Последнее обновление: 12 июл. 2021 г. | Вся документация

Внимание! Английская версия сайта была обновлена, перевод неактуален (5 окт. 2021 г.) Просмотреть на английском

Let’s Encrypt использует ограничения на использование ресурсов, чтобы обеспечить справедливое использование сервиса как можно большим числом пользователей. Мы считаем, что данные ограничения, в общем случае, не должны помешать работе пользователей. Ограничение на обновление сертификатов спроектировано так, что вряд ли будет превышено, поэтому большие организации могут постепенно увеличивать число выпущенных сертификатов, без необходимости вмешательства со стороны Let’s Encrypt.

Если вы ведёте активную разработку или тестирование ACME-клиента, пожалуйста, используйте наше Staging-окружение, вместо Production-окружения. Если вы представляете компанию-хостера со множеством сайтов, и занимаетесь вопросами интеграции с Let’s Encrypt, пожалуйста, ознакомьтесь с нашим Руководством по интеграции.

Существует ограничение на Число неудачных валидаций - не более 5 неудачных попыток, для одного аккаунта, для одного доменного имени, в течение часа. Зарегистрированный домен, это, другими словами, часть доменного имени, приобретённого вами у регистратора доменных имён. Например, для доменного имени www.example.com, зарегистрированным доменом будет example.com, Для имени new.blog.example.co.uk - example.co.uk, и т.д. Для вычисления зарегистрированного домена мы используем Public Suffix List. При превышении лимита сертификатов на зарегистрированный домен выдаётся сообщение об ошибке too many certificates already issued, возможно, с дополнительной детализацией.

Если у вас много поддоменов, возможно, вам будет удобнее поместить их в один сертификат, с ограничением не более 100 Имён на сертификат. Учитывая предыдущее ограничение, это означает, что вы можете выпустить сертификаты с 5000 уникальными субдоменами в неделю. Сертификаты, содержащие несколько доменных имён, обычно называются SAN- или, иногда, UCC-сертификатами. Важное замечание: с точки зрения производительности и надёжности, лучше использовать как можно меньше доменных имён внутри одного сертификата.

Обновления сертификатов обрабатываются по другой логике: их число учитывается не в ограничении на Число сертификатов на зарегистрированный домен, а в ограничении на Дубли сертификатов - не более 5 в неделю. Важное замечание: обновления учитывались в ограничении на число сертификатов на зарегистрированный домен до марта 2019, но более не учитываются. При превышении ограничения на число дубликатов сертификатов выводится сообщение об ошибке too many certificates already issued for exact set of domains.

Сертификат считается обновлённым (или продублированным), если он содержит в точности тот же набор доменных имён, без учёта регистра написания и порядка указания. Например, если вы выпустили сертификат для доменных имён [www.example.com, example.com], вы можете выпустить ещё четыре сертификата для этих имён в течение недели. Если вы измените набор доменных имён, добавив к ним [blog.example.com], вы можете выпустить дополнительные сертификаты, и т.д.

Обработчик запроса на обновление сертификата проигнорирует предоставленный открытый ключ и расширения. Выдача сертификата будет считаться обновлением, даже если вы используете новый ключ.

Отзыв сертификата не сбрасывает счётчик ограничений, т.к. ресурсы на выпуск сертификата уже были использованы.

Есть ограничение Неудачная проверка: 5 сбоев на один аккаунт, на один хост, за один час. Это ограничение выше в нашем тестовом окружении, поэтому вы можете использовать эту среду для отладки проблем с подключением. При превышении ограничения на число неудачных проверок выводится сообщение об ошибке too many failed authorizations recently.

API-методы “new-nonce”, “new-account”, “new-order” и “revoke-cert” Общее число запросов ограничены 20 вызовами в секунду. На вызов методов из папок “/directory”, “acme” и вложенных папок ограничение Число общих запросов составляет 40 вызовов в секунду.

Также существуют ещё два ограничения, с которыми вы вряд ли столкнётесь.

Возможно создать не более 10 Аккаунтов на IP-адрес в течение 3 часов. Возможно создать не более 500 Аккаунтов на диапазон IP-адресов внутри подсети IPv6 /48 в течение 3 часов. Вероятность достижения этих ограничений достаточно мала, но мы рекомендуем компаниям-интеграторам использовать один аккаунт для множества клиентов. При превышении этих ограничений выводится сообщение об ошибке too many registrations for this IP или too many registrations for this IP range.

Для одного аккаунта допускается не более 300 Запросов на авторизацию, ожидающих ответа. Достижение этого ограничения маловероятно, и как правило, возникает при разработке ACME-клиента. Обычно это означает, что ваш клиент создаёт запросы на авторизацию, но не завершает их. Пожалуйста, используйте наше Staging-окружение при разработке ACME-клиента. При превышении лимита ожидающих авторизации выводится сообщение об ошибке too many currently pending authorizations.

Вы можете создать максимум 300 Новых заказов для одного аккаунта за 3 часа. Новый заказ создается каждый раз, когда Вы запрашиваете сертификат от CA, означает, что в каждом запросе сертификата производится один новый заказ. При превышении лимита новых заказов выводится сообщение об ошибке too many new orders recently.

Переопределение ограничений

Если вы достигли какого-либо ограничения, мы не сможем отменить его действие. Вам придётся ждать неделю, пока действие ограничения не будет отменено автоматически. Мы используем “скользящее окно” для определения периода, поэтому, если вы выпустили 25 сертификатов в понедельник, и 25 сертификатов в пятницу - вы сможете вновь выпускать сертификаты, начиная со следующего понедельника. Список выпущенных сертификатов для доменного имени вы можете получить, с помощью сервиса, который использует в своей работе открытые данные из Certificate Transparency

Если ваша организация предоставляет услуги доступа в Интернет, или вы работаете над проектом интеграции с Let’s Encrypt, у нас есть форма запроса на изменение размеров ограничений. Процесс рассмотрения заявки занимает несколько недель, таким образом, вы не можете отменить с её помощью превышенные ограничения быстрее, чем они отменятся автоматически, спустя неделю.

Обратите внимание, что большинству компаний-провайдеров не требуется изменение ограничений, т.к. нет ограничения на число уникальных доменных имён для выпуска сертификатов. До тех пор, пока большая часть ваших клиентов не поддерживает более 2000 поддоменов на зарегистрированный домен, вам, скорее всего, не потребуется пересмотр ограничений. Обратитесь нашему Руководству по интеграции за дополнительной информацией.

Отмена запросов на авторизацию

Если количество запросов на авторизацию в состоянии ожидания превысило соответствующий порог, вы можете принудительно запустить попытку валидации для этих запросов, используя POST-запрос с JWS-токеном, как это описано в спецификации ACME. Запросы, ожидающие авторизации, представлены URL-адресами вида https://acme-v02.api.letsencrypt.org/acme/authz/XYZ, и должны отображаться в журналах клиента. Обратите внимание, что не имеет значения, была ли проверка удачной, или нет. Либо запрос авторизации будет выведен из состояния ожидания. Если вы не ведёте журнал соответствующих URL, вам нужно дождаться окончания действия лимита. Как описано выше, существует скользящее окно, поэтому процеесс может занять до недели в зависимости от вашего способа выпуска сертификатов.

Обратите внимание, что большое число запросов на авторизацию обычно свидетельствует о проблемах в ACME-клиенте. Если вы часто упираетесь в это ограничение, возможно, вам следует перепроверить исходный код ACME-клиента.