Letsencrypt

Американский удостоверяющий центр LetsEncrypt.org начал работу в 2014 году. Является единственным на данный момент поставщиком SSL/TLS-сертификатов, предлагающим их бесплатно.

Срок жизни сертификатов от Lets Encrypt – 90 дней. Уровень проверки – только DV (Domain Validation). Поддерживается мультидоменная генерация, но WildCard (для всех субдоменов) на текущий момент не доступен.

Генерация и подключение сертификата автоматизирована и выполняется с помощью Python-скрипта, загружаемого на хостинг-сервер (общее название этого программного обеспечения - ACME – "Automated Certificate Management Environment").

Поддерживаются следующие виды серверных систем:

- Apache;
- Ngnix;
- Haproxy;
- Plesk.

Многие хостинг-провайдеры настраивают свои сервера уже с поддержкой установщика Lets Encrypt. Установка сертификата производится только через этот программный конфигуратор (клиент), отдельное скачивание приватного ключа не предусмотрено.

Для самостоятельной работы с генератором ключей и сертификатов необходим SSH доступ к конфигурации сервера хостинг-провайдера ("Secure Shell"). В ином случае для установки сертификата необходимо привлекать службу технической поддержки хостинга.

После загрузки конфигуратора, в первую очередь проводится проверка домена. Данная операция выполняется в два этапа с использованием публичного ключа:
- запрос в Lets Encrypt и создание на сервере контрольных артефактов;

- проверка с помощью специальных запросов со стороны сертификационного центра.

По завершению данной операции на стороне клиента (сервер веб-хостинга) будут сгенерированы два ключа, авторизированные в Lets Encrypt. С их помощью клиентский модуль генерирует CSR запрос, после проверки которого на сервер устанавливается подписанный SSL/TLS сертификат.

Отключение сертификата происходит в аналогичной последовательности, с параллельным изъятием записи из CRL списков сертификационного центра.

Программное обеспечение, предоставляемое Lets Encrypt, допускает работу в следующих режимах:

- "apache" – автоматическая выписка и установка сертификата;
- "standalone" – генерация сертификата без установки;
- "webroot" – размещение сертификата в указанный каталог на уже запущенном сервере;
- "manual" – режим "мастера" настройки, когда все операции выполняются вручную;
- "ngnix" – полностью автоматическая установка.

Как начать работу с сервисом Lets Encrypt

Для перехода к интерактивному справочнику с описаниями команд загрузки и конфигурации ПО, следует кликнуть по кнопке "Getting Started", расположенной на главной странице, после чего перейти по ссылке "Certbot".

Необходимая информация откроется после установки селекторов "Software" и "System" в положение, соответствующее конфигурации хостинга.

Для примера приведём описание последовательности действий для случая "Apache on Debian".

Генерации сертификатов для нескольких доменов осуществляется командой следующего формата:

Отметим, что для автоматического перевыпуска сертификата (например, через 60 дней) достаточно создать следующие задачи в планировщике cron:

Завершается переход на SSL-протокол настройкой перманентного редиректа и переключением CMS сайта в новый режим работы.

Контакты

Email: press@letsencrypt.org
Github: github.com/letsencrypt