ГлавнаяНовостиПроект Let’s Encrypt сгенерировал более 100 тыс. SSL сертификатов

Проект Let’s Encrypt сгенерировал более 100 тыс. SSL сертификатов

Начиная с 3 декабря, проект Let’s Encrypt находится в стадии открытого бета-тестирования, и спустя всего несколько дней, общее количество выданных сертификатов Let’s Encrypt превысило 100 тысяч.

Let’s Encrypt

Ранее мы уже упоминали инициативу Let’s Encrypt. Этот проект долгое время находился в стадии разработки и закрытого бета-тестирования, а несколько дней назад он открылся для всего мира. Это значит, что любой желающий может воспользоваться их инструментами, для получения бесплатных SSL сертификатов для своих доменов.

Статистика Let's Encrypt

Статистика Let’s Encrypt

Проект Let’s Encrypt является очень важным шагом в безопасности сети Интернет, а также в его производительности, поскольку большинство браузеров обещают использовать новый протокол HTTP/2 только через защищенный протокол HTTPS.

Как получить SSL сертификат

Проект Let’s Encrypt состоит из двух частей — серверной и клиентской. Серверная часть (ACME) является централизованной, она производит проверку на владение доменами и выдачей сертификатов по запросу. Клиентская часть выполняет аутентификацию, генерирует требуемые ключи, запрашивает новые сертификаты и обновления.

Чтобы получить сертификат для вашего домена, вам необходимо запустить клиентскую часть на вашем сервере. Если у вас есть root/sudo доступ к серверу и у вас установлен Git, то сделать это можно с помощью следующих команд:

git clone https://github.com/letsencrypt/letsencrypt
cd letsencrypt
./letsencrypt-auto

Программа letsencrypt-auto также попытается изменить конфигурацию вашего веб-сервера, и сама будет обновлять все выданные сертификаты по истечению их сроков. Подробную документацию можно посмотреть здесь.

Если же у вас нет root-доступа к вашему серверу, то вся надежда на вашего хостинг-провайдера. Кстати, многие провайдеры ориентированные на WordPress, уже начали работать над полной интеграцией сертификатов Let’s Encrypt. Например на площадке Pressjitsu можно сгенерировать и установить сертификат для любого домена в один клик через удобный интерфейс:

Установка SSL сертификата Let's Encrypt на Pressjitsu

Установка SSL сертификата Let’s Encrypt на Pressjitsu

При этом выданные сертификаты буду обновляться автоматически каждые 60 дней.

Ограничения

Стоит отметить, что Let’s Encrypt выдает лишь DV-сертификаты, и если вам необходим другой тип сертификата (EV или OV), то следует обращаться к более традиционным провайдерам. DV сертификаты от Let’s Encrypt выдаются на конкретный список доменов и поддоменов (SAN/UCC), т.е. вы не можете получить wildcard-сертификат.

Также следует упомянуть, что на данный момент вы можете производить всего до 10 регистраций с одного IP адреса каждые 3 часа, и до 5 сертификатов для одного домена (включая любые поддомены) каждые 7 дней. В будущем эти ограничения могут измениться.

Подписаться на рассылку

Подписаться → Подпишитесь на бесплатную рассылку журнала WP Magazine и получайте новости, события, подборки тем и плагинов, уроки, советы и многое другое в мире WordPress!

  • Владимир Петрозаводский

    Вот только проблема, что если у меня есть несколько нюансов, хотя еще не рискнул ставить:

    1. Как ко мне доступится их серверная часть если мой сайт в корпоративной сети ? Ну это допустим изначально не предусматривалось, условно пропускаем.

    2. Что будет если в день когда у мне нужно будет обновить сертификат, скажем сервер уйдет в даун , или нарушится связанность между провайдером и сервером Lets Encrypt

    3. И самое главное как мне не внушат доверия плагин для nginx который еще и в бете и плюс он как то пытается по всей видимости конфиги парсить, да еще по крону что как минимум еще одна точка отказа.

    Последний пункт особо стремный мне кажется, пожалуй еще посижу на обычных сертификатах.

    Может кто нормальный механизм обновления для nginx придумает.

    Может сами разработчики nginx например

    • 1. Да, их проверка не сможет до вашего скрытого сервера дойти. Хотя в будующем надеемся будет вариант с проверкой TXT записей в DNS, что существенно облегчит проверку. Конечно, DNS записи должны быть публичными.

      2. LE рекомендует обновлять сертификаты за месяц до их истечения. Не нужно оставлять всё на последний день — это крайне не разумно.

      3. Тут два варианта как минимум: можно в nginx самому прописать proxy_pass на location .well-known/.* и клиента заставить работать на —standalone. Или же в режиме —manual самому руками запихать файл валидации в нужный корень и позволить nginx его отдать нарпямую. Или в режиме certonly позволить клиенту LE сгенерировать нужный файл в нужном корне. (прочитайте http://letsencrypt.readthedocs.org/en/latest/using.html) Автоматизировать это, на собственном опыте проверерено, вопрос 10 строчек кода на Python.

  • Владимир Петрозаводский

    Про proxi_pass идею не совсем понял если честно

    • Останавливать nginx не придется в режиме —standalone если вы сделаете proxy_pass на порт встроенного сервера (python -m acme.standalone -p 1234 например)

      А вообще модуль nginx даже не в beta находится, а в experimental, он в letsencrypt-auto по умолчанию не входит пока, насколько я знаю. Я бы не рекомендовал им пользоваться, ваши опасения не напрасны. Но это не мешает генерировать и устанавливать сертификаты от LE.

      • Владимир Петрозаводский

        теперь понял) попробую где нибудь в не очень критичном месте

  • Дмитрий

    Самое интересное, что где-то с 2007 года существует и наш российский аналог http://www.freessl.su. Можно точно так же получить SSL-сертификат бесплатно, только почему-то про этот сервис так в новостях не пишут.

    • «Аналог» это слишком громко сказано :)

      ООО «Лидер-телеком» является коммерческой компанией, и SSL сертификаты предоставляет бесплатно на 90 через их веб-интерфейс и «предназначен для тестирования технической инфраструктуры до покупки коммерческого SSL-сертификата.» Точно такой же тестовый сертификат можно приобрести напрямую (без посредников) у Comodo.

      Let’s Encrypt это инициатива организации ISRG, в состав которой входят ряд корпораций и некоммерческих организаций, включая Mozilla, EFF и другие. Это открытая и бесплатная CA с автоматизацией выдачи и обновления сертификатов через ACME-сервер, который кстати тоже с открытым исходным кодом.

      • Дмитрий

        Да, это все уже было реализовано Comodo. Но тут есть один важный момент. Let’s Encrypt просто упростили процесс установки сертификатов. Вот только упростили ли? Это тоже спорный момент. К примеру, открытого API у Let’s Encrypt нет, программа от Let’s Encrypt удаляет комментарии в конфигах сервера во время установки, форматирует код, как ей захочется.

        Вся разница по сути маркетинговая (то, что open source). А внутри все те же 90-дневные сертификаты. И у Lets Encrypt тоже по сути сертификаты от коммерческого УЦ.

        • Вы правы, DV сертификаты они и в Африке DV сертификаты, т.е. если вам удобнее скачивать «пробный» сертификат со freessl.su или Comodo каждые 90 дней, то пожалуйста :)

          > К примеру, открытого API у Let’s Encrypt нет

          Интересно что же вы подразумеваете под открытым API. Их ACME сервер открыт доступен для всех. Кроме того, если вам вдруг удалось получить статус CA, то вы можете запустить личный ACME сервер и поднять точно такую же инфраструктуру как и у них.

          > программа от Let’s Encrypt удаляет

          Это уже мелочи, тем более во время бета-тестирования. К тому же, вам вовсе не обязательно пользоваться их программой. Вы можете и без нее прекрасно генерировать и обновлять сертификаты.

          > Вся разница по сути маркетинговая

          Вы правы, freessl.su выдает 90-дневные сертификаты ради привлечения новых клиентов к их коммерческим продуктам, это и есть маркетинг :)

          > И у Lets Encrypt тоже по сути сертификаты от коммерческого УЦ

          Let’s Encrypt – это некоммерческая организация.

          • Дмитрий

            Это хорошо, когда есть конкуренция между платными и бесплатными решениями. Кто-то готов заплатить и требовать качество сервиса. Кому-то это не важно и он будет пользоваться бесплатным и без всякой поддержки. Если что-то пойдет не так, придется уже решать все проблемы самостоятельно.