Получаем и обновляем SSL сертификат Let’s Encrypt | IT voodoo

Почему лучше рассчитывать на sni?

1. Это просто. Вам не нужно постоянно держать в голове факты о выданных сертификатах. Для какого домена сертификат был выдан первым. К какому сертификату нужно добавлять еще домены. И так далее… Ни о чем таком со SNI не нужно думать.

2. Секреты остаются секретами. Если у вас для всех доменов один сертификат, то любой сможет очень легко увидеть весь список, независимо от вашего желания. Если же для каждого сайта свой сертификат, то такой проблемы нет.

Например, так можно посмотреть домены в сертификате Тематических Медиа:

Чтобы добавить новый acme-клиент или проект

Если в нашем списке вы не нашли какой-либо ACME-клиент или проект интеграции с Let’s Encrypt, пожалуйста,
создайте pull request в наш репозиторий сайта на GitHub,
в котором обновляется файл data/clients.json.

Перед отправкой pull request-а, пожалуйста, убедитесь, что:

1. Клиент соблюдает политику Let’s Encrypt в отношении товарных знаков.
2. Клиент работает не в браузере, и поддерживает автоматическое обновление сертификатов.
3. В вашем коммите вы добавили информацию о новом клиенте в конец соответствующего раздела
   (не забудьте про раздел “ACME v2-совместимые клиенты”!).
4. В вашем коммите вы обновили дату в поле lastmod, в начале файла data/clients.json.

Сайт с сертификатом let’s encrypt используется для фишинга / вредоносного по / мошенничества/…, что мне делать?

Мы рекомендуем уведомить об этом сервисы Google Safe Browsing и Microsoft Smart Screen, которые способны эффективно защитить пользователей Интернета.
Ниже ссылка на форму сообщения::

Основные преимущества

бесплатно:
любой владелец сайта (в частности, доменного имени) может получить и установить доверенный TLS-сертификат Let’s Encrypt (TLS — наследник SSL);
автоматизация:
все функции установки, конфигурации и обновления проводятся в автоматическом режиме;
безопасность:
все методы шифрования Let’s Encrypt отвечают текущим стандартам;
прозрачность:
публичная доступность информации о выпуске и отзыве каждого сертификата для любого желающего;
свободно:
будет использован принцип open standard для протоколов взаимодействия с CA (certificate authority).

Описание ролей ansible

Репозиторий с ролями доступны по ссылке.

В репозитории находится 4 роли:

Перейдем к практике:

Устанавливаем официальный клиент Let’s Encrypt

Удобнее всего это сделать из дерева портов системы.

Настраиваем механизм автоматического обновления сертификатов

Все сертификаты, выдаваемые Let’s Encrypt имеют срок действия в 90 дней и это его второй относительный минус. Столь короткий срок, равно как и отсутствие возможности использования wildcard, обусловлены заботой о повышении уровня безопасности сертифицируемых доменов.
Обновление всей базы полученых SSL сертификатов производится простой командой.

PROFIT!

Статья была полезной? Тогда прошу не стесняться и поддерживать деньгами через PayPal или Яндекс.Деньги.

Acmev1 и acmev2

Let’s Encrypt поддерживает ACMEv2 API, совместимый с финальной версией стандарта ACME.
Мы планируем постепенно отказываться от устаревшего ACMEv1 API
в 2020-2021 г. Все реализации ACME-клиента в данном списке поддерживают ACMEv2.

Caveat emptor

Всё знаете про SNI? Читайте сразу про установку.

Error: letsencrypt challenge request 429

• Попробуйте удалить домен из панели VestaCP и добавить его снова, после чего повторить попытку выпуска сертификата.
• Повторите попытку выпуска сертификата через 1 час.

Let’s encrypt создаёт или хранит закрытые ключи для моих сертификатов на своих серверах?

Нет. Никогда.

Закрытые ключи всегда создаются и управляются на ваших собственных серверах, а не на серверах Центров Сертификации Let’s Encrypt.

Manual

Из названия можно догадаться, что настройка и установка SSL сертификата будет проводиться вручную 🙂 Пожалуй, сейчас это наиболее удобный вариант настройки сертификата для nginx ввиду “сыроватости” letsencrypt nginx плагина.

Nginx

Nginx – второй по популярности веб-сервер (и первый среди продвинутых пользователей) предполагает несколько иной подход к настройке. Для каждого виртуального хоста в секцию server следует добавить блок:

location ^~ /.well-known/acme-challenge/ {
   default_type "text/plain";
   root /var/www/letsencrypt;
}
location = /.well-known/acme-challenge/ {
   return 404;
}

Если вы настраивали сервер по нашей инструкции, то мы рекомендуем вынести указанный блок в отдельный шаблон, например, /etc/nginx/templates/letsencrypt.conf и впоследствии подключать в конфигурацию виртуального хоста именно его и в общих чертах это должно выглядеть так:

Obtaining and renewing let’s encrypt ssl certificate

Не так давно в промышленную эксплуатацию был запущен центр сертификации Let’s Encrypt.

От всех прочих провайдеров SSL сертификатов его отличает две главные особенности.

Во-первых, Let’s Encrypt позволяет получить (и в ряде случаев даже установить) полученный сертификат в вашу систему в автоматическом режиме, а, во-вторых, сделать это совершенно бесплатно.

Сочетание этих двух факторов даёт возможность легко получить, быстро установить и забыть об обновлении полученного (одного или нескольких) SSL сертификатов в будущем.

Итак, небольшой how-to который был подготовлен на базе настройки этого самого блога.

Webroot

Данная опция подходит тем, кого не устраивает standalone. При указании ключа –webroot необходимо также будет указать и директорию, где располагаются файлы, которые обрабатывает веб-сервер.

$ ./letsencrypt-auto certonly --webroot -webroot-path /var/www/mydomain/

При работе с данной опцией необходимо настроить веб-сервер на чтение файлов соответствующим образом.

Yet another инструкция по получению ssl-сертификата let’s encrypt

git clone https://github.com/letsencrypt/letsencrypt && cd letsencrypt

location ~ ^/(.well-known/acme-challenge/.*)$ {
    proxy_pass http://127.0.0.1:9999/$1;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $http_host;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}

     include template/letsencrypt.conf;

letsencrypt-auto --agree-tos --renew-by-default --standalone --standalone-supported-challenges http-01 --http-01-port 9999 --server https://acme-v01.api.letsencrypt.org/directory certonly -d mydomain.tld -d www.mydomain.tld -d i1.mydomain.tld -d i2.mydomain.tld

letsencrypt-auto renew >> /dev/null 2>&1

Быстро и просто получаем let’s encrypt ssl сертификат в windows — v0lk est narod

Вот и всё

Если вам близки по духу tee и sed, то есть гораздо более короткая инструкция по настройке связки Let’s Encrypt и nginx, при условии корректно настроенного hostname. Только копируй команды и вставляй.

Выпускает ли let’s encrypt сертификаты с возможностью подстановки (wildcard-сертификаты)?

Да. Такие сертификаты выпускаются на основе протокола ACMEv2 с проверкой доменов по методу DNS-01. Узнайте подробности в статье на форуме сообщества.

Если нужно добавить поддомен или домен в сертификат

Если вы вдруг забыли указать поддомен www, или вам нужно добавить другой домен или поддомен в сертификат (которых может быть до 100 в одном сертификате), то это легко сделать после получения сертификата. Просто запустите команду еще раз, добавив требуемое имя:

Если нужно получить сертификат для домена без сайта…

Типичный пример — сертификат для выделенных под SMTP или IMAP серверов, на которых вообще нет каких-то сайтов. Либо используйте универсальный переадресатор что выше, либо…

Использование let’s encrypt для внутренних серверов

$ dig  short NS example.com
ddns1.mycompany.com.

$ dig  short xi8qz.example.com
10.1.1.4

{
  "identifier": {
    "type": "dns",
    "value": "xi8qz.example.com"
  },
  "status": "pending",
  "expires": "2021-04-15T21:26:29Z",
  "challenges": [
    {
      "type": "dns-01",
      "status": "pending",
      "uri": "https://acme-staging.api.letsencrypt.org/acme/challenge/VtjihR4X8nLAj4MDwI...",
      "token": "aLptEKAeUOajkiGrx-kkbjUX4b1MC..."
    },
    // ...
  ],
  // ...
}

-----BEGIN CERTIFICATE-----
MIIGEjCCBPqgAwIBAgISAyk2izMz7OXSqHeZhg rUR5uMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
...

$ openssl x509 -in www.crt -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            03:29:36:8b:33:33:ec:e5:d2:a8:77:99:86:0f:ab:51:1e:6e
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
        Validity
            Not Before: Jul 18 23:37:35 2021 GMT
            Not After : Oct 16 23:37:35 2021 GMT
        Subject: CN=xi8qz.example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:be:69:df:28:04:9c:2b:e9:94:72:c3:de:a6:fd:
                    a4:38:93:be:43:a7:81:8b:dc:9a:be:19:0d:c0:d1:
...

$ curl -v https://xi8qz.example.com/login
*   Trying 10.1.1.4...
* TCP_NODELAY set
* Connected to xi8qz.example.com (10.1.1.4) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN, server accepted to use http/1.1
* Server certificate:
*  subject: CN=xi8qz.example.com
*  start date: Jul 18 23:37:35 2021 GMT
*  expire date: Oct 16 23:37:35 2021 GMT
*  subjectAltName: host "xi8qz.example.com" matched cert's "xi8qz.example.com"
*  issuer: C=US; O=Let's Encrypt; CN=Let's Encrypt Authority X3
*  SSL certificate verify ok.
> GET /login HTTP/1.1
> Host: xi8qz.example.com
> User-Agent: curl/7.58.0
> Accept: */*
> 
< HTTP/1.1 200 OK
< Date: Sun, 05 Aug 2021 17:38:49 GMT
< Server: Apache/2.4.18 (Ubuntu)
...

Исходная конфигурация

Изначально у нас имеются:

На всех серверах установлена Ubuntu 16.04.

Как получить бесплатный ssl от let’s encrypt

Получить бесплатный SSL-сертификат Let’s Encrypt можно двумя способами: в панели управления хостингом cPanel и напрямую через командную строку сервера.

Какие ip-адреса использует let’s encrypt для проверки моего web-сервера?

Мы не публикуем такой список IP-адресов, потому что эти IP-адреса могут измениться в любое время.
В перспективе, мы будем выполнять проверку web-сервера с нескольких IP-адресов одновременно.
Обратите внимание на этот пост
для получения подробной информации.

Каков срок действия сертификатов let’s encrypt? какое время они будут считаться действительными?

Наши сертификаты действительны в течение 90 дней с момента выпуска. Почему именно 90 дней? Узнайте в статье из нашего блога.

Не существует способа изменить эту величину, без всяких исключений. Мы рекомендуем автоматически обновлять сертификаты каждые 60 дней.

Какую техническую поддержку вы предлагаете?

Let’s Encrypt – небольшая компания, мы полагаемся на автоматизацию для снижения издержек. Поэтому мы не можем предложить непосредственную техническую помощь каждому из наших пользователей. Но у нас есть другие способы помочь вам:

1. Полноценная документация
2. Активный и полезный форум сообщества. Члены нашего сообщества ведут активную работу по поиску ответов на вопросы, и, скорее всего, на ваш вопрос уже найден ответ.

Вот видео, которое нам нравится – о значимости большого сообщества.

Клиент wacs для установки tls сертификата let’s encrypt в iis на windows server

Самый простой способ получить SSL сертификат от Let’s Encrypt — воспользоваться консольной утилитой Windows ACME Simple (WACS) (ранее проект назывался LetsEncrypt-Win-Simple).

Могу ли я получить сертификат для нескольких доменных имён (san или ucc сертификаты)?

Да, один и тот же сертификат Let’s Encrypt может содержать несколько доменных имён, используя механизм Subject Alternative Name (SAN).

Настройка ssl в nginx

Итак, если процедура с созданием сертификатов в manual режиме прошла успешно, то в вышеупомянутой директории мы найдем все необходимые файлы для настройки безопасного соединения.

• privkey.pem – наш приватный ключ
• cert.pem – сертификат сервера
• chain.pem – корневой (root) и промежуточный (intermediate)
• fullchain.pem – все необходимые нам сертификаты для настройки веб-сервера.

Как же в данном случае будет выглядеть настройка Nginx?

Настройка ssl сертификатов для других веб-серверов

В поставке letsencrypt помимо плагина для работы с Apache имеется ряд других, а именно:

• standalone
• webroot
• manual
• nginx

Настройка клиента let’s encrypt

Установите клиент Let’s Encrypt:

О недостатках let’s encrypt

В конце этой статьи хотим отметить, что несмотря на все преимущества данного типа сертификата, существуют недостатки, которые нужно учитывать при выборе SSL:

1. Бесплатный сертификат Let’s Encrypt кратковременный и рассчитан на срок не более 90 дней, в отличии от платного, который можно выпустить сроком до 3 лет. Вы можете , конечно, перевыпускать сертификат каждые 3 месяца, но обязательно следите за сроками. Перевыпуск сертификата можно осуществить тремя способами: вручную, за счет настройки планировщика задач cron или автоматически.

   Если вы выбрали способ обновления вручную, то следите четко за сроками и вовремя перевыпускайте сертификат. Иначе рискуете получить наплыв недовольных пользователей сайта и их последующий отток.

   Планировщик задач cron – это способ настройки автоматического обновления. Способ хорош для тех, кто владеет навыками администрирования Linux и умеет работать с кронами. Нужно еще учитывать, что в работе крона не исключены ошибки, которые могут помешать перевыпуску сертификата. Вывод: следить за обновлением все равно придется.

   Автоматическое обновление. Этот способ подразумевает, что вы принимаете автоматические настройки, предусмотренные Центром сертификации. И тут нужно понимать, что вы таким образом, даете свое согласие на то, что ЦС может вносить изменения по своему усмотрению в ПО и настройки вашего сервера.

2. Не все домены можно защитить бесплатным Let’s Encrypt. Данный сертификат рассчитан только на защиту одного домена без проверки компании, так называемые DV SSL (Domain Validation).

   Так, при помощи Let’s Encrypt нельзя создать следующие типы сертификатов:

   – WildCard сертификат для защиты поддоменов определённого домена;
   – Сертификаты OV SSL(organization validation), предполагающие проверку не только домена, но и компании;
   – Сертификаты EV SSL (extended validation). Сертификат с максимальной степенью защиты и зелёной адресной строкой браузера;
   – Multi-Domain сертификат типа UCC;

3. Важный момент — нет никаких финансовых гарантий использования Let’sEncrypt . Если вдруг произойдет взлом бесплатного сертификата, то денежную компенсацию никто вам не предоставит.

Подготовим nginx к получению сертификатов

В общем случае для получения сертификата необходимо во всех блоках server добавить следующий блок до других блоков location:

location /.well-known {
    root /var/www/html;
}

Понятно, что вписывать для каждого сайта такой блок явно — это моветон, потому создадим файл /etc/nginx/acme с содержанием блока выше.

# cat /etc/nginx/acme 
location /.well-known {
    root /var/www/html;
}

Затем для каждого домена и поддомена, для которых нужно получить сертификаты, в блоке server перед всеми блоками location укажем:

include acme;

Хосты-редиректоры (например, с голого домена на www) можно пропустить. ACME сервер обязан учитывать стандартную переадресацию. Подробней об этом ниже.

Перезагрузим nginx и проверим что наш тестовый файл виден:

Получаем сертификаты

У Let’s Encrypt есть лимиты на количество обращений за сертификатами, потому сначала попробуем получить необходимый сертификат в режиме для тестов:

Получение wildcard сертификата

Подтверждение сертификатов Wildcard-доменов происходит через DNS. Для проверки наличия записей будет использоваться утилита

. Поставьте пакет .

emerge -a net-dns/bind-tools

Выполните регистрацию Let’s Encrypt ACME аккаунта второй версии, указав почтовый адрес, на который в будущем будут приходить важныe сообщения:

Выполните команду для получения сертификата для доменов

example.orgwww.example.org
. В ходе выполнения программа запросит создать в DNS TXT-записи. Их нужно добавить вручную через DNS-хостинг.

Для проверки наличия TXT-записи используйте следующую команду:

Автоматическое обновление сертификатов, полученных вручную, не поддерживается, поэтому их необходимо обновлять отдельно.

Получение сертификата без использования веб-сервера

Данная схема подходит, если на указанной машине нет веб-сервера.

Выполните следующую команду для получения сертификата для домена

example.org

Здесь и далее по тексту вместо

example.org
подставьте свой домен. Сертификат и закрытые ключи будут находиться в каталоге
/etc/letsencrypt/live/example.org/

Получение сертификата с использованием nginx

Данная схема подходит, если на указанной машине уже работает сервер Nginx.

Создайте настройки для включения в конфигурации серверов:

mkdir /var/calculate/www/acme

Включите ACME в настройку необходимого сервера

example.org
и перезапустите Nginx:

Выполните следующую команду для получения сертификата для доменов

example.orgwww.example.org:

Получение сертификатов с использованием отдельного сервера хранения

Данная схема подходит, если на сервере хранения нет веб-сервиса.

На веб-сервере создайте файл для перенаправления ACME на

Пригодны ли сертификаты let’s encrypt для других целей, нежели ssl/tls для сайтов?

Сертификаты Let’s Encrypt – обычные сертификаты с подтверждением домена, поэтому они пригодны для любых серверов с доменным именем – web-серверы, почтовые серверы, FTP-серверы и т.д.

Для шифрования электронной почты и подписи исполняемого кода нужны сертификаты иного типа, который Let’s Encrypt пока не предоставляет.

Пример обновления сертификатов веб-сервера из хранилища сертификатов

В данном примере скрипт

при обновлении сертификата для
example.org
будет вызывать скрипт, который обновит сертификаты на
webserver
, а также перезапустит на нём Nginx.

Установите права на выполнение скрипта:

chmod 700 /etc/letsencrypt/renewal-hooks/deploy/push-to-nginx

Пример перезапуска nginx при обновлении сертификатов

Этот пример подойдёт, если получение сертификата осуществляется через Nginx, находящийся на этой же машине.

Установите права на выполнение скрипта:

chmod 700 /etc/letsencrypt/renewal-hooks/deploy/restart-nginx

Примет ли мой браузер сертификаты от let’s encrypt?

Да, большинство браузеров и операционных систем доверяют нашим сертификатам. Для подробной информации обратитесь к реестру совместимости.

Проверим полученный сертификат

Убедимся что полученный сертификат — именно тот, что нам нужен:

Программная реализация

Центр Сертификации выдаёт сертификаты, которые генерируются на АСМЕ сервере по протоколу Boulder, написанные на языке GO (доступный в исходниках под лицензией MPL2).

Данный сервер предоставляет RESTful-протокол, который функционирует через канал с TLS шифрованием.

Продление ssl сертификата

Ранее я уже упоминал о том, что бесплатные SSL сертификаты “живут” только 90 дней, поэтому после их истечения необходимо будет запускать процедуру продления, благо это тоже бесплатно 🙂

Что же из себя представляет процесс продления?

Как утверждают в Let’s Encrypt, перед истечением, на почту, указанную при создании, приходит соответствующее письмо-уведомление о том, что пора бы продлить сертификат. Чтобы это сделать вручную достаточно запустить команду:

$ ./letsencrypt-auto

И следовать инструкциям на экране. Автоматическое же продление можно настроить используя конфигурационный файл и обычный crontab. Желательно настроить крон таким образом, чтобы продление происходило не чаще 1 раза в месяц.

Если вы работаете из под Windows, то letsencrypt можно развернуть, используя Vagrant или Docker. Правда в этом случае для правильной настройки веб-сервера необходимо будет вручную переместить все файлы на сервер.

Продление сертификатов

После того, как все сертификаты получены и настроены сайты и службы их использующие встает вопрос об их продлении. Мы помним, что срок действия сертификата – 90 дней, поэтому если их много и получены они в разное время, то вручную следить за всем этим хозяйством будет весьма и весьма проблематично.

Устанавливаем ssl сертификат let’s encrypt (инструкция)

Рассмотрим использование сертификата применительно к серверам , используемым на нашем хостинге.

Подавляющее большинство наших серверов используют версию Plesk 12.5 где данный модуль уже включён в дистрибутив Plesk 12.5 и установка его проста и удобна. Достаточно зайти в панель плеск в раздел «Сайты и домены », кликнуть на модуль Let’s Encrypt,

выбрать нужные опции и после нажатия кнопки «Установить», установка произойдёт менее чем за минуту.

Так как данный сертификат рассчитан на срок не более 90 дней, то в панели плеск создана соответствующая задача cron в разделе Инструменты и настройки – Планировщик задач

Стоит заметить, что существуют некоторые ограничения на генерацию сертификата:

• дублирующие сертификаты — не более 5 в неделю;
• количество попыток генерации сертификата не более 5 раз в час.

Установка ssl сертификата для apache

Мой блог работает на связке LAMP, т.е. Linux, Apache, MySQL и PHP. Разработчики Let’s Encrypt постарались на славу и упростили настройку сертификата для Apache до уровня “проще некуда”. Весь процесс сводится к следующим шагам:

Установка в jessie

Если у вас еще в ходу актуальный на конец 2021 года Debian stable “jessie”, то всё лишь немного сложнее.

Установка и настройка nginx

Для начала установим на все хосты nginx из общей роли nginx-simple и раскидаем общие для всех хостов конфиги nginx (nginx.conf, параметры ssl, пути к сертификатам, etc).

Для letsencrypt server’а в шаблоне …/site-available/default.conf папка .well_known будет находиться в /var/www/:

{% if letsencrypt_server %}
  location /.well-known {
    root /var/www/;
  }

Для сервера/серверов группы front, так как папка .well_known используется не только для получения сертификатов, но и для другого ПО, мы импортируем в конфиг example.confletsencrypt-proxy.conf и nginx будет искать папку локально на сервере front, используя дерективу try_file:

{% if nginx_proxy_well_known %}
  try_files $uri $uri/ @letsencrypt;
{% endif %}

Установка сертификата let’s encrypt в командной строке

Инструкции подойдут для всех популярных ОС на базе Linux: Ubuntu, Debian, CentOS. Вcё, что вам понадобится — это доступ к серверу с привилегиями sudo.

Сначала подключитесь к серверу по SSH.

Шаг 2: создание сертификата

Откройте командную строку (cmd) от имени администратора и поочерёдно введите следующие команды:

1. Выполните C:wacswacs.exe.
2. Далее выберите:
3. Укажите ваше доменное имя и два раза нажмите Enter для подтверждения.
4. Затем последовательно выберите:
5. Укажите папку для сохранения сертификатов C:wacscrt.
6. После этого выберите:
7. Укажите адрес электронной почты для уведомлений об ошибках.
8. На дополнительные вопросы отвечайте следующим образом:

Я успешно обновил сертификат – но проверка домена не запустилась. как такое возможно?

Если вы однажды успешно подтвердили право на доменное имя, результат проверки кэшируется, для последующего использования. Время жизни кэша – 30 дней с момента проверки.
Если при обновлении сертификата результаты проверки будут найдены в кэше – то новая проверка запущена не будет до тех пор, пока кэш действителен.

Заключение

Подводя итоги, можно сказать, что Центр Сертификации Let’s Encrypt достаточно успешный проект, популярность которого растет с каждым годом среди пользователей сети.

И если вам нужен простой сертификат для одного домена, вы обладаете соответствующими навыками администрирования, а также если нет необходимости в SSL с проверкой компании (OV- organization validation) или наличие зеленой адресной строки и указания названия компании в сертификате, то данный сертификат можно использовать.

Тем не менее, мы рекомендуем крупным компаниям, интернет-магазинам, банкам и другим e-commerce проектам устанавливать коммерческие SSL – сертификаты от известных Центров сертификации, таких как, например, GlobalSign, Comodo.Так вы заручитесь доверием пользователей и покажете, что вы серьезная компания, которая заботится о безопасности данных клиентов.

Планирует ли let’s encrypt выпускать сертификаты с подтверждением организации (organization validation, ov) или сертификаты высокой надёжности (extended validation, ev)?

Нет, мы не планируем выпускать OV или EV сертификаты.

В заключение

Мы постарались подробно описать весь процесс установки и настройки, а т.к. все описано в плейбуках ansible — статья получилась очень компактной. Как любят часто говорить — “чуть больше 100 строчек кода”. На вопросы, критику и замечания с удовольствием ответим в комментариях.