Сертификат https бесплатно: Нужен бесплатный SSL-сертификат? Легко / Хабр

Нужен бесплатный SSL-сертификат? Легко / Хабр

Пришлось искать способ защитить домены в зонах RU, РФ…

Если вам нужен SSL-сертификат, но вы не являетесь специалистом в веб-технологиях, то эта заметка для вас. Описан простой способ выпуска базового SSL-сертификата Let’s Encrypt в ручном режиме, на локальном компьютере с Windows, с помощью приложения Certbot. Этот способ позволяет получить файлы SSL-сертификата в папку на своём локальном компьютере, после чего можно установить сертификат на свой хостинг.

Потребность в SSL-сертификатах возникла у меня в связи с тем, что срок старых истёк, а создать новые оказалось невозможным из-за возникших ограничений на доменные зоны RU и РФ. Если у вас такая же проблема или вам просто надоело искать веб-сервис для выпуска SSL-сертификатов, то эта заметка вам поможет.

Поскольку я пока не знаю наилучшего пути, то ниже просто опишу ту последовательность действий, которую сам выполнил и которая позволила мне создать SSL-сертификаты для десяти своих доменов (в том числе в зонах RU и РФ), а значит и вам этот способ может помочь.

Создание SSL-сертификата на локальном компьютере

1. Установил на свой локальный компьютер (с операционной системой Windows 11) программу Certbot.
   
   Установочный файл Certbot взял с официального сайта здесь (см. ссылку на загрузку дистрибутива в п.3 на открывшейся по ссылке странице).

   Запустил скачанный установщик и в диалоге установки изменил адрес установки на: C:\Certbot

Работа с программой Certbot осуществляется через командную строку или PowerShell (я использовал PowerShell). На время выпуска сертификата, естественно, компьютер должен быть подключен к сети Интернет.

2. Открыл PowerShell (х86) с правами администратора.
   
   Для этого нажал на кнопку «Пуск» и набирая первые буквы названия PowerShell увидел нужный пункт в результатах поиска, затем правым щелчком мыши по названию найденной программы открыл контекстное меню и в нём выбрал пункт «запуск от имени администратора».

3. В окне PowerShell с помощью команд cd перешёл в каталог Certbot (вводил как показано на скриншоте и нажимал в конце строки клавишу Enter):

4. Вставил из буфера обмена команду для создания сертификата (можете скопировать её из этой строки):

   certbot certonly --authenticator manual

   И нажал клавишу Enter.

   Перед нажатием Enter окно PowerShell выглядело с этой командой так:

5. Система предложила ввести свой email (я ввёл), согласился с условиями (нажимая клавишу Y), в следующий раз программа на этом шаге уже не просила вводить email, а сразу предлагала ввести имена доменов (я вводил сразу по два – второй с www, через запятую):

6. Программа попросила создать файл проверки прав на домен. При этом показано какую строку символов и в файл с каким именем поместить, по какому адресу на веб-сервере этот файл положить:

Поскольку я вводил по два доменных имени (обычное и с www), то после нажатия Enter программа точно так же просила создать ещё один проверочный файл.

С помощью Filezilla Client я создал нужные файлы по требуемому адресу, создав нужные директории. Выделенный текст из окна PowerShell можно копировать просто правым кликом, или привычным сочетанием клавиш Ctrl+C.

7. Нажал клавишу Enter для создания сертификата, но только после того, как проверочные файлы на веб-сервере были созданы.

   Система сообщила об успешном создании файлов сертификата, которые я нашёл на своём локальном компьютере, в папке:

   C:\Certbot\archive\[имя домена]

   Если бы сертификат не был создан, то программа сообщила бы об ошибке.

Вот и всё, сертификаты готовы!

Для установки их на хостинг мне потребовались три файла из четырёх, из данной папки:

cert1.pem – сертификат
chain1.pem – промежуточный сертификат
privkey1.pem – приватный ключ

Эти файлы со своего компьютера не удаляйте, поскольку при следующем выпуске сертификатов (их приходится создавать заново каждые 90 дней) Certbot проверит их наличие и создаст рядом новые, со следующим порядковым номером. Для установки на хостинг нужно будет использовать, конечно, новые.

Ограничения

Через каждые 90 дней нужно перевыпускать сертификат заново.

P.S.:

Я ещё не озадачился тем, как автоматизировать описанный выше процесс (мне интересен перевыпуск сертификата именно на локальном компьютере с Windows). Было бы здорово, если бы знающий человек написал в комментариях как это сделать.

Бесплатные SSL сертификаты от Let’s Encrypt: Что это такое?

Рассказываем, чем они отличаются от платных сертификатов

Зачем нужны бесплатные сертификаты -> В чём их преимущества -> В чём их недостатки -> Стоит ли устанавливать бесплатный сертификат

Зачем нужны бесплатные SSL от Let’s Encrypt

Владельцы небольших проектов не всегда готовы тратить деньги на покупку SSL-сертификата. Для таких ситуаций есть сертификаты Let’s Encrypt.

Что такое SSL-сертификат

Let’s Encrypt — это центр сертификации, у которого можно получить бесплатный SSL-сертификат для сайта. Он находится на втором месте по количеству активных сертификатов. По данным агентства W3Techs к 1 октября 2017 года компания выпустила 30,6 % всех сертификатов.

Бесплатные SSL-сертификаты подойдут небольшим сайтам, где пользователи оставляют личные данные: адреса электронной почты, пароли, телефонные номера. К ним относятся личные сайты, блоги, портфолио, промо-страницы, небольшие форумы.

Разберёмся в чём преимущества и недостатки сертификатов Let’s Encrypt.

Преимущества сертификатов Let’s Encrypt

 

Доступность

В отличие от коммерческих центров сертификации, Let’s Encrypt выдаст SSL-сертификат бесплатно. Это выгодно небольшим сайтам, владельцы которых не могут позволить себе платный SSL-сертификат.

У Let’s Encrypt нет скрытых расходов: с вас не станут требовать денег за скачивание, перевыпуск или продление сертификата. Если хотите поддержать проект, сделайте пожертвование на сайте компании.

Надёжное шифрование

Если переживаете, что бесплатный SSL-сертификат не так надёжно зашифровывает информацию, то это не так. Не смотря на то, что за продукт не нужно платить, уровень защиты такой же как и у платных сертификатов.

Автоматическое управление

У Let’s Encrypt есть клиент для управления сертификатами. Он умеет автоматически скачивать, устанавливать и продлевать сертификаты. Для этого нужно установить клиент на сервер и разрешить ему менять конфигурацию сервера. Если боитесь, что от этого пострадают другие настройки, устанавливайте и обновляйте сертификат вручную.

Недостатки сертификатов Let’s Encrypt

 

Короткий срок действия

Бесплатный SSL-сертификат не выдадут на год. Сертификат Let’s Encrypt работает до 90 дней. Раз в три месяца его придётся переустанавливать. Если пользуетесь клиентом Let’s Encrypt и разрешили ему автоматически обновлять сертификат, переживать не о чем. Но если управляете сертификатами вручную, рискуете пропустить день окончания срока действия и тогда защита перестанет работать.

С платными сертификатами дела обстоят проще: их выпускают на год.

Сложная установка

Чтобы установить бесплатный SSL-сертификат, нужно пользоваться командной строкой. Если раньше не делали этого, можете случайно сбить другие настройки. Устанавливайте сертификаты Let’s Encrypt, только если уверены в своих действиях.

Проблемы могут возникнуть, если вы используете виртуальный хостинг. Не каждый хостинг провайдер согласится помочь с установкой и вообще разрешит устанавливать сертификат Let’s Encrypt. Узнайте в службе поддержки, смогут ли вам помочь.

Некоторые хостинг провайдеры сотрудничают с Let’s Encrypt и помогают клиентам установить сертификат на виртуальный сервер. Полный список партнёров есть на сайте Let’s Encrypt.

Низкая совместимость

У сертификатов Let’s Encrypt есть проблемы с совместимостью. Главная проблема — несовместимость с ранними версиями Windows XP. Это значит, что сертификат может работать некорректно у пользователей этой операционной системы.

Вторая проблема — мобильные платформы. Проблемы могут возникнуть со старыми версиями прошивок. Например, сертификат не будет работать на телефонах с прошивкой Android 2.3.6 и ниже.

На официальном сайте Let’s Encrypt есть список совместимых устройств и программ.

Отсутствие гарантии

Коммерческие центры сертификации дают гарантию на их сертификаты. Это денежная компенсация убытков. Её выплачивают посетителям сайта, которые потеряли деньги по вине центра сертификации.

Let’s Encrypt — некоммерческая организация, и поэтому не предоставляет гарантии. Если шифрование взломают или пользователь потеряет деньги из-за того, что сертификат выдали мошенническому сайту, деньги не вернут. Центр сертификации не берёт на себя ответственность за последствия использования их сертификатов.

Ограниченная функциональность

У SSL-сертификатов Let’s Encrypt есть два ограничения по сравнению с платными сертификатами:

1. Let’s Encrypt не выпускает сертификаты с проверкой организации или зелёной строкой. Такие сертификаты выдают только после проверки документов предприятия. Они подходят владельцам среднего и крупного бизнеса.

2. Let’s Encrypt не выпускает Wildcard-сертификаты. Это сертификаты, которые защищают все субдобмены после установки на один домен.

Каждый SSL-сертификат Let’s Encrypt защитит до 100 субдоменов, но их придётся прописывать вручную. Это неудобно, если на вашем сайте больше 20 страниц на субдоменах.

Нет поддержки клиентов

У Let’s Encrypt нет поддержки в чате или по телефону. Вместо этого — техническая документация на сайте организации. Она написана на английском и требует знаний в системном администрировании. Ещё есть форум, где пользователи помогают друг другу с техническими трудностями. Он тоже на английском и может не охватывать всех тем.

Стоит ли устанавливать бесплатный SSL-сертификат

Мы взяли самое главное из того, о чём рассказали выше, чтобы помочь вам сделать выводы и решить стоит ли устанавливать сертификат Let’s Encrypt.

1

Сертификаты Let’s Encrypt подходят для небольших проектов: личного сайта, блога, промостраницы с контактными формами или небольшого сайта с приёмом платежей.

2

Устанавливайте бесплатный сертификат Let’s Encrypt, только если уверены в своих действиях. В отличие от платных сертификатов, у сертификатов Let’s Encrypt хуже функционал и ниже совместимость. А ещё для установки могут понадобиться дополнительные знания в системном администрировании.

3

Если выбираете, устанавливать сертификат Let’s Encrypt или не устанавливать вообще, рекомендуем первый вариант. Чем раньше установите сертификат на сайт, тем меньше шансов, что пострадает кто-нибудь из ваших клиентов.

4

Взвесьте за и против. У бесплатных сертификатов ниже совместимость с браузерами и мобильными устройствами, сложнее установка, меньше срок действия и меньше разновидностей для разных типов бизнеса. Кроме того, у сертификатов Let’s Encrypt нет гарантии, поэтому устанавливайте их на свой страх и риск. Тем, кто хочет перестраховаться, рекомендуем платные сертификаты.

 

Разновидности сертификатов

Если планируете покупку, но не знаете, какой сертификат выбрать

Для физических лиц и малого бизнеса:

Выбрать DV SSL

Для среднего бизнеса:

Выбрать OV SSL

Для крупного бизнеса:

Выбрать EV SSL

Для сайтов с большим количеством поддоменов:

Выбрать Wildcard SSL-сертификат

Для защиты нескольких доменов:

Выбрать Multi-Domain SSL-сертификат

Обратитесь в нашу службу поддержки. Подскажем, какой сертификат подойдёт вашему сайту, поможем с активацией и установкой. Если в течение 30 дней с момента выпуска сертификата вас что-нибудь не устроит, вернём деньги. Работаем круглосуточно и без выходных.

Задать вопросВыбрать сертификат

Бесплатный SSL — SSL.com

Basic SSL — один из самых популярных сертификатов на данный момент! Попробуйте сейчас, бесплатно в течение 90 дней!

Бесплатная пробная версия SSL — это домен, проверенный и полностью автоматизированный, что означает, что вы сможете начать защищать свою электронную торговлю, логины и многое другое всего за несколько минут. Бесплатная пробная версия SSL активирует замок браузера и https и гарантирует вашим клиентам, что вы серьезно относитесь к безопасности.

Еще больше вариантов цифровых сертификатов от SSL.com, включая Wildcard, S/MIME и подпись кода EV, ознакомьтесь с нашей подборкой.

Надежная безопасность

Получение сертификата от SSL.com означает, что вы получаете защиту от доверенного центра сертификации.

Используя технологию PKI, SSL.com обеспечивает надежную и надежную защиту с помощью любого из наших SSL-сертификатов.

Вы также можете использовать протокол ACME для заказа бесплатных 90-дневных сертификатов DV SSL/TLS на SSL.com. Эти сертификаты включают один домен, а также дополнительный субдомен www. Бесплатные 90-дневные сертификаты DV выдаются автоматически, если на вашем SSL.com недостаточно свободных средств для покрытия годового сертификата, когда вы запрашиваете сертификат в ACME.

99% совместимость с браузером

Совместимость всегда вызывает беспокойство при добавлении в ваш технический стек или покупке SSL-сертификата. К счастью, сертификатам SSL.com доверяют более 99% веб-браузеров, в том числе:

• Гугл Хром
• Мозилла Фаерфокс
• Microsoft Edge и IE
• Apple Сафари
• Опера

Неограниченное количество серверных лицензий, перевыпусков и пар ключей

Когда вы покупаете сертификат на SSL. com, у вас будет доступ к нашему расширенному пользовательскому порталу для ключевых элементов вашего опыта покупки и управления сертификатами. Если у вас возникнет необходимость изменить ключ или перевыпустить сертификат, вы можете полностью инициировать процесс с портала.

Быстрая выдача SSL: доставка за считанные минуты для мгновенной защиты

Вероятно, вы не хотите ждать, пока выдадут сертификат. Не волнуйтесь, после прохождения краткой процедуры проверки ваш сертификат будет выпущен в течение нескольких минут, а это значит, что вы недалеко от надежной защиты.

Попробуйте доступную безопасность от доверенного центра в SSL-сертификатах

Не каждый день можно получить лучшие вещи бесплатно, но сегодня это возможно. Бесплатные сертификаты SSL.com предлагают настоящую защиту от доверенного центра сертификации.

Улучшает SEO и рейтинг Google

Поисковая оптимизация (SEO) — это практика оптимизации вашей страницы с помощью контента, ориентированного на клиентов, а также технических усилий, направленных на повышение рейтинга в Google и других поисковых системах.

Наличие высокого рейтинга жизненно важно для привлечения трафика на ваш сайт и увеличения конверсии и продаж.

Наличие сертификата SSL/TLS является важнейшим элементом передовой практики SEO. Если у вас его еще нет, вы, вероятно, упускаете значительный трафик, который может помочь поднять ваш бизнес. Сертификат от SSL.com может помочь решить эту проблему.

Полная совместимость со всеми версиями SSL и TLS

Хотя всегда рекомендуется использовать текущие версии протокола SSL/TLS, сертификаты SSL.com оборудованы для работы со всеми версиями TLS или SSL.

Наличие печати сайта SSL.com поможет показать посетителям, что веб-сайт является безопасным и надежным. Увеличьте конверсию посетителей в клиентов и удержание.

Получите HTTPS бесплатно!

Получите HTTPS бесплатно!

Теперь вы можете получить бесплатные сертификаты https (включая групповые сертификаты) от некоммерческого центра сертификации Давайте зашифруем! Это веб-сайт, который проведет вас через ручные шаги, чтобы получить бесплатную сертификат https, чтобы вы могли использовать https на своем собственном веб-сайте! Этот веб-сайт Открытый исходный код и

НИКОГДА не запрашивает ваши личные ключи. Никогда не доверяйте веб-сайту который запрашивает ваши личные ключи!

ПРИМЕЧАНИЕ. Этот веб-сайт предназначен для людей, которые знают, как создать подпись сертификата. запросы (CSR)! Если вы не знаете, как это сделать, воспользуйтесь официальный официальный клиент Let’s Encrypt который может автоматически выдавать и устанавливать https-сертификаты для вас. Этот Сайт создан для людей, которые знают, что делают, и просто хотят получить их бесплатный https-сертификат.

Если вам нужно обновить сертификат, просто снова выполните указанные ниже шаги.

---

Шаг 1: Информация об учетной записи

Let’s Encrypt требует, чтобы вы зарегистрировали адрес электронной почты учетной записи и открытый ключ, прежде чем выдача сертификата. Электронная почта предназначена для того, чтобы они могли связаться с вами в случае необходимости, и открытый ключ предназначен для того, чтобы вы могли безопасно подписывать свои запросы на выдачу/отмену/обновление ваши сертификаты. Держите закрытый ключ вашей учетной записи в секрете!

Всем, у кого есть может выдавать себя за вас при отправке запросов к Let’s Encrypt!

---

Шаг 2. Запрос на подпись сертификата

Это запрос на подпись сертификата (CSR), который вы отправляете в Let’s Encrypt. для выдачи вам подписанного сертификата. Он содержит домены веб-сайтов, которые вы хотите выпустить сертификаты и открытый ключ вашего закрытого ключа TLS. Держите Секрет закрытого ключа TLS! Любой, у кого он есть, может взломать ваш сайт!

(как это сгенерировать?)

Как создать новый запрос на подпись сертификата (CSR):

1. Создайте закрытый ключ TLS, если у вас его нет:
   (ДЕРЖИТЕ ДОМЕН.КЛЮЧ В СЕКРЕТЕ!)
   openssl genrsa 4096 > domain.key
2. Создайте CSR для доменов, для которых вы хотите получить сертификаты: (замените «foo.