2.9.1.1. Бесплатный сертификат от Let's Encrypt

Let's Encrypt — автоматизированный центр сертификации, предоставляющий бесплатные SSL-сертификаты для сайтов. Целью данного проекта является повышение уровня безопасности сайтов повсеместно, так как протокол HTTPS позволяет передавать данные от клиента к серверу в зашифрованном виде, что не даёт возможности заполучить эти данные третьим лицам.

Сертификат выписывается полностью автоматически, но требует некоторых базовых знаний в области администрирования серверов. На нашем хостинге установка сертификата ещё проще и не требует дополнительных знаний, достаточно только подать запрос на установку. Для новых сайтов сертификат устанавливается автоматически в течение некоторого времени после их создания, если соблюдены все условия для его получения.

В процессе установки сертификата Let's Encrypt производит проверку и валидацию доменного имени и сайта путём отправки серии запросов или с помощью DNS-записей. Детальнее процесс выпуска/отзыва сертификатов описан на официальном сайте.

Сертификаты от Let's encrypt имеют ряд отличий от платных сертификатов:

  • Финансовая гарантия — компания Let's Encrypt является некоммерческой и не предоставляет какие-либо компенсации в случае взлома сертификата. Сторонние компании в большинстве своём предоставляют определённые компенсации в случае возникновения проблем в безопасности их сертификатов.
  • Безопасность — сертификаты от Let's Encrypt имеют только DV-проверку (Domain Validation), при которой проверяется только доменное имя. Сторонние центры сертификации могут выпускать сертификаты, имеющие дополнительные уровни проверки, к примеру OV SSL (Organization Validation) и EV SSL (Extended Validation), тем самым предоставляя более высокую безопасность и особенный вид сертификата в браузерной строке (отображение зависит от браузера).
  • Срок действия сертификата — SSL-сертификаты от Let's Encrypt имеют срок действия в 90 дней, после чего его нужно получать заново. Сторонние компании предоставляют сертификаты на срок от 1 года. (В нашей панели управления предусмотрен короткий срок действия SSL от Let's Encrypt и до его окончания на сайт устанавливается новый сертификат, тем самым обеспечивая постоянное наличие актуального сертификата.)
  • Поддержка платёжных систем — сертификат от Let's Encrypt использует технологию SNI (Server Name Identification), которая позволяет установить множество сертификатов на один IP-адрес. Большое количество платёжных систем не работает с этой технологией, из-за чего может не быть возможности подключить такие платёжные системы на сайте для проведения электронных платежей.

Важные моменты:

  • Автоматическая установка сертификата доступна только для сайтов на обычном и бизнес-хостинге.
  • Запрос на установку сертификата обрабатывается автоматически, обычно на это требуется не более часа.
  • Для поддоменов одного домена можно выписывать не более 20 сертификатов в неделю.
  • Сертификат выписывается на 3 месяца и автоматически продлевается при соблюдении описанных ниже условий.
  • Возможность автоматической установки сертификата недоступна для сайтов, размещённых на VPS, выделенных серверах или хостингах других компаний.
  • Сертификат нельзя выписать для поддоменов с символом _ в названии.
  • Если у сайта добавлено 10 или более поддоменов (включая www), для него можно выписать только wildcard-сертификат.

Условия получения сертификата для домена или поддомена:

Если у сайта есть псевдонимы, которые должны быть включены в сертификат, для них должны должны быть соблюдены те же условия.

Условия получения wildcard-сертификата:

Если задачей является получение wildcard-сертификата, перед подачей заявки на установку включите обработку запросов к несуществующим поддоменам.

  1. Откройте настройки SSL.
  2. Нажмите на кнопку установки сертификата:
    Если сертификат не установлен, то на вкладке «Бесплатный сертификат Let's Encrypt» нажмите «Установить»:
    Если уже есть установленный сертификат, но нужно выписать новый сертификат от Let's Encrypt, то нажмите «выписать только Let's Encrypt сертификат»:
    В случае получения уведомления о необходимости направления домена на IP хостинг-аккаунта ознакомьтесь с этой информацией.
  3. Если у сайта есть псевдонимы, укажите, нужно ли включать их адреса в сертификат:
    Если псевдоним один:
    Если псевдонимов несколько:
    Если устанавливается wildcard-сертификат:
  4. Ожидайте выполнения заявки:
Содержание