Этот раздел состоит из двух частей:
Let’s Encrypt — это глобальный Центр сертификации (ЦС). Мы помогаем людям и организациям в получении, обновлении и управлении SSL/TLS сертификатами. Наши сертификаты используются сайтами для организации доступа к ним по безопасному протоколу HTTPS.
Let’s Encrypt предлагает сертификаты с подтверждением домена (Domain Validation, DV). Мы не выпускаем сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV), потому что не можем пока автоматизировать выдачу таких сертификатов.
Чтобы начать использовать Let’s Encrypt, посетите страницу Приступая к работе.
Мы не берём плату за наши сертификаты. Let’s Encrypt — некоммерческая организация, свою миссию мы видим в создании более безопасного и уважающего конфиденциальность Интернета, способствуя широкому распространению HTTPS. Наши услуги бесплатны и просты в использовании, поэтому каждый может настроить HTTPS для своего сайта.
Нам нужна поддержка спонсоров, грантодателей и отдельных людей, чтобы предоставлять наши услуги бесплатно по всему миру. Если вы хотите поддержать нас, рассмотрите возможность пожертвования или станьте спонсором.
Иногда интеграторы (например, хостинги) взимают номинальную плату для покрытия административных и управленческих расходов на предоставление сертификатов Let’s Encrypt.
Let’s Encrypt — небольшая компания, мы полагаемся на автоматизацию для снижения затрат. Поэтому мы не можем предложить непосредственную техническую помощь каждому из наших пользователей. Но у нас есть другие способы помочь вам:
Вот видео которое нам нравится, о значимости поддержки сообщества.
Мы рекомендуем сообщить об этом в Google Safe Browsing и Microsoft Smart Screen, которые способны эффективно защищать пользователей Интернета. URL-адреса для отчетов:
Хотите узнать больше о наших политиках и обосновании? Вам сюда:
https://letsencrypt.org/2015/10/29/phishing-and-malware.html
Да, большинство браузеров и операционных систем доверяют нашим сертификатам. Для подробной информации обратитесь к реестру совместимости.
Сертификаты Let’s Encrypt — это стандартные сертификаты с подтверждением домена, поэтому они пригодны для любых серверов, использующих доменное имя, например веб-серверы, почтовые серверы, FTP-серверы и т. д.
Для шифрования электронной почты и подписи исполняемого кода нужны сертификаты иного типа, который Let’s Encrypt пока не предоставляет.
Нет. Никогда.
Закрытые ключи всегда создаются и управляются на ваших собственных серверах, а не на серверах Центра сертификации Let’s Encrypt.
Наши сертификаты действительны в течение 90 дней с момента выпуска. О том, почему, вы можете прочитать здесь.
Не существует способа изменить это, без исключений. Мы рекомендуем автоматически обновлять сертификаты каждые 60 дней.
Мы не планируем выпускать сертификаты OV или EV.
Да, один и тот же сертификат Let’s Encrypt может содержать несколько доменных имён, используя механизм Subject Alternative Name (SAN).
Да. Выдача wildcard должна выполняться через ACMEv2 с использованием вызова DNS-01. Узнайте подробности в статье на форуме сообщества.
Есть множество реализаций ACME-клиента. Скорее всего, для вашей операционной системы найдётся рабочее решение. На начальном этапе мы рекомендуем использовать Certbot.
Да, но не все клиенты поддерживают эту функцию. Certbot — поддерживает.
Это нормальное и ожидаемо. Во время выпуска сертификата Let’s Encrypt проверит владение вами доменом из нескольких сетевых точек. После успешной проверки ваш сертификат будет отправлен в многочисленные журналы прозрачности сертификатов (Certificate Transparency, CT). См. здесь для получения более подробной информации о том, почему это необходимо. Вскоре после отправки сертификата в журналы CT автоматические роботы обхода CT смогут обнаружить ваш домен, попытаться получить к нему доступ и этим сгенерировать дополнительный трафик в журналах вашего веб-сервера.
Мы не публикуем такой список IP-адресов, потому что эти IP-адреса могут измениться в любое время. Обратите внимание, что теперь мы проверяем данные с нескольких IP-адресов.
Если вы однажды успешно подтвердили право на доменное имя, результат авторизации вашей учетной записи кэшируется для последующего использования. Кеш авторизации действует 30 дней с момента проверки. Если у запрошенного сертификата необходимые авторизации будут в кэше, то новая проверка не будет запущена до тех пор, пока не истечет срок действия кешированных авторизаций.
Мы просим клиентов ACME выполнять плановые обновления в случайное время, чтобы избежать всплесков трафика в определенное время суток, например, ровно в полночь по Гринвичу, или в первую секунду каждого часа или минуты. Если служба слишком занята, клиентам будет предложено попробовать позже, поэтому рандомизация времени обновления поможет избежать ненужных повторных попыток.
Давний исследователь и практик в области безопасности, Иван Ристич, опубликовал руководство по настройке, содержащее полезную информацию о том, что следует учитывать при настройке конфигурации TLS.
Для получения более обширной информации и подробностей мы рекомендуем Bulletproof TLS и PKI, написал также Ристич.