Сертификат let s encrypt что это
Цепочка доверия
Последнее обновление: 18 окт. 2019 г.
Внимание! Английская версия сайта была обновлена, перевод неактуален ( 2 окт. 2021 г. ) Просмотреть на английском
Корневые сертификаты
Наши корневые сертификаты хранятся в надёжном месте и недоступны онлайн. Мы выпускаем сертификаты для пользователей на основе промежуточных сертификатов из следующего раздела.
Мы создали сайты для проверки цепочек сертификатов вплоть до корневых.
Промежуточные сертификаты
Компания IdenTrust подписала наши промежуточные сертификатры. Это позволяет всем основным браузерам принимать наши сертификаты с нашим же корневым сертификатом.
Cross-подпись
Наш промежуточный сертификат “Let’s Encrypt Authority X3” содержит открытый и закрытый ключ. Закрытый ключ из этой пары подписывает все сертификаты конечного пользователя (они же “листовые сертификаты), т.е. сертификаты, которые мы выдаём для вашего web-сервера.
Это означает, что есть два сертификата, представляющие собой наш промежуточный сертификат. Один подписан DST Root CA X3, другой подписан ISRG Root X1. Чтобы определить, какой из двух сертификатов используется, достаточно взглянуть на поле Issuer.
При настройке web-сервера, администратор указывает не только листовые сертификаты, но и список промежуточных сертификатов. Это помогает браузеру проверить, входит ли листовой сертификат в цепочку доверия, ведущую к корневому сертификату. Скорее всего администратор выберет цепочку, в которой будет промежуточный сертификат с полем Subject: “Let’s Encrypt Authority X3”, и полем Issuer: “DST Root CA X3”. Рекомендованный Let’s Encrypt ACME-клиент Certbot настроит ваш сервер автоматически.
Картинка ниже иллюстрируеи взаимосвязи между перечисленными сертификатами:
Сертификат подписания ответов OCSP
Этот сертификат используется для подписания ответов OCSP для промежуточных Центров Сертификации Let’s Encrypt. Таким образом нам не нужно иметь онлайне-доступ к корневому сертификату, чтобы подписать эти ответы. Копия сертификата подписания включена в ответ OCSP для информирования, дополнительно пользователям ничего делать не нужно.
Прозрачность сертификатов
В Let’s Encrypt мы в нацелены на прозрачность в наших процессах и в сертификатах, которые выпускаем. Мы записываем сертификаты в журнал Certificate Transparency сразу, как только выпускаем их. Все наши сертификаты доступны по ссылкам:
Дополнительно
Закрытые ключи для корневого ISRG и промежуточных Let’s Encrypt Центров Сертификации надёжно хранятся в аппаратных модулях безопасности (hardware security modules, HSMs), что обеспечивает высокий уровень защиты от кражи ключей.
Как работает Let’s Encrypt
Последнее обновление: 18 окт. 2019 г.
Для понимания технологии, разберём настройку домена https://example.com/ агентом сертификатов Let’s Encrypt, состоящую из двух этапов.
На первом этапе агент уведомляет Центр Сертификации о правах администратора сервера на доменное имя. На втором этапе, после подтверждения прав на домен, агент может запрашивать, обновлять и отзывать сертификаты.
Проверка домена
Let’s Encrypt идентифицирует web-сервер с запущенным агентом по открытому ключу. Открытый и закрытый ключи генерируются агентом перед первым подключением к Центру сертификации Let’s Encrypt. После подключения агента к Центру Сертификации, создаётся аккаунт администратора сервера. В созданный аккаунт добавляются доменные имена, которыми владеет администратор, аналогично тому, как это происходит в платных Центрах Сертификации.
Одновременно с тестированием прав администратора на домен, Let’s Encrypt проверяет права агента на открытый и закрытый ключи. Let’s Encrypt отправляет агенту одноразовый пароль, который агент должен подписать закрытым ключом и отослать обратно.
Далее, Центр Сертификации проверяет, всё ли было сделано верно: корректную цифровую подпись на одноразовом пароле, возможность скачать созданный файл по URI, а также его содержимое.
Выпуск и отзыв сертификатов
После авторизации ключевой пары, запрос, обновление и отзыв сертификатов становится делом одной минуты—агент просто посылает текстовые сообщения в Центр сертификации
В статье рассмотрим плюсы и минусы бесплатного Let’s Encrypt, для кого подойдет, как получить и установить его на сайт с панелью Plesk 12.5
Let’s Encrypt— бесплатный, автоматизированный проект, с открытым CA (certificate authority — центр сертификации).
ОСНОВНЫЕ ПРЕИМУЩЕСТВА
бесплатно: любой владелец сайта (в частности, доменного имени) может получить и установить доверенный TLS-сертификат Let’s Encrypt (TLS — наследник SSL);
автоматизация: все функции установки, конфигурации и обновления проводятся в автоматическом режиме;
безопасность: все методы шифрования Let’s Encrypt отвечают текущим стандартам;
прозрачность: публичная доступность информации о выпуске и отзыве каждого сертификата для любого желающего;
свободно: будет использован принцип open standard для протоколов взаимодействия с CA (certificate authority).
ПРОГРАММНАЯ РЕАЛИЗАЦИЯ
УСТАНАВЛИВАЕМ SSL СЕРТИФИКАТ LET’S ENCRYPT (ИНСТРУКЦИЯ)
выбрать нужные опции и после нажатия кнопки «Установить», установка произойдёт менее чем за минуту.
Стоит заметить, что существуют некоторые ограничения на генерацию сертификата:
О НЕДОСТАТКАХ LET’S ENCRYPT
Если вы выбрали способ обновления вручную, то следите четко за сроками и вовремя перевыпускайте сертификат. Иначе рискуете получить наплыв недовольных пользователей сайта и их последующий отток.
Так, при помощи Let’s Encrypt нельзя создать следующие типы сертификатов:
ЗАКЛЮЧЕНИЕ
Подводя итоги, можно сказать, что Центр Сертификации Let’s Encrypt достаточно успешный проект, популярность которого растет с каждым годом среди пользователей сети.
И если вам нужен простой сертификат для одного домена, вы обладаете соответствующими навыками администрирования, а также если нет необходимости в SSL с проверкой компании (OV- organization validation) или наличие зеленой адресной строки и указания названия компании в сертификате, то данный сертификат можно использовать.
Часто задаваемые вопросы
Последнее обновление: 22 дек. 2019 г. | Вся документация
Внимание! Английская версия сайта была обновлена, перевод неактуален ( 23 апр. 2020 г. ) Просмотреть на английском
Этот раздел состоит из двух частей:
Общие вопросы
Какие услуги предлагает Let’s Encrypt?
Let’s Encrypt предлагает сертификаты с подверждением домена (Domain Validation, DV). Мы не выпускаем сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV), потому что не можем пока автоматизировать выдачу таких сертификатов.
Чтобы начать, посетите страницу документации Приступая к работе.
Сколько стоят услуги Let’s Encrypt? Это действительно бесплатно?
Иногда, компании-интеграторы (например хостеры) могут взимать номинальную плату для покрытия административных и управленческих расходов по интеграции с Let’s Encrypt.
Какую техническую поддержку вы предлагаете?
Сайт с сертификатом Let’s Encrypt используется для фишинга / вредоносного ПО / мошенничества/…, что мне делать?
Мы рекомендуем уведомить об этом сервисы Google Safe Browsing и Microsoft Smart Screen, которые способны эффективно защитить пользователей Интернета. Ниже ссылка на форму сообщения::
Хотите узнать больше? Ознакомьтесь со статьёй из нашего блога.
Технические вопросы
Примет ли мой браузер сертификаты от Let’s Encrypt?
Да, большинство браузеров и операционных систем доверяют нашим сертификатам. Для подробной информации обратитесь к реестру совместимости.
Пригодны ли сертификаты Let’s Encrypt для других целей, нежели SSL/TLS для сайтов?
Для шифрования электронной почты и подписи исполняемого кода нужны сертификаты иного типа, который Let’s Encrypt пока не предоставляет.
Let’s Encrypt создаёт или хранит закрытые ключи для моих сертификатов на своих серверах?
Закрытые ключи всегда создаются и управляются на ваших собственных серверах, а не на серверах Центров Сертификации Let’s Encrypt.
Каков срок действия сертификатов Let’s Encrypt? Какое время они будут считаться действительными?
Наши сертификаты действительны в течение 90 дней с момента выпуска. Почему именно 90 дней? Узнайте в статье из нашего блога.
Не существует способа изменить эту величину, без всяких исключений. Мы рекомендуем автоматически обновлять сертификаты каждые 60 дней.
Планирует ли Let’s Encrypt выпускать сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV)?
Нет, мы не планируем выпускать OV или EV сертификаты.
Могу ли я получить сертификат для нескольких доменных имён (SAN или UCC сертификаты)?
Да, один и тот же сертификат Let’s Encrypt может содержать несколько доменных имён, используя механизм Subject Alternative Name (SAN).
Выпускает ли Let’s Encrypt сертификаты с возможностью подстановки (wildcard-сертификаты)?
Да. Такие сертификаты выпускаются на основе протокола ACMEv2 с проверкой доменов по методу DNS-01. Узнайте подробности в статье на форуме сообщества.
Существует ли ACME-клиент Let’s Encrypt для моей операционной системы?
Есть множество реализаций ACME-клиента. Скорее всего, для вашей операционной системы найдётся рабочее решение. На начальном этапе мы рекомендуем использовать Certbot.
Могу ли я использовать имеющийся закрытый ключ, или запрос в Центр Сертификации (Certificate Signing Request, CSR)?
Какие IP-адреса использует Let’s Encrypt для проверки моего web-сервера?
Мы не публикуем такой список IP-адресов, потому что эти IP-адреса могут измениться в любое время. В перспективе, мы будем выполнять проверку web-сервера с нескольких IP-адресов одновременно. Обратите внимание на этот пост для получения подробной информации.
Все письма и запросы направляйте по адресу:
Сертификат Let’s Encrypt — что это
Let’s Encrypt — это глобальный некоммерческий центр сертификации, который начал работу с две тысячи пятнадцатого года. Выпускает криптографические сертификаты для TLS-шифрования (HTTPS). В этой статье мы расскажем, зачем нужны SSL-сертификаты, какие преимущества и недостатки у сертификата от Let’s Encrypt. Начнем!
Зачем нужен SSL-сертификат Let’s Encrypt
SSL-сертификат — это цифровая подпись сайта, которая требуется для безопасного соединения. Посмотрите в строку браузера.
На нашем сайте подключен SSL-сертификат: строка — Сертификат (действительный). И есть значок «Безопасное подключение». Это значит, что данные, которые оставляют клиенты на нашем сайте, защищены специальным шифрованием и недоступны мошенникам и прочим злоумышленникам.
Сертификаты Let’s Encrypt — это обычные сертификаты, которые подтверждают домен. Они предназначены для любых серверов с доменным именем: веб-серверов, почтовых серверов, FTP-серверов и других.
Как работает SSL
Объясним простыми словами.
Такой сертификат обязателен для сайтов, на которых можно осуществить оплату онлайн. С его помощью персональные данные клиентов (например, информация о банковских картах) не попадет в руки мошенников.
Преимущества Let’s Encrypt
Недостатки Let’s Encrypt
Платные аналоги
Существуют и платные SSL-сертификаты.
Sectigo — это крупнейший Центр Сертификации в мире. В Макхост вы можете приобрести Sectigo Positive SSL (для сайтов типа domen.ru, www.domen.ru или домен.рф) за 990 рублей в год. А также Sectigo SSL Wildcard (для всех поддоменов *.domen.ru) за 8490 рублей в год.
Thawte — центр сертификации, основанный в 1995 году. У нас можно купить сертификат Thawte EV SSL с расширенной валидацией (domen.ru и www.domen.ru) за 15000 рублей в год.
Заключение
Таким образом, SSL-сертификаты от Let’s Encrypt подходят как для молодых сайтов, так и для крупных проектов — по качеству шифрования проблем нет. Однако, если вам нужна расширенная валидация, придется приобрести платный аналог.
На виртуальном хостинге в Макхост вы можете автоматически сгенерировать сертификат Let’s Encrypt:
Если у вас остались вопросы, задавайте их в комментариях. Специалисты технической поддержки ответят на них в ближайшее время.