2.15.1.1.1. Безкоштовний сертифікат від Let's Encrypt
Let's Encrypt — автоматизований центр сертифікації, що надає безкоштовні SSL-сертифікати для сайтів. Метою цього проєкту є підвищення рівня безпеки сайтів повсюдно, оскільки протокол HTTPS дає змогу передавати дані від клієнта до сервера в зашифрованому вигляді, що не дає можливості роздобути ці дані третім особам.
Сертифікат виписується повністю автоматично, але вимагає деяких базових знань у сфері адміністрування серверів. На нашому хостингу встановлення сертифіката ще простіше і не потребує додаткових знань, достатньо лише подати запит на встановлення. Для нових сайтів сертифікат встановлюється автоматично протягом деякого часу після їхнього створення, якщо дотримані всі умови для його отримання.
У процесі встановлення сертифіката Let's Encrypt здійснює перевірку і валідацію доменного імені та сайту шляхом надсилання серії запитів або за допомогою DNS-записів. Детальніше процес випуску/відкликання сертифікатів описаний на офіційному сайті.
Відмінності від комерційних сертифікатів
Сертифікати від Let's encrypt мають ряд відмінностей від платних сертифікатів:
- Фінансова гарантія — компанія Let's Encrypt є некомерційною і не надає будь-які компенсації в разі злому сертифіката. Сторонні компанії здебільшого надають певні компенсації в разі виникнення проблем у безпеці їхніх сертифікатів.
- Безпека — сертифікати від Let's Encrypt мають тільки DV-перевірку (Domain Validation), за якої перевіряється лише доменне ім’я. Сторонні центри сертифікації можуть випускати сертифікати, які мають додаткові рівні перевірки, наприклад, OV SSL (Organization Validation) та EV SSL (Extended Validation), тим самим надаючи більш високу безпеку та особливий вид сертифіката у браузерному рядку (відображення залежить від браузера).
- Термін дії сертифіката — SSL-сертифікати від Let's Encrypt мають термін дії в 90 днів, після чого його потрібно отримувати заново. Сторонні компанії надають сертифікати на термін від 1 року. (У нашій панелі керування передбачений короткий термін дії SSL від Let's Encrypt і до його закінчення на сайт встановлюється новий сертифікат, тим самим забезпечуючи постійну наявність актуального сертифікату.)
- Підтримка платіжних систем — сертифікат від Let's Encrypt використовує технологію SNI (Server Name Identification), яка дозволяє встановити безліч сертифікатів на одну IP-адресу. Деякі платіжні системи можуть не підтримувати цю технологію, через що можуть виникати труднощі з підключенням таких платіжних систем на сайті для проведення електронних платежів. Наявність підтримки сертифікатів від Let's Encrypt необхідно уточнювати безпосередньо у платіжної системи.
Умови отримання
Важливі моменти:
- Автоматичне встановлення сертифікату доступне тільки для сайтів на віртуальному та бізнес-хостингу.
- Запит на встановлення сертифіката обробляється автоматично, зазвичай на це потрібно не більше години.
- Для піддоменів одного домену можна виписувати не більше 20 сертифікатів на тиждень.
- Сертифікат виписується на 3 місяці і автоматично продовжується при дотриманні описаних нижче умов.
- Можливість автоматичного встановлення сертифіката недоступна для сайтів, розміщених на VPS, виділених серверах або хостингах інших компаній.
- Сертифікат не можна виписати для піддоменів з символом
_
в назві. - Якщо у сайту додано 10 або більше піддоменів (включаючи www), для нього можна виписати тільки wildcard-сертифікат.
- Якщо в налаштуваннях домену є CAA-запис, цей запис не повинен забороняти центру сертифікації Let's Encrypt випускати SSL-сертифікати.
Сертифікат для домену або піддомену
Умови отримання сертифікату для домену або піддомену:
- Домен повинен бути робочим і коректно спрямованим на наш хостинг (в налаштуваннях домену в адресних записах для адреси з www і без www повинні бути вказані поточні IP-адреси хостинг-акаунту).
- Сайт повинен бути доступний і при зверненні до нього повинна повертатися відповідь сервера 200.
- Для сайту не повинно бути встановлено обмежень доступу.
- Домен, для якого подається заявка на отримання сертифіката, не повинен знаходитися в списку шкідливих у Google Safe Browsing.
Якщо у сайту є псевдоніми, які повинні бути включені в сертифікат, для них повинні повинні бути дотримані ті ж умови.
Wildcard-сертифікат
Умови отримання wildcard-сертифікату:
- Домен повинен бути робочим і обслуговуватися на наших NS.
- В налаштуваннях сайту повинна бути увімкнена обробка запитів до неіснуючих піддоменів.
- При подачі запиту на встановлення обов’язково потрібно погодитися з включенням в сертифікат псевдоніма *.example.com, де замість example.com — буде ваш домен.
- Якщо у сайту є псевдоніми, які повинні бути включені в сертифікат, для них повинні повинні бути дотримані ті ж умови, що і при встановленні сертифіката для домену або піддомену.
- Домен, для якого подається заявка на отримання сертифіката, не повинен знаходитися в списку шкідливих у Google Safe Browsing.
Установка
Якщо завданням є отримання wildcard-сертифіката, перед подачею заявки на встановлення увімкніть обробку запитів до неіснуючих піддоменів.
- Відкрийте налаштування SSL.
- Натисніть на кнопку встановлення сертифіката:У разі отримання повідомлення про необхідність спрямування домену на IP хостинг-акаунту ознайомтеся з цією інформацією.
- Якщо у сайту є псевдоніми, вкажіть, чи потрібно включати їх адреси в сертифікат:Якщо псевдонім один:Якщо псевдонімів кілька: