2.9.1.1. Безкоштовний сертифікат від Let's Encrypt

Let's Encrypt — автоматизований центр сертифікації, який забезпечує безкоштовні SSL-сертифікати для сайтів. Метою даного проекту є підвищення рівня безпеки сайтів повсюдно, так як протокол HTTPS дозволяє передавати дані від клієнта до сервера в зашифрованому вигляді, що не дає можливості отримати ці дані третім особам.

Сертифікат виписується повністю автоматично, але вимагає деяких базових знань в області адміністрування серверів. На нашому хостингу установка сертифікату ще простіше і не вимагає додаткових знань, досить тільки подати запит на установку. Для нових сайтів сертифікат встановлюється автоматично протягом деякого часу після їх створення, якщо дотримані всі умови для його отримання.

В процесі установки сертифіката Let's Encrypt проводить перевірку та затвердження доменного імені і сайту шляхом відправки серії запитів або за допомогою DNS-запісей. Детальніше процес випуску / відкликання сертифікатів описаний на офіційному сайті.

Сертифікати від Let's encrypt мають ряд відмінностей від платних сертифікатів:

Фінансова гарантія — компанія Let's Encrypt є некомерційною і не надає будь—якої компенсації в разі злому сертифіката. Сторонні компанії в більшості своїй надають певні компенсації в разі виникнення проблем в безпеці їх сертифікатів.
Безпека — сертифікати від Let's Encrypt мають тільки DV—перевірку (Domain Validation), при якій перевіряється тільки доменне ім'я. Сторонні центри сертифікації можуть випускати сертифікати, які мають додаткові рівні перевірки, наприклад OV SSL¹⁾ і EV SSL (Extended Validation), тим самим надаючи більш високу безпеку і особливий вид сертифіката в браузерної рядку²⁾.
Термін дії сертифіката — SSL—сертифікати від Let's Encrypt мають термін дії в 90 днів, після чого його потрібно отримувати заново. Сторонні компанії надають сертифікати на термін від 1 року. (У нашій панелі управління передбачений короткий термін дії SSL від Let's Encrypt і до його закінчення на сайт встановлюється новий сертифікат, тим самим забезпечуючи постійну наявність актуального сертифікату.)
Підтримка платіжних систем — сертифікат від Let's Encrypt використовує технологію SNI (Server Name Identification), яка дозволяє встановити безліч сертифікатів на один IP—адреса. Велика кількість платіжних систем не працює з цією технологією, через що може не бути можливості підключити такі платіжні системи на сайті для проведення електронних платежів.

Важливі моменти:

Автоматична установка сертифікату доступна тільки для сайтів на звичайному та бізнес-хостингу.
Запит на установку сертифіката обробляється автоматично, зазвичай на це потрібно не більше години.
Для піддоменів одного домену можна виписувати не більше 20 сертифікатів на тиждень.
Сертифікат виписується на 3 місяці і автоматично продовжується при дотриманні описаних нижче умов.
Можливість автоматичної установки сертифіката недоступна для сайтів, розміщених на VPS, виділених серверах або хостингах інших компаній.
Сертифікат не можна виписати для піддоменів з символом _ в назві.
Якщо у сайту додано 10 або більше піддоменів (включаючи www), для нього можна виписати тільки wildcard-сертифікат.

Умови отримання сертифікату для домену або піддомену:

Домен повинен бути робочим і коректно спрямованим на наш хостинг (в налаштуваннях домену в адресних записах для адреси з www і без www повинні бути вказані поточні IP-адреси хостинг-аккаунта).
Сайт повинен бути доступний і при зверненні до нього повинен повертатися відповідь сервера 200.
Для сайту не повинно бути встановлено обмежень доступу.
Домен, для якого подається заявка на отримання сертифіката, не повинен знаходитися в списку шкідливих в Google Safe Browsing.

Якщо у сайту є псевдоніми, Які повинні бути включені в сертифікат, для них повинні повинні бути дотримані ті ж умови.

Умови отримання wildcard-сертифікату:

Домен повинен бути робочим і обслуговуватися на наших NS.
В налаштуваннях сайту повинна бути включена обробка запитів до неіснуючих піддоменів.
При подачі запиту на установку обов'язково потрібно погодитися з включенням в сертифікат псевдоніма * .example.com, де замість example.com - буде ваш домен.
Якщо у сайту є псевдоніми, Які повинні бути включені в сертифікат, для них повинні повинні бути дотримані ті ж умови, що і при установці сертифіката для домену або піддомену.
Домен, для якого подається заявка на отримання сертифіката, не повинен знаходитися в списку шкідливих в Google Safe Browsing.

Якщо завданням є отримання wildcard-сертифіката, перед подачею заявки на установку включите обробку запитів до неіснуючих піддоменів.

Для подачі заявки на установку сертифіката виконайте наступне:

Відкрийте настройки SSL.
Натисніть на кнопку установки сертифіката:
- Якщо сертифікат не встановлено
- Якщо вже є встановлений сертифікат
Якщо сертифікат не встановлено, то на вкладці «Безкоштовний сертифікат Let's Encrypt» натисніть «Встановити»:
Якщо вже є встановлений сертифікат, але потрібно виписати новий сертифікат від Let's Encrypt, То натисніть «виписати тільки Let's Encrypt сертифікат»:
У разі виникнення помилки виду «Адресні записи домену повинні бути спрямовані на IP-адресу сервера аккаунта» ознайомтеся з цією інформацією.
Якщо у сайту є псевдоніми, Вкажіть, чи потрібно включати їх адреси в сертифікат:
Якщо псевдонім один:
Якщо псевдонімів кілька:
Якщо встановлюється wildcard-сертифікат:
Чекайте виконання заявки: