Let's Encrypt

Let's Encrypt - некоммерческий центр сертификации, предоставляющий бесплатные SSL-сертификаты для защиты веб-сайтов с помощью протокола HTTPS. Проект был запущен в 2015 году с целью сделать зашифрованное соединение доступным для всех сайтов без исключения, устранив финансовые и технические барьеры.

Let's Encrypt революционизировал рынок SSL-сертификатов, предложив простой и полностью автоматизированный процесс получения и продления сертификатов. На сегодняшний день проект выпустил более миллиарда сертификатов и защищает миллионы сайтов по всему миру.

Идея Let's Encrypt родилась в некоммерческой организации Internet Security Research Group (ISRG). Основными причинами создания стали:

• Высокая стоимость традиционных SSL-сертификатов, недоступная для многих небольших проектов
• Сложность ручного получения и установки сертификатов
• Необходимость массового перехода интернета на HTTPS для обеспечения безопасности пользователей

Ключевые даты:

• 2012 год - начало обсуждения идеи
• Ноябрь 2014 года - публичный анонс проекта
• Сентябрь 2015 года - первые сертификаты для тестирования
• Декабрь 2015 года - выход из бета-версии, начало массовой выдачи
• 2020 год - выпуск миллиардного сертификата

Let's Encrypt управляется некоммерческой организацией Internet Security Research Group (ISRG). Проект поддерживается широким кругом спонсоров и партнёров:

Основные спонсоры:

• Mozilla Foundation
• Electronic Frontier Foundation (EFF)
• Cisco Systems
• Google
• Facebook (принадлежит Meta, признана экстремистской организацией и запрещена в РФ)
• Amazon Web Services
• ВКонтакте

Технические партнёры:

• Корневая программа сертификации - IdenTrust
• Разработка клиента Certbot - Electronic Frontier Foundation

В основе Let's Encrypt лежит протокол ACME (Automated Certificate Management Environment), разработанный для полной автоматизации процессов получения, проверки и продления сертификатов.

Протокол ACME позволяет:

• Автоматически доказывать владение доменом
• Получать подписанные сертификаты
• Автоматически продлевать сертификаты до истечения срока
• Отзывать скомпрометированные сертификаты

1. Клиент (например, Certbot) генерирует ключевую пару и отправляет запрос на выпуск сертификата
2. Сервер Let's Encrypt предлагает клиенту доказать владение доменом (через DNS-запись или размещение файла на сервере)
3. Клиент выполняет задание, подтверждая контроль над доменом
4. Сервер выпускает сертификат, подписывает его и отправляет клиенту
5. Клиент устанавливает сертификат на веб-сервер

Весь процесс занимает несколько минут и может быть полностью автоматизирован.

Сертификаты Let's Encrypt выдаются на 90 дней. Такой короткий срок выбран специально:

• Снижает риски при компрометации закрытых ключей
• Стимулирует автоматизацию процессов
• Обеспечивает использование современных стандартов безопасности

Автоматическое продление настраивается один раз, и сертификат обновляется без участия администратора. Клиенты (например, Certbot) проверяют срок действия и при необходимости автоматически запрашивают новый сертификат.

Let's Encrypt предоставляет только один тип сертификатов - DV (Domain Validation). Сертификаты подтверждают только право владения доменом, но не содержат информации об организации.

Доступные виды:

• Одиночные сертификаты - для одного домена (example.com)
• Wildcard-сертификаты - для домена и всех поддоменов (*.example.com)
• SAN-сертификаты - для нескольких доменов в одном сертификате

Ограничения:

• Не выдаются OV и EV-сертификаты (с проверкой организации)
• Максимальное количество имён в одном сертификате - 100
• Лимиты на количество запросов (для предотвращения злоупотреблений)

Для работы с Let's Encrypt разработано множество клиентов, автоматизирующих получение и продление сертификатов.

Самый популярный и официально рекомендуемый клиент. Разработан Electronic Frontier Foundation (EFF).

Возможности:

• Автоматическое получение и установка сертификатов
• Поддержка большинства веб-серверов (Apache, Nginx)
• Настройка автоматического продления
• Поддержка wildcard-сертификатов

• acme.sh - клиент на shell-скриптах, не требует Python
• Caddy - веб-сервер со встроенной поддержкой Let's Encrypt
• Traefik - обратный прокси с автоматическим получением сертификатов
• Plesk / cPanel - панели управления хостингом со встроенной поддержкой
• Встроенные модули - многие хостинг-провайдеры предлагают автоматическую установку через панель управления

Большинство современных хостинг-провайдеров предлагают автоматическую установку сертификатов Let's Encrypt в панели управления:

• Reg.ru
• Timeweb
• Beget
• FirstVDS
• Sprinthost
• И другие

Обычно достаточно выбрать домен и нажать кнопку «Выпустить сертификат» - остальное делается автоматически.

• Бесплатность - никакой платы за сертификаты, обновления, поддержку
• Автоматизация - полная автоматизация получения и продления
• Доступность - сертификаты доверены всеми основными браузерами
• Надёжность - поддержка крупнейшими игроками рынка
• Простота - для установки не требуется специальных знаний
• Wildcard-сертификаты - защита всех поддоменов одним сертификатом

• Только DV - нет сертификатов с проверкой организации, что может быть важно для интернет-магазинов и финансовых сервисов
• Короткий срок - 90 дней требует автоматизации (если автоматизация не настроена, сертификат может неожиданно истечь)
• Лимиты - ограничения на количество запросов могут быть проблемой для очень крупных проектов
• Зависимость от автоматизации - ручное управление сертификатами с таким коротким сроком практически невозможно

Let's Encrypt радикально изменил ситуацию с безопасностью в интернете:

• Доля HTTPS-сайтов выросла с менее чем 40% в 2015 году до более чем 90% в 2024
• Тысячи небольших проектов получили доступ к защищённому соединению
• Автоматизация SSL стала стандартом индустрии
• Крупные коммерческие центры сертификации были вынуждены снизить цены и улучшить свои сервисы

Let's Encrypt использует кросс-подпись от IdenTrust, что обеспечивает доверие ко всем основным браузерам и устройствам. Корневой сертификат ISRG постепенно включается во все платформы.

Безопасность обеспечивается:

• Коротким сроком действия сертификатов
• Автоматизацией, исключающей человеческие ошибки
• Прозрачностью процессов (все сертификаты публикуются в Certificate Transparency)
• Регулярными аудитами независимыми организациями

1. Зайти в панель управления хостингом
2. Найти раздел «SSL-сертификаты» или «Безопасность»
3. Выбрать домен и нажать «Выпустить бесплатный сертификат Let's Encrypt»
4. Дождаться завершения процесса (обычно 1-2 минуты)

1. Установить Certbot на сервер (инструкции на certbot.eff.org)
2. Выполнить команду: certbot --nginx (или --apache, в зависимости от сервера)
3. Следовать инструкциям на экране
4. Проверить автоматическое продление: certbot renew --dry-run

curl https://get.acme.sh | sh
acme.sh --issue -d example.com -w /var/www/html
acme.sh --install-cert -d example.com --key-file /etc/nginx/ssl/example.com.key --fullchain-file /etc/nginx/ssl/example.com.crt

• SSL-сертификат
• SSL
• HTTPS
• Центр сертификации
• ACME
• Certbot
• ISRG
• Безопасность сайта
• Шифрование