Заходите на сайт - браузер показывает "Соединение защищено" и зелёный замок. Это SSL-сертификат. Раньше за него платили $50-200 в год. Потом появился Let's Encrypt и сделал SSL бесплатным.
Но есть нюанс: сертификат действует только 90 дней. Потом нужно обновлять. Вручную или автоматически - зависит от настроек.
Разбираемся, почему Let's Encrypt бесплатный, зачем короткий срок действия и как настроить автопродление.
Что такое Let's Encrypt
Let's Encrypt - некоммерческий центр сертификации. Запустили в 2015 году Mozilla, Cisco, Electronic Frontier Foundation и другие организации.
Цель: сделать HTTPS доступным для всех. До Let's Encrypt SSL-сертификаты стоили денег. Многие владельцы сайтов экономили и работали по HTTP без шифрования.
Let's Encrypt выдаёт сертификаты бесплатно. Полностью автоматизированный процесс - никаких ручных проверок, заявок, ожиданий. Запросил сертификат, подтвердил владение доменом, получил.
За 10 лет Let's Encrypt выдал больше 500 миллионов активных сертификатов. Сейчас это самый популярный центр сертификации в мире.
Почему срок действия 90 дней
Обычные коммерческие сертификаты действуют год-два. Let's Encrypt - всего 90 дней. Это не баг, это осознанное решение.
Безопасность. Короткий срок снижает риски. Если приватный ключ скомпрометирован, у злоумышленников меньше времени на эксплуатацию.
Автоматизация. Let's Encrypt создавался под автопродление. Вы один раз настроили - дальше всё обновляется само. Короткий срок заставляет использовать автоматизацию, а не делать вручную.
Отзыв сертификатов. Если сертификат нужно отозвать (утечка ключа, смена владельца домена), короткий срок действия решает проблему быстрее. Не надо ждать год - через 90 дней он и так истечёт.
По статистике Let's Encrypt, больше 95% их сертификатов обновляются автоматически. Ручное продление - редкость.
Что будет, если забыть продлить
Сертификат истёк - браузер показывает предупреждение: "Ваше соединение не защищено". Пользователи пугаются и уходят.
Google понижает сайты без SSL в выдаче. Если сертификат протух - позиции падают.
Формы перестают отправляться. Современные браузеры блокируют отправку данных по незащищённому соединению.
Но если настроено автопродление - этого не случится. Certbot обновит сертификат за месяц до истечения.
Ограничения Let's Encrypt
Нет wildcard-сертификатов - точнее, есть, но только через DNS-валидацию. Для обычного домена проще.
Срок 90 дней - для кого-то это минус. Хотя при автопродлении не имеет значения.
Нет поддержки организаций - Let's Encrypt выдаёт только DV-сертификаты (Domain Validation). Если нужен OV или EV с проверкой компании - придётся платить.
Для 99% сайтов эти ограничения не критичны.
Вывод
Let's Encrypt сделал HTTPS стандартом. Бесплатные сертификаты, автоматическое продление, простая настройка.
Срок 90 дней - не проблема. Настроили автопродление один раз - забыли. Certbot или хостинг обновляют сами.
Если у вас до сих пор HTTP - подключайте Let's Encrypt. Это бесплатно, быстро и улучшает SEO.
Используете Let's Encrypt? Или платите за коммерческий сертификат?