2.9.1.1. Безкоштовний сертифікат від Let's Encrypt
Let's Encrypt — автоматизований центр сертифікації, який забезпечує безкоштовні SSL-сертифікати для сайтів. Метою даного проекту є підвищення рівня безпеки сайтів повсюдно, так як протокол HTTPS дозволяє передавати дані від клієнта до сервера в зашифрованому вигляді, що не дає можливості отримати ці дані третім особам.
Сертифікат виписується повністю автоматично, але вимагає деяких базових знань в області адміністрування серверів. На нашому хостингу встановлення Сертифікат ще простіше і не вимагає додаткових знань, достатньо лише подати запит на встановлення. Для нових сайтів сертифікат встановлюється автоматично протягом деякого часу після їх створення, якщо всі дотримані всі умови для його отримання.
В процесі установки сертифіката Let's Encrypt проводить перевірку та затвердження доменного імені і сайту шляхом відправки серії запитів або за допомогою DNS-запісей. Детальніше процес випуску / відкликання сертифікатів описаний на офіційному сайті.
Відмінність від комерційних сертифікатів
Сертифікати від Let's encrypt мають ряд відмінностей від платних сертифікатів:
- Фінансова гарантія — компанія Let's Encrypt є некомерційною і не надає будь—якої компенсації в разі злому сертифіката. Сторонні компанії в більшості своїй надають певні компенсації в разі виникнення проблем в безпеці їх сертифікатів.
- Безпека — сертифікати від Let's Encrypt мають лише DV—перевірку (Domain Validation), за якої перевіряється лише доменне ім'я. Сторонні центри сертифікації можуть випускати сертифікати, які мають додаткові рівні перевірки, наприклад, OV SSL (Organization Validation) та EV SSL (Extended Validation), тим самим надаючи більш високу безпеку та особливий вид сертифіката у браузерному рядку (відображення залежить від браузера).
- Термін дії сертифіката — SSL—сертифікати від Let's Encrypt мають термін дії в 90 днів, після чого його потрібно отримувати заново. Сторонні компанії надають сертифікати на термін від 1 року. (У нашій панелі управління передбачений короткий термін дії SSL від Let's Encrypt і до його закінчення на сайт встановлюється новий сертифікат, тим самим забезпечуючи постійну наявність актуального сертифікату.)
- Підтримка платіжних систем — сертифікат від Let's Encrypt використовує технологію SNI (Server Name Identification), яка дозволяє встановити безліч сертифікатів на один IP—адреса. Велика кількість платіжних систем не працює з цією технологією, через що може не бути можливості підключити такі платіжні системи на сайті для проведення електронних платежів.
Умови отримання
Важливі моменти:
- Автоматична встановлення сертифікату доступна тільки для сайтів на звичайному та бізнес-хостингу.
- Запит на установку сертифіката обробляється автоматично, зазвичай на це потрібно не більше години.
- Для піддоменів одного домену можна виписувати не більше 20 сертифікатів на тиждень.
- Сертифікат виписується на 3 місяці і автоматично продовжується при дотриманні описаних нижче умов.
- Можливість автоматичної установки сертифіката недоступна для сайтів, розміщених на VPS, виділених серверах або хостингах інших компаній.
- Сертифікат не можна виписати для піддоменів з символом
_
в назві. - Якщо у сайту додано 10 або більше піддоменів (включаючи www), для нього можна виписати тільки wildcard-сертифікат.
Сертифікат для домену або піддомену
Умови отримання сертифікату для домену або піддомену:
- Домен повинен бути робочим і коректно спрямованим на наш хостинг (в налаштуваннях домену в адресних записах для адреси з www і без www повинні бути вказані поточні IP-адреси хостинг-аккаунта).
- Сайт повинен бути доступний і при зверненні до нього повинен повертатися відповідь сервера 200.
- Для сайту не повинно бути встановлено обмежень доступу.
- Домен, для якого подається заявка на отримання сертифіката, не повинен знаходитися в списку шкідливих в Google Safe Browsing.
Якщо у сайту є псевдоніми, Які повинні бути включені в сертифікат, для них повинні повинні бути дотримані ті ж умови.
Wildcard-сертифікат
Умови отримання wildcard-сертифікату:
- Домен повинен бути робочим і обслуговуватися на наших NS.
- В налаштуваннях сайту повинна бути включена обробка запитів до неіснуючих піддоменів.
- При подачі запиту на установку обов'язково потрібно погодитися з включенням в сертифікат псевдоніма * .example.com, де замість example.com - буде ваш домен.
- Якщо у сайту є псевдоніми, Які повинні бути включені в сертифікат, для них повинні повинні бути дотримані ті ж умови, що і при установці сертифіката для домену або піддомену.
- Домен, для якого подається заявка на отримання сертифіката, не повинен знаходитися в списку шкідливих в Google Safe Browsing.
Установка
Якщо завданням є отримання wildcard-сертифіката, перед подачею заявки на установку включите обробку запитів до неіснуючих піддоменів.
- Відкрийте настройки SSL.
- Натисніть на кнопку установки сертифіката:У разі отримання повідомлення про необхідність надсилання домену на IP хостинг-акаунта ознайомтеся з цією інформацією.
- Якщо у сайту є псевдоніми, Вкажіть, чи потрібно включати їх адреси в сертифікат:Якщо псевдонім один:Якщо псевдонімів кілька: