и часть пользователей просто покидает страницу, не разбираясь в деталях.
Требования и предварительные шаги для настройки SSL
Перед тем как лезть в настройки сервера, нужно разобраться с тремя вещами: выбрать сертификат, проверить DNS и сделать резервную копию. Пропуск любого из этих шагов превращает установку в нервотрёпку с откатом в самый неподходящий момент.
Какой сертификат выбрать
Для внутреннего корпоративного портала, доступного только из офиса или через VPN, подойдёт бесплатный Let's Encrypt — он выдаётся на 90 дней и автоматически продлевается. Если портал публичный и работает с клиентами, лучше взять платный DV или OV сертификат у надёжного CA: Sectigo, DigiCert или отечественные варианты от АО «ИнфоТеКС» и «Крипто-Про», чтобы соответствовать российскому законодательству. Wildcard-сертификат нужен, если у вас несколько поддоменов на одном сервере — он закроет все сразу.
DNS должен резолвить ваш домен на IP сервера до начала установки. Проверьте это командой nslookup yourdomain.ru или через any.whois-service. Если используете CDN или проксирование через Cloudflare — убедитесь, что SSL-режим выставлен в Full (Strict), иначе получите бесконечный редирект или ошибку сертификата.
Резервное копирование и подготовка сервера
Сделайте снапшот виртуальной машины или полный бэкап директории Битрикс24 (обычно /home/bitrix/www/) и дампа базы MySQL. Перед любыми изменениями в конфигурации веб-сервера это обязательно. Откатиться после неудачной правки nginx.conf за 5 минут гораздо приятнее, чем восстанавливать сервис по кускам. Убедитесь, что на сервере открыты порты 80 и 443, а в firewall нет лишних блокировок.
Процесс установки SSL на Битрикс24
Коробочный Битрикс24 работает на стеке BitrixVM или BitrixEnv — оба построены на CentOS/AlmaLinux с nginx в качестве фронтенда. Именно в конфигурации nginx происходит основная работа с SSL.
Получить сертификат Let's Encrypt проще всего через certbot. Устанавливаете пакет, запускаете certbot --nginx -d yourdomain.ru -d www.yourdomain.ru и следуете инструкциям. Certbot сам найдёт конфигурационные файлы nginx, пропишет пути к сертификату и добавит редирект с HTTP на HTTPS. После этого в файле конфига появятся строки ssl_certificate и ssl_certificate_key с указанием на /etc/letsencrypt/live/yourdomain.ru/.
Если берёте платный сертификат, процесс немного другой. Сначала генерируете CSR на сервере командой openssl req -new -newkey rsa:2048 -nodes -keyout yourdomain.key -out yourdomain.csr. CSR отправляете в удостоверяющий центр, получаете в ответ файлы сертификата — обычно это yourdomain.crt и цепочка промежуточных сертификатов ca-bundle.crt. Их нужно объединить: cat yourdomain.crt ca-bundle.crt > yourdomain_full.crt. Оба файла кладёте в защищённую директорию, например /etc/ssl/certs/, и прописываете пути в конфиге nginx.
В конфигурации nginx для Битрикс24 блок server для HTTPS выглядит примерно так: слушает 443 порт с параметром ssl, указывает на сертификат и ключ, задаёт ssl_protocols TLSv1.2 TLSv1.3 — старые версии TLS 1.0 и 1.1 лучше явно отключить, они считаются небезопасными. Отдельным блоком добавляете редирект с 80 порта: return 301 https://$host$request_uri. После правки конфига проверяете синтаксис командой nginx -t и перезапускаете сервис systemctl reload nginx.
После перезапуска nginx зайдите в административную панель Битрикс24 и в настройках сайта смените базовый URL с http:// на https://. Это делается в разделе Настройки → Настройки продукта → Сайты. Без этого шага портал будет генерировать ссылки с HTTP, и браузер будет ругаться на смешанный контент.
Как проверить правильность настройки SSL и устранить проблемы
Первая проверка — откройте сайт в браузере и посмотрите на замок. Если он закрытый и нет предупреждений, базовая установка прошла. Но этого мало. Зайдите на ssllabs.com/ssltest/ и запустите полный анализ домена. Сервис покажет оценку конфигурации, поддерживаемые протоколы, слабые шифры и проблемы с цепочкой сертификатов. Целевой результат — оценка A или A+.
Самая частая проблема после установки — mixed content. Браузер загружает страницу по HTTPS, но часть ресурсов (картинки, скрипты, CSS) подгружается по HTTP. Инструменты разработчика в Chrome (вкладка Console) покажут все такие запросы. В Битрикс24 нужно проверить настройки CDN, пути к медиафайлам и убедиться, что в базе нет захардкоженных HTTP-ссылок — их ищут через прямой SQL-запрос к таблицам b_iblock_element и b_file.
Ещё одна типичная ситуация — ошибка ERR_TOO_MANY_REDIRECTS. Возникает, когда редирект настроен и в nginx, и в .htaccess, или когда Битрикс24 сам пытается перенаправить запрос, создавая петлю. Решение: оставить редирект только в одном месте, чаще всего в nginx.
Заключение и лучшие практики по настройке SSL на Битрикс24
SSL — это не разовая задача, а часть регулярного обслуживания сервера. Let's Encrypt истекает через 90 дней, и если certbot не настроен в cron, однажды утром сотрудники увидят ошибку вместо портала. Добавьте задачу certbot renew в cron с запуском дважды в неделю — это стандартная рекомендация. Certbot продлевает только сертификаты с остатком менее 30 дней. Для платных сертификатов выставьте напоминание в календарь за 30 дней до истечения и проверяйте срок через сервисы мониторинга. Например, UptimeRobot умеет следить за датой экспирации и присылать алерты.
Для продакшн-серверов с Битрикс24 добавьте в конфиг nginx заголовок Strict-Transport-Security (HSTS). Он принудительно переключает браузер на HTTPS даже при прямом вводе HTTP-адреса. Значение max-age=31536000 означает год, includeSubDomains распространяет политику на поддомены. После включения HSTS откатиться на HTTP без последствий практически невозможно, поэтому сначала убедитесь, что SSL работает стабильно хотя бы неделю.
Если портал обновляется или переезжает на новый сервер — проверяйте SSL заново после каждого значимого изменения инфраструктуры. Конфигурация nginx при обновлении BitrixVM иногда перезаписывается, и сертификат нужно прописывать повторно. Логи nginx (/var/log/nginx/error.log) — первое место для диагностики, если что-то пошло не так.
Настройка SSL — это не разовая задача. Поддержка всей инфраструктуры Битрикс24 требует постоянного внимания. Если не хочется держать под это отдельного администратора, воспользуйтесь технической поддержкой. Это дешевле найма и снимает головную боль с обновлениями, мониторингом и такими задачами, как SSL. Не откладывайте, позаботьтесь о безопасности вашего портала уже сегодня!
