SSL Labs (Qualys) проверяет качество настройки HTTPS на домене: версии TLS, цепочку сертификатов, набор шифров, поддержку современных клиентов, а также ряд факторов безопасности. Цель этой услуги — довести конфигурацию до рейтинга A+ без поломки совместимости и без деградации производительности.
Что влияет на рейтинг A+
- Сертификат и цепочка: корректный intermediate, отсутствие ошибок в цепочке, правильные SAN/домены.
- TLS 1.2/1.3: современные протоколы, отключение устаревших версий.
- Шифры: безопасные cipher suites, приоритет сервера, отсутствие слабых алгоритмов.
- HSTS: строгая политика HTTPS (включая параметры и корректную длительность).
- OCSP stapling: ускорение проверки сертификата и снижение зависимости от внешних OCSP.
- Заголовки безопасности: базовые и расширенные заголовки (в зависимости от проекта и совместимости).
Почему часто получается A, но не A+
- HSTS настроен частично или с “опасными” параметрами (или вообще отсутствует).
- Оставлены слабые шифры ради совместимости, хотя можно решить иначе.
- Неполная цепочка сертификатов или проблемы с промежуточными сертификатами.
- Не включён OCSP stapling или он работает нестабильно.
- Редиректы/каноникализация HTTPS настроены нестрого (часть URL открывается “как попало”).
Как проходит настройка
- Проверка: анализ отчёта SSL Labs + серверной конфигурации (Nginx/Apache) и сертификатов.
- План правок: список изменений с учётом совместимости (браузеры, боты, API-клиенты).
- Внедрение: TLS/шифры, HSTS, OCSP stapling, корректировка цепочки, редиректы и заголовки.
- Повторная проверка: доведение до A+, контроль отсутствия побочных эффектов.
Результат
- Рейтинг A+ в SSL Labs (Qualys) при корректной поддержке TLS 1.2/1.3.
- Строгая HTTPS-политика и предсказуемые редиректы.
- Снижение рисков из-за слабых настроек TLS и ошибок цепочки сертификатов.
Это итоговая оценка конфигурации HTTPS: протоколы TLS, шифры, сертификат и цепочка, HSTS и ряд параметров безопасности. A+ обычно требует корректного HSTS и отсутствия слабых настроек.
Иногда нужно выбирать баланс совместимости и безопасности. Мы согласуем, какие клиенты критичны, и под них подбираем конфигурацию, чтобы не открывать устаревшие протоколы без необходимости.
Сертификат — только часть картины. Частые причины: слабые шифры, включённые старые версии TLS, неполная цепочка (intermediate), отсутствие HSTS или проблемы с OCSP stapling.
Для A+ — обычно да. Но HSTS нужно включать осознанно: после полного перехода на HTTPS и проверки, что все поддомены и ресурсы работают корректно.
Если доступ к серверу есть и нет сложных ограничений по совместимости, чаще всего укладываемся в 1–2 итерации правок: настройка → проверка → точечная корректировка.