Let’s Encrypt добавила поддержку wildcard-сертификатов


Оглавление (нажмите, чтобы открыть):

Let’s Encrypt Wildcard Certificates в Ubuntu 16.04

27 февраля 2020 произошло долгожданное событие — в Let’s Encrypt появилась возможность выпускать wildcard сертификаты. То есть можно выпустить один сертификат для домена somedomain.ru и использовать на всех поддоменах 3-го и нижестоящего уровня.

Пока в Ubuntu 16.04 у утилиты letsencrypt нет возможности их выпускать, так что выпустим их, используя certbot из ppa.

Добавляем репозиторий с certbot:
# add-apt-repository ppa:certbot/certbot

В процессе будет задан вопрос из разряда действительно ли мы хотим добавить этот репозиторий. Нажимаем Enter и визим заветный ответ: OK.

Обновляем список доступных пакетов:
# apt-get update

Устанавливаем certbot:
# apt-get install certbot

Проверяем версию:
# certbot —version

Она должна быть не меньше 0.22.

Выпускаем wildcard сертификат

Запускаем команду для выпуска сертификата и следуем её инструкции:
# certbot certonly —manual -d *.somedomain.ru —agree-tos —no-bootstrap —manual-public-ip-logging-ok —preferred-challenges dns-01 —server https://acme-v02.api.letsencrypt.org/directory

Вместо *.somedomain.ru нужно установить нужный домен с указанием *. в начале, что означает действительность домена для всех поддоменов.

  1. Указать email, на который будет отправляться письма, если возникнут проблемы с перевыпуском сертификата и замечания связанные с безопасностью.
  2. Ответить на вопрос хотим ли мы разрешить отправлять нам письма от имени сообщества, поддерживающего certbot, и партнёров Let’s Encrypt.
  3. Добавить в DNS TXT запись.

Убедитесь, что запись появилась в DNS, и смело нажимайте Enter. Конечный результат должен быть вот такой:

Настройка поддомена в nginx

Если раньше не создавался ключ Diffie–Hellman, то создаём его:
# openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Создаём snippet для nginx:
# nano /etc/nginx/snippets/ssl-params.conf

Вставляем в файл:

Теперь создадим snippet для сертификата домена:
# nano /etc/nginx/snippets/ssl-somedomain.ru.conf


Вставляем в файл:

Конфигурируем поддомен sub для домена somedomain.ru в nginx:
# nano /etc/nginx/sites-available/ru.somedomain.sub

Вставляем в файл:

Создаём символическую ссылку:
# ln -s /etc/nginx/sites-available/ru.somedomain.sub /etc/nginx/sites-enabled/

Перезапускаем nginx:
# systemctl reload nginx

Открываем в браузере http://sub.somedomain.ru и наслаждаемся результатом.

Автоматическое обновление сертификата

Создаём скрипт для автоматического обновления сертификата:
# mkdir -p /var/www/certbot
# nano /var/www/certbot/crontab.sh

Вставляем в него:

Делаем его исполняемым:
# chmod +x /var/www/certbot/crontab.sh

Добавляем в crontab:
# crontab -e

Let’s Encrypt Wildcard Certificates в Ubuntu 16.04: 5 комментариев

насколько я понимаю, в настоящее время выдача wildcard сертификатов возможна только через верификацию txt записи в dns. автоматически это умеют делать только dns регистраторов имеющих соответствующее api
вы уверены, что в вашем варианте обновление пройдёт штатно?

Андрей, я об этом не подумал. Я предположил, что TXT запись меняться не будет. Ведь, если я делаю запрос обновления, а не получения нового, то достаточно удостовериться, что я тот же самый владелец. Думаю, что в скором времени мы узнаем ответ.

https://habrahabr.ru/post/351252/
в комментах есть ответ.
и где-то в официальных гитхабах видел список регистраторов, имеющих соответствующий api

Получилось сделать авто-renew сертификата через Lexicon (https://github.com/AnalogJ/lexicon), который позволяет обновлять SSL с типом установки —manual.

Нужно установить и настроить хук авторизации для DNS и хук очистки DNS. В Certbot’е указываете путь к этому файлу в параметрах:
—manual-auth-hook «/root/certbot.default.sh auth»
—manual-cleanup-hook «/root/certbot.default.sh cleanup»

С DNS, которые имеют API для управления записями, это работает. Полный список поддерживаемы DNS есть в репо лексикона.
После настройки хука, не забудьте сделать sudo crontab -e b и добавить туда задачу certbot renew —quite

Как продлить Wildcard SSL от Let’s Encrypt?

Пробую продлить сертификаты на все поддомены сразу. 3 месяца назад так получилось. Сейчас Let’s Encrypt пишет, что все прошло хорошо, но браузер сертификат не видет.


Делал выполняя следующую команду:

Неделю назад обновлял TXT записи на домене чтобы подтвердить домен, все прошло успешно. Сегодня сертификат перестал действовать. Выполнил ещё раз команду уже без подтверждений сразу говорит, что все прошло успешно (тест команды и ответа привел).

Подскажите, может как то по другому нужно сделать, чтобы продлить сертификаты сразу на все поддомены?

Vesta Control Panel — Forum

Поддержка Lets’en Crypt WILDCARD

Поддержка Lets’en Crypt WILDCARD

Post by aligan » Tue May 14, 2020 7:09 am

Re: Поддержка Lets’en Crypt WILDCARD

Post by Alex Connor » Tue May 14, 2020 11:41 am

Re: Поддержка Lets’en Crypt WILDCARD

Post by imperio » Thu May 16, 2020 7:18 pm

Re: Поддержка Lets’en Crypt WILDCARD

Post by STEENOV » Thu Jul 18, 2020 8:44 am

Re: Поддержка Lets’en Crypt WILDCARD

Post by grayfolk » Thu Jul 18, 2020 8:50 am

Re: Поддержка Lets’en Crypt WILDCARD

Post by STEENOV » Thu Jul 18, 2020 9:01 am

Давайте заного.
Как сформировать lets encrypt wildcard с помощью VESTA CP ?

Re: Поддержка Lets’en Crypt WILDCARD

Post by grayfolk » Thu Jul 18, 2020 11:05 am


Re: Поддержка Lets’en Crypt WILDCARD

Post by STEENOV » Fri Jul 19, 2020 6:55 am

Re: Поддержка Lets’en Crypt WILDCARD

Post by grayfolk » Fri Jul 19, 2020 11:36 am

Re: Поддержка Lets’en Crypt WILDCARD

Post by STEENOV » Fri Jul 19, 2020 12:10 pm

1. Использовать собственные серверы имен
2. Добавить wildcard-алиас
3. Переформировать ssl

Kazun

Заметки о PowerShell.

Получение wildcard-сертификата от Let’s Encrypt

Март 14, 2020 Автор: Kazun

Сегодня анонсировали возможность получения бесплатного wildcard-сертификата от Let’s Encrypt сроком на 3 месяца — ACME v2 and Wildcard Certificate Support is Live . Технические подробности можно узнать – ACME v2 Production Environment & Wildcards .

  • Требуется повторная проверка домена для ACME v2
  • Учетные записи для V1 или V2 staging environment(тестовых сред) не будут работать в рабочей среде
  • ACME v2 поддерживает не более 300 запрос в течение 3 часов
  • Проверка осуществляется только с помощью DNS-01 challenge
Мастер Йода рекомендует:  Веб-фреймворк Electron обновили до версии 4.0

В прошлый раз использовали модуль ACMESharp, на данный момент он не поддерживает ACME v2, но я думаю в скором времени, все будет поддерживаться. В библиотеке certes реализована поддержка ACME v2, ее и будем использовать.

Let’s Encrypt — бесплатный SSL-сертификат: как получить, инструкция по установке, настройке и продлению

В статье рассмотрим плюсы и минусы бесплатного Let’s Encrypt, для кого подойдет, как получить и установить его на сайт с панелью Plesk 12.5

Let’s Encrypt— бесплатный, автоматизированный проект, с открытым CA (certificate authority — центр сертификации).

ОСНОВНЫЕ ПРЕИМУЩЕСТВА

бесплатно: любой владелец сайта (в частности, доменного имени) может получить и установить доверенный TLS-сертификат Let’s Encrypt (TLS — наследник SSL);
автоматизация: все функции установки, конфигурации и обновления проводятся в автоматическом режиме;
безопасность: все методы шифрования Let’s Encrypt отвечают текущим стандартам;
прозрачность: публичная доступность информации о выпуске и отзыве каждого сертификата для любого желающего;
свободно: будет использован принцип open standard для протоколов взаимодействия с CA (certificate authority).


ПРОГРАММНАЯ РЕАЛИЗАЦИЯ

Центр Сертификации выдаёт сертификаты, которые генерируются на АСМЕ сервере по протоколу Boulder, написанные на языке GO (доступный в исходниках под лицензией MPL2).
Данный сервер предоставляет RESTful-протокол, который функционирует через канал с TLS шифрованием.
Клиентская часть протокола АСМЕ , т.е. certbot, написанный на языке Python, также открыт под APACHE лицензией . Certbot устанавливается на клиентском сервере, чтобы создавать запрос сертификата, проверить валидность домена и после этого устанавливает сертификат с последующей настройкой шифрования HTTPS веб-сервера.
Также в функцию certbot входит обновление сертификата после истечения срока действия. Установка сертификата производится одной командой после того как принимается лицензия.
Certbot позволяет устанавливать сертификат с дополнительными опциями -OCSP stapling и HTTP Strict Transport Security

УСТАНАВЛИВАЕМ SSL СЕРТИФИКАТ LET’S ENCRYPT (ИНСТРУКЦИЯ)

Рассмотрим использование сертификата применительно к серверам , используемым на нашем хостинге.
Подавляющее большинство наших серверов используют версию Plesk 12.5 где данный модуль уже включён в дистрибутив Plesk 12.5 и установка его проста и удобна. Достаточно зайти в панель плеск в раздел «Сайты и домены », кликнуть на модуль Let’s Encrypt,

выбрать нужные опции и после нажатия кнопки «Установить», установка произойдёт менее чем за минуту.

Так как данный сертификат рассчитан на срок не более 90 дней, то в панели плеск создана соответствующая задача cron в разделе Инструменты и настройки — Планировщик задач

Стоит заметить, что существуют некоторые ограничения на генерацию сертификата:

  • дублирующие сертификаты — не более 5 в неделю;
  • количество попыток генерации сертификата не более 5 раз в час.

О НЕДОСТАТКАХ LET’S ENCRYPT

В конце этой статьи хотим отметить, что несмотря на все преимущества данного типа сертификата, существуют недостатки, которые нужно учитывать при выборе SSL:

    Бесплатный сертификат Let’s Encrypt кратковременный и рассчитан на срок не более 90 дней, в отличии от платного, который можно выпустить сроком до 3 лет. Вы можете , конечно, перевыпускать сертификат каждые 3 месяца, но обязательно следите за сроками. Перевыпуск сертификата можно осуществить тремя способами: вручную, за счет настройки планировщика задач cron или автоматически.

Если вы выбрали способ обновления вручную, то следите четко за сроками и вовремя перевыпускайте сертификат. Иначе рискуете получить наплыв недовольных пользователей сайта и их последующий отток.

Планировщик задач cron — это способ настройки автоматического обновления. Способ хорош для тех, кто владеет навыками администрирования Linux и умеет работать с кронами. Нужно еще учитывать, что в работе крона не исключены ошибки, которые могут помешать перевыпуску сертификата. Вывод: следить за обновлением все равно придется.

Автоматическое обновление. Этот способ подразумевает, что вы принимаете автоматические настройки, предусмотренные Центром сертификации. И тут нужно понимать, что вы таким образом, даете свое согласие на то, что ЦС может вносить изменения по своему усмотрению в ПО и настройки вашего сервера.
Не все домены можно защитить бесплатным Let’s Encrypt. Данный сертификат рассчитан только на защиту одного домена без проверки компании, так называемые DV SSL (Domain Validation).

Так, при помощи Let’s Encrypt нельзя создать следующие типы сертификатов:

— WildCard сертификат для защиты поддоменов определённого домена;
— Сертификаты OV SSL(organization validation), предполагающие проверку не только домена, но и компании;
— Сертификаты EV SSL (extended validation). Сертификат с максимальной степенью защиты и зелёной адресной строкой браузера;
— Multi-Domain сертификат типа UCC;

  • Важный момент — нет никаких финансовых гарантий использования Let’sEncrypt . Если вдруг произойдет взлом бесплатного сертификата, то денежную компенсацию никто вам не предоставит.

  • ЗАКЛЮЧЕНИЕ

    Подводя итоги, можно сказать, что Центр Сертификации Let’s Encrypt достаточно успешный проект, популярность которого растет с каждым годом среди пользователей сети.

    И если вам нужен простой сертификат для одного домена, вы обладаете соответствующими навыками администрирования, а также если нет необходимости в SSL с проверкой компании (OV- organization validation) или наличие зеленой адресной строки и указания названия компании в сертификате, то данный сертификат можно использовать.

    Тем не менее, мы рекомендуем крупным компаниям, интернет-магазинам, банкам и другим e-commerce проектам устанавливать коммерческие SSL — сертификаты от известных Центров сертификации, таких как, например, GlobalSign, Comodo.
    Так вы заручитесь доверием пользователей и покажете, что вы серьезная компания, которая заботится о безопасности данных клиентов.

      Поделиться:

    Let‘s Encrypt + Wildcard + Bind9 ( Настройка подсистемы получения wildcard-сертификата от «Let’s Encrypt», в спарке с NS-серверами «Bind9». )

    OS: «Linux Debian 7/8/9/10», «Linux Ubuntu 14/16/18 LTS», «Linux Fedora 25/26/27/28/29».
    Application: «Certbot v.0.26-35» for «Let`s Encrypt» (on Python), «Bind9».

    Задача: наладить запрашивание SSL-сертификата от «Let`s Encrypt», действие которого распространяется на все поддомены одним уровнем выше указанного (включая опорный) — так называемый wildcard-сертификат.

    Ранее я уже рассказывал о том, как наладить полуавтоматизированное запрашивание и продление SSL-сертификатов привязанных к одному доменному имени с использованием для подтверждения владением доменом встроенного плагина «webroot», размещающего в указанном месте файловой системы специальный проверочный код, отдаваемый в текстовом файле посредством протокола HTTP. Для wildcard-сертификатов поддерживается только аутентификация посредством создания специальных DNS-записей (метод «dns-01»), основанная на подтверждении владения (управления) DNS-сервером, который поддерживает указанный домен.

    Мастер Йода рекомендует:  Должны ли SEO-специалисты заботиться о внутренних ссылках

    Идея в том, что ACME-клиент («Certbot» в данном случае) запрашивает от сервера «Let’s Encrypt» уникальную строку-идентификатор, которую любым способом необходимо разместить в специальной TXT-записи нижеследующего формата, чтобы проверяющий сервер «Let’s Encrypt» мог считать её и удостовериться, что мы владеем или управляем указанным DNS-сервером:

    Как вариант, можно воспользоваться встроенными средствами «Certbot», указав исполнителем плагин «manual» (подразумевающий, что все действия на стороне клиента осуществляются вручную) и метод аутентификации «dns-01» (задаваемые параметром «preferred-challenges») — тогда ACME-клиент в процессе работы сообщит нам имя TXT-записи и секретный код, который необходимо в ней опубликовать для подтверждения владения доменом.

    Однако в корпоративной сети с двумя-тремя NS-серверами проще всего использовать дополнительно устанавливаемый certbot-плагин «dns-rfc2136», автоматизирующий процедуры получения секретного ключа, публикующий его и удаляющий DNS-запись после завершения запроса, область действия которого как правило достаточно просто ограничивается настройками NS-сервера, как такового.

    Плагин «dns-rfc2136» взаимодействует с DNS-сервером посредством протокола «Dynamic DNS (DDNS)» с подписанием команд посредством «Transaction SIGnature (TSIG)». Не все DNS-серверы поддерживают эту связку, но в примере используется «Bind9», в этом плане полностью функциональный.

    Установка в «Certbot» DNS-плагина.

    Исходим из того, что certbot-клиент уже установлен и настроен, а нам лишь необходимо добавить плагин (в противном случае следует пройти все предыдущие этапы инсталляции).

    Воспользовавшись встроенным в «Certbot» инсталлятором python-компонентов отдаём всего одну команду установки требуемого плагина:

    Успешная установка будет сопровождаться примерно следующим выводом:

    Для полной уверенности можно запросить список всех установленных плагинов и найти среди них требуемый «dns-rfc2136», как-то так:

    Параметров вызова у плагина немного, но перед работой есть смысл с ними ознакомиться:

    Настройка плагина «certbot-dns-rfc2136».


    Прежде всего подготовим TSIG-ключ («Transaction SIGnature») для подписания запросов к NS-серверу, например «Bind9»:

    В результате в целевой директории появится два файла именованных вроде «Kexample.net.+165+XXXXX.key» и «Kexample.net.+165+XXXXX.private», с HMAC-хешами и описанием их параметров. Нас интересует только один результирующий файл, с секретным ключем, который можно вычленить одной простой командой:

    Файлы ключей нам больше не потребуются, так что их можно удалить:

    Используя полученную строку HMAC-хеша формируем конфигурационный файл TSIG-ключа для подключения «Certbot» к ведущему NS-серверу:

    Настройка первичного NS-сервера «Bind9».

    Используя полученную ранее строку HMAC-хеша формируем конфигурационный файл TSIG-ключа для NS-сервера «Bind9»:

    Включаем файл описания TSIG-ключа в конфигурацию «Bind9»:

    Использование протокола DDNS, посредством которым «Certbot» подключается и оперирует сущностями «Bind9» проявляет в работе последнего неприятную особенность — при внесении изменений в доменную зону таковые вначале записываются в автоматически создаваемый файл журнала транзакций «*.jnl», которые минут через пятнадцать вливаются в оригинальный конфигурационный файл зоны, перезаписывая его с форматированием возможно кардинально отличающимся от исходного. Это неприемлемо в случае поддержания DNS-сервиса ручными правками, так что для тех доменов, которым мы собираемся запрашивать wildcard-сертификаты «Let`s Encrypt» будет лучше создавать выделенные для ACME-взаимодействий конфигурационные файлы доменной зоны:

    .
    // Выделенная для взаимодействия с сервисами «Let`s Encrypt» доменная зона
    zone «_acme-challenge.example.net» IN <
    type master;
    file «/var/lib/named/master/db._acme-challenge.example.net»;
    check-names ignore;

    // Разрешаем предъявителю TSIG-ключа вносить изменения строго определённого характера
    update-policy <
    grant letsencrypt-example.net name _acme-challenge.example.net. TXT;
    >;

    // Явно уведомляем secondary-серверы и разрешаем принятие от них AXRF-запросов
    notify yes;
    also-notify < 10.100.200.2;>;
    allow-transfer < 10.100.200.2; >;
    >;
    .

    Минимально необходимый файл описания зоны доменных имён:

    Проверяем конфигурацию, как сервера, так и новой зоны доменных имён:

    Если ошибок не найдено — применяем конфигурацию:

    Настройка вторичного NS-сервера «Bind9».

    На стороне вторичного NS-сервера (или серверов), достаточно указать на несущий доменную зону главный NS-сервер, не забыв разрешить принимать от него уведомления обновлений:

    Проверяем синтаксис конфигурации новой зоны и применяем изменения:

    Одна из проблем, с которым можно столкнуться при использовании средств автоматизации для комбинации DNS и «Let`s Encrypt» — неработоспособность связки главного и вторичных NS-серверов. Прежде всего есть смысл проверить, возможны ли со вторичных NS-серверов AXFR-запросы (транзакция репликации, отдающая всё содержимое доменной зоны):

    . или, если AXFR-запросы разрешены только с аутентификацией HMAC-ключем:

    Запрашиваем wildcard-сертификат у «Let`s Encrypt».


    Прежде чем запрашивать сертификат «по настоящему» лучше провести функциональное тестирование без сохранения результатов (режим включается флагом «—dry-run»):

    В случае, если все составляющие отработали как предполагалось, мы увидим примерно следующее:

    Plugins selected: Authenticator dns-rfc2136
    Obtaining a new certificate
    Performing the following challenges:
    dns-01 challenge for example.net
    Waiting 120 seconds for DNS changes to propagate
    Waiting for verification.
    Cleaning up challenges

    IMPORTANT NOTES:
    — The dry run was successful.

    Если постараться, то в течении двухминутного ожидания выделенного на проведение процедур создания DNS-записей таковые можно подсмотреть как на первичном NS-сервере, так и на вторичном:

    Вот теперь, если тестирование прошло гладко, запускаем команду запроса без флага «—dry-run» и через две минуты получаем уведомление о месторасположении нового набора SSL-сертификатов:

    Сразу после создания можно полюбопытствовать параметрами SSL-сертификата и убедиться, что он действительно «wildcard»:

    Применение и продление.

    Способы применения SSL-сертификатов в разных web-серверах, а также автоматизация продления таковых (помним, что «Let`s Encrypt» выдаёт сертификаты сроком действия всего три месяца) подробно рассмотрены в предыдущих публикациях.

    Поддержать автора ( сделайте свой вклад в хорошее настроение )

    Kazun

    Заметки о PowerShell.

    Получение wildcard-сертификата от Let’s Encrypt

    Март 14, 2020 Автор: Kazun

    Сегодня анонсировали возможность получения бесплатного wildcard-сертификата от Let’s Encrypt сроком на 3 месяца — ACME v2 and Wildcard Certificate Support is Live . Технические подробности можно узнать – ACME v2 Production Environment & Wildcards .

    • Требуется повторная проверка домена для ACME v2
    • Учетные записи для V1 или V2 staging environment(тестовых сред) не будут работать в рабочей среде
    • ACME v2 поддерживает не более 300 запрос в течение 3 часов
    • Проверка осуществляется только с помощью DNS-01 challenge

    В прошлый раз использовали модуль ACMESharp, на данный момент он не поддерживает ACME v2, но я думаю в скором времени, все будет поддерживаться. В библиотеке certes реализована поддержка ACME v2, ее и будем использовать.

    Let’s Encrypt — бесплатный SSL-сертификат: как получить, инструкция по установке, настройке и продлению

    В статье рассмотрим плюсы и минусы бесплатного Let’s Encrypt, для кого подойдет, как получить и установить его на сайт с панелью Plesk 12.5

    Мастер Йода рекомендует:  29 ноября состоится Торжественная Церемония вручения Премии Рунета - 20


    Let’s Encrypt— бесплатный, автоматизированный проект, с открытым CA (certificate authority — центр сертификации).

    ОСНОВНЫЕ ПРЕИМУЩЕСТВА

    бесплатно: любой владелец сайта (в частности, доменного имени) может получить и установить доверенный TLS-сертификат Let’s Encrypt (TLS — наследник SSL);
    автоматизация: все функции установки, конфигурации и обновления проводятся в автоматическом режиме;
    безопасность: все методы шифрования Let’s Encrypt отвечают текущим стандартам;
    прозрачность: публичная доступность информации о выпуске и отзыве каждого сертификата для любого желающего;
    свободно: будет использован принцип open standard для протоколов взаимодействия с CA (certificate authority).

    ПРОГРАММНАЯ РЕАЛИЗАЦИЯ

    Центр Сертификации выдаёт сертификаты, которые генерируются на АСМЕ сервере по протоколу Boulder, написанные на языке GO (доступный в исходниках под лицензией MPL2).
    Данный сервер предоставляет RESTful-протокол, который функционирует через канал с TLS шифрованием.
    Клиентская часть протокола АСМЕ , т.е. certbot, написанный на языке Python, также открыт под APACHE лицензией . Certbot устанавливается на клиентском сервере, чтобы создавать запрос сертификата, проверить валидность домена и после этого устанавливает сертификат с последующей настройкой шифрования HTTPS веб-сервера.
    Также в функцию certbot входит обновление сертификата после истечения срока действия. Установка сертификата производится одной командой после того как принимается лицензия.
    Certbot позволяет устанавливать сертификат с дополнительными опциями -OCSP stapling и HTTP Strict Transport Security

    УСТАНАВЛИВАЕМ SSL СЕРТИФИКАТ LET’S ENCRYPT (ИНСТРУКЦИЯ)

    Рассмотрим использование сертификата применительно к серверам , используемым на нашем хостинге.
    Подавляющее большинство наших серверов используют версию Plesk 12.5 где данный модуль уже включён в дистрибутив Plesk 12.5 и установка его проста и удобна. Достаточно зайти в панель плеск в раздел «Сайты и домены », кликнуть на модуль Let’s Encrypt,

    выбрать нужные опции и после нажатия кнопки «Установить», установка произойдёт менее чем за минуту.

    Так как данный сертификат рассчитан на срок не более 90 дней, то в панели плеск создана соответствующая задача cron в разделе Инструменты и настройки — Планировщик задач

    Стоит заметить, что существуют некоторые ограничения на генерацию сертификата:

    • дублирующие сертификаты — не более 5 в неделю;
    • количество попыток генерации сертификата не более 5 раз в час.

    О НЕДОСТАТКАХ LET’S ENCRYPT

    В конце этой статьи хотим отметить, что несмотря на все преимущества данного типа сертификата, существуют недостатки, которые нужно учитывать при выборе SSL:

      Бесплатный сертификат Let’s Encrypt кратковременный и рассчитан на срок не более 90 дней, в отличии от платного, который можно выпустить сроком до 3 лет. Вы можете , конечно, перевыпускать сертификат каждые 3 месяца, но обязательно следите за сроками. Перевыпуск сертификата можно осуществить тремя способами: вручную, за счет настройки планировщика задач cron или автоматически.

    Если вы выбрали способ обновления вручную, то следите четко за сроками и вовремя перевыпускайте сертификат. Иначе рискуете получить наплыв недовольных пользователей сайта и их последующий отток.

    Планировщик задач cron — это способ настройки автоматического обновления. Способ хорош для тех, кто владеет навыками администрирования Linux и умеет работать с кронами. Нужно еще учитывать, что в работе крона не исключены ошибки, которые могут помешать перевыпуску сертификата. Вывод: следить за обновлением все равно придется.

    Автоматическое обновление. Этот способ подразумевает, что вы принимаете автоматические настройки, предусмотренные Центром сертификации. И тут нужно понимать, что вы таким образом, даете свое согласие на то, что ЦС может вносить изменения по своему усмотрению в ПО и настройки вашего сервера.
    Не все домены можно защитить бесплатным Let’s Encrypt. Данный сертификат рассчитан только на защиту одного домена без проверки компании, так называемые DV SSL (Domain Validation).

    Так, при помощи Let’s Encrypt нельзя создать следующие типы сертификатов:

    — WildCard сертификат для защиты поддоменов определённого домена;
    — Сертификаты OV SSL(organization validation), предполагающие проверку не только домена, но и компании;
    — Сертификаты EV SSL (extended validation). Сертификат с максимальной степенью защиты и зелёной адресной строкой браузера;
    — Multi-Domain сертификат типа UCC;


  • Важный момент — нет никаких финансовых гарантий использования Let’sEncrypt . Если вдруг произойдет взлом бесплатного сертификата, то денежную компенсацию никто вам не предоставит.
  • ЗАКЛЮЧЕНИЕ

    Подводя итоги, можно сказать, что Центр Сертификации Let’s Encrypt достаточно успешный проект, популярность которого растет с каждым годом среди пользователей сети.

    И если вам нужен простой сертификат для одного домена, вы обладаете соответствующими навыками администрирования, а также если нет необходимости в SSL с проверкой компании (OV- organization validation) или наличие зеленой адресной строки и указания названия компании в сертификате, то данный сертификат можно использовать.

    Тем не менее, мы рекомендуем крупным компаниям, интернет-магазинам, банкам и другим e-commerce проектам устанавливать коммерческие SSL — сертификаты от известных Центров сертификации, таких как, например, GlobalSign, Comodo.
    Так вы заручитесь доверием пользователей и покажете, что вы серьезная компания, которая заботится о безопасности данных клиентов.

      Поделиться:

    Let’s Encrypt объявили о поддержке Wildcard Certificate

    Организация Let’s Encrypt, в лице исполнительно директора, заявила о начале поддержки выдачи Wildcard Certificate — единый сертификат подтверждающий подлинность домена для всех поддоменов. Ранее требовалось получать на каждый поддомен отдельный сертификат (поддерживался только алиас www).

    Для получения Wildcard-сертификата требуется клиент с поддержкой протокола ACMEv2 — список совместимого ПО. Для прохождения процедуры подтверждения владения доменом доступна авторизация только способом DNS-01 — внесение в файл зоны DNS записей типа TXT.

    Для перехода на новый протокол требуется повторное подтверждение владением домена. О сроках прекращения поддержки старого протокола ACMEv1 пока не сообщается, т.е. в обозримом будущем будет все также доступно подтверждение через размещение кода в текстовом файле.

    Let’s Encrypt добавила поддержку wildcard-сертификатов

    C 14 марта 2020г. каждый может получить бесплатный SSL/TLS сертификат вида *.example.com.

    Для начала нужно установить git. Если он уже установлен, пропускаем этот шаг и переходим к следующему

    Переходим в папку certbot и запускаем

    В процессе будет задано несколько вопросов на которые нужно дать согласие и указать почту. После этого будет предложено создать в DNS запись TXT вида _acme-challenge.example.com с определенной строкой. Создаем нужную запись и жмем Enter

    Проверить, нормально ли создалась запись можно так:

    И еще одну TXT запись точно также

    После выполнения требуемых действий снова жмем Enter и если все нормально, в консоли будет что-то такое:

    Добавить комментарий