Бесплатный SSL сертификат для сайта

Использование защищенного соединения в настоящее время стало необходимым, если ваш сайт использует любые персональные данные пользователей, логины, пароли. Для этого нужны сертификаты (и приватные ключи) для шифрования трафика между браузером и сайтом.

Однако стоимость их, мягко говоря, завышена. Чтобы создать самоподписанный сертификат, понадобится минут 5 времени, из которых 99% - это ввод данных о домене. Понятно, что компании хотят кушать и поэтому продают их. Бесплатно можно получить лишь при регистрации домена на первый год, это вроде как сыра в мышеловке.

Однако существует Let’s Encrypt - бесплатный, автоматизированный и открытый Центр Сертификации, созданный на благо всего общества организацией Internet Security Research Group (ISRG).

Указанный ниже способ работает, если у вас есть доступ к SSH. Если его нет, то Let’s Encrypt предоставляет бесплатный сертификат только на 3 месяца и придется заморачиваться этим каждый раз.

Let`s Encrupt рекомендует использовать утилиту Certbot. Переходим на сайт утилиты.

Бесплатный SSL сертификат для сайта

К примеру, на моем проекте Электронная сервисная книжка авто веб-сервер Nginx и операционная система Debian 9. Поэтому я выбрал их и далее откроется детальная инструкция по дальнейшим шагам. Если у вас другой веб-сервер или ОС, дальнейшие примеры будут немного отличаться, но шаги будут примерно одинаковыми.

Устанавливаем Certbot

sudo apt-get install certbot python-certbot-nginx

Выбираем, как хотим запустить Certbot

Если хотим, чтобы бот автоматически установил сертификат и отредактировал конфиг Nginx (прописал пути до полученных сертификатов), выполним команду

sudo certbot --nginx

Если же хотим только установить сертификат, а конфиг потом отредактируете самостоятельно, то выполняем

sudo certbot certonly --nginx

Автоматическое продление сертификата

Certbot будет автоматически продлевать сертификат через задания cron или таймер systemd.

Чтобы выполнить тестовый запуск с симуляцией продления выполните команду

sudo certbot renew --dry-run

На этом всё. После этих действий Certbot будет автоматически продлевать сертификат на каждые 3 месяца. А сейчас можно зайти на свой сайт и убедиться, что сертификат уже действует!

На примере odo24.ru заходим на сайт (в моем случае Chrome), нажимаем возле адреса сайта замочек и выбираем пункт Сертификат

Бесплатный SSL сертификат для сайта
Бесплатный SSL сертификат для сайта

Profit!

1616
43 комментария

Последняя команда
_не обновит_ сертификат. Т.к. (из документации) опция
"--dry-run" это Test "renew" or "certonly" without saving any certificates.
Т.е. лишь проверит - не устарел ли сертификат, но не будет получать и сохранять обновленные сертификаты.

5

Да, действительно, это так. --dry-run симулирует получения сертификата, чтобы можно было выявить ошибки и проблемы, поскольку есть ограничения у Let’s Encrypt на 20 регистраций в неделю или 5 ошибок в час, если не ошибаюсь.

Немного подкорректировал текст. Спасибо за внимательность!

2

У меня впс с ISP Manager, там все ещё проще, ставится модуль от Let's Encrypt и сертификаты добавляются/обновляются автоматически.

2

Комментарий недоступен

3

Ну а теперь поговорим о минусах.

Во-первых - ни один разумный сис. админ не поставит на сервер программу с закрытым исходным кодом, которая будет управлять закрытыми ключами.
Во-вторых, как сказал автор, сертификаты Let’s Encrypt выдаются лишь на 3 месяца и обновлять их крайне неудобно.
В-третьих - у данных сертификатов отсутствует какая-либо гарантия. То есть вообще никакой. При этом стоит заметить что Let’s Encrypt спонсирует сам гугл. Не по доброте же душевной? Нет, конечно. Просто они, теоретически, спокойно могут использовать атаку, вроде, MITM со своим великим браузером.
В-четвёртых - Let’s Encrypt выдаёт только DV-сертификаты. Это значит что если вы хотите подтвердить посетителю что этот сайт принадлежит какой-то конкретной компании, то Let’s Encrypt на это не способен. Он поддерживает подтверждение лишь домена, но не организации.
В-пятых - это несомненно доверие. На многих сайтах есть формы для ввода электронной почты, телефона и т.п. И, наверно, хотелось бы чтобы пользователь оставлял свой реальный электронный адрес, а не временный для спама. И чтобы повысить доверие пользователя и используется более качественный и дорогой сертификат, а не бесплатное гумно, доступное каждому недобросовестному сайту.
Итак, вывод: Если Вам нужен сертификат лишь для жалкого блога и Вам плевать на доверие посетителей и безопасность Вашего сервера - пользуйтесь бесплатным сыром. Если же Вы желаете защитить свой интернет-магазин или же просто оформить сертификат 1 раз и несколько лет о нём не вспоминать - милости просим на сайт с самыми дешёвыми сертификатами https://trust-ssl.ru/

2

Комментарий недоступен

5

Почти все, что тобой написано - нелепый бред. Вроде какие-то знания есть, но выводы весьма нелогичны, и как будто притянуты.

1. Certbot вполне себе открыт
2. Certbot может обновлять сертификаты автоматически, без участия пользователя по CRON'у
3. Гарантией являются компании. В данном случае это Google с поддержкой Facebook, ДЦ OVH, Cisco, Mozilla и множество других. Даже если предположить, что трафик к вашему сайту каким-то магическим образом пойдет (не пойдет) через эти компании, а не через вашего провайдера, рос. магистраль и провайдер клиента - им нахрен не нужны телефоны ваших клиентов из формы "Перезвоните мне", тем более компрометировать браузер Chrome...
4. Сертификать нужен прежде всего для защиты передаваемых данных, а не подтверждения юр. лица, это - вторичное и абсолютному большинству юр. лиц напросто не нужно.
5. Пользователю глубоко пофигу на тип сертификата. Отсутствие предупреждения о незащищенном сайте и наличие замочка - уже достаточно. Тем более для OV-сертификатов проверяют только существование юр.лица, и они ни в коем случае не являются гарантом его надежности.

Итак, вывод: Если у вас мелкий или средний бизнес и вы не видите преимуществ в OV-сертификате или не знаете зачем он - вам подойдет бесплатный от Lets Encrypt. Напомню, что задача SSL-сертификатов состоит в том, чтобы применять механизм шифрования к передаваемым данным, и в сертфикатах от Lets Encrypt он есть. Остальное - это больше маркетинг и вой компаний, которые пытаются продать вам то, что большинству из вас не нужно.

P.S. Все встало на свои места, когда я перешел по твоей ссылке, где меня поприветствовал менеджер по продажам - Александр Артамонов.

5