2.15.1.1.1. Безкоштовний сертифікат від Let's Encrypt

Let's Encrypt — автоматизований центр сертифікації, що надає безкоштовні SSL-сертифікати для сайтів. Метою цього проєкту є підвищення рівня безпеки сайтів повсюдно, оскільки протокол HTTPS дає змогу передавати дані від клієнта до сервера в зашифрованому вигляді, що не дає можливості роздобути ці дані третім особам.

Сертифікат виписується повністю автоматично, але вимагає деяких базових знань у сфері адміністрування серверів. На нашому хостингу встановлення сертифіката ще простіше і не потребує додаткових знань, достатньо лише подати запит на встановлення. Для нових сайтів сертифікат встановлюється автоматично протягом деякого часу після їхнього створення, якщо дотримані всі умови для його отримання.

У процесі встановлення сертифіката Let's Encrypt здійснює перевірку і валідацію доменного імені та сайту шляхом надсилання серії запитів або за допомогою DNS-записів. Детальніше процес випуску/відкликання сертифікатів описаний на офіційному сайті.

Сертифікати від Let's encrypt мають ряд відмінностей від платних сертифікатів:

  • Фінансова гарантія — компанія Let's Encrypt є некомерційною і не надає будь-які компенсації в разі злому сертифіката. Сторонні компанії здебільшого надають певні компенсації в разі виникнення проблем у безпеці їхніх сертифікатів.
  • Безпека — сертифікати від Let's Encrypt мають тільки DV-перевірку (Domain Validation), за якої перевіряється лише доменне ім’я. Сторонні центри сертифікації можуть випускати сертифікати, які мають додаткові рівні перевірки, наприклад, OV SSL (Organization Validation) та EV SSL (Extended Validation), тим самим надаючи більш високу безпеку та особливий вид сертифіката у браузерному рядку (відображення залежить від браузера).
  • Термін дії сертифіката — SSL-сертифікати від Let's Encrypt мають термін дії в 90 днів, після чого його потрібно отримувати заново. Сторонні компанії надають сертифікати на термін від 1 року. (У нашій панелі керування передбачений короткий термін дії SSL від Let's Encrypt і до його закінчення на сайт встановлюється новий сертифікат, тим самим забезпечуючи постійну наявність актуального сертифікату.)
  • Підтримка платіжних систем — сертифікат від Let's Encrypt використовує технологію SNI (Server Name Identification), яка дозволяє встановити безліч сертифікатів на одну IP-адресу. Деякі платіжні системи можуть не підтримувати цю технологію, через що можуть виникати труднощі з підключенням таких платіжних систем на сайті для проведення електронних платежів. Наявність підтримки сертифікатів від Let's Encrypt необхідно уточнювати безпосередньо у платіжної системи.

Важливі моменти:

  • Автоматичне встановлення сертифікату доступне тільки для сайтів на віртуальному та бізнес-хостингу.
  • Запит на встановлення сертифіката обробляється автоматично, зазвичай на це потрібно не більше години.
  • Для піддоменів одного домену можна виписувати не більше 20 сертифікатів на тиждень.
  • Сертифікат виписується на 3 місяці і автоматично продовжується при дотриманні описаних нижче умов.
  • Можливість автоматичного встановлення сертифіката недоступна для сайтів, розміщених на VPS, виділених серверах або хостингах інших компаній.
  • Сертифікат не можна виписати для піддоменів з символом _ в назві.
  • Якщо у сайту додано 10 або більше піддоменів (включаючи www), для нього можна виписати тільки wildcard-сертифікат.
  • Якщо в налаштуваннях домену є CAA-запис, цей запис не повинен забороняти центру сертифікації Let's Encrypt випускати SSL-сертифікати.

Умови отримання сертифікату для домену або піддомену:

Якщо у сайту є псевдоніми, які повинні бути включені в сертифікат, для них повинні повинні бути дотримані ті ж умови.

Умови отримання wildcard-сертифікату:

Якщо завданням є отримання wildcard-сертифіката, перед подачею заявки на встановлення увімкніть обробку запитів до неіснуючих піддоменів.

  1. Відкрийте налаштування SSL.
  2. Натисніть на кнопку встановлення сертифіката:
    Якщо сертифікат не встановлено, то на вкладці «Безкоштовний сертифікат Let's Encrypt» натисніть «Встановити»:
    Якщо вже є встановлений сертифікат, але потрібно виписати новий сертифікат від Let's Encrypt, то натисніть «виписати тільки Let's Encrypt сертифікат»:
    У разі отримання повідомлення про необхідність спрямування домену на IP хостинг-акаунту ознайомтеся з цією інформацією.
  3. Якщо у сайту є псевдоніми, вкажіть, чи потрібно включати їх адреси в сертифікат:
    Якщо псевдонім один:
    Якщо псевдонімів кілька:
    Якщо встановлюється wildcard-сертифікат:
  4. Чекайте виконання заявки:
Зміст