ЧЗВ

Последнее обновление: | Вся документация

Этот раздел состоит из двух частей:

Общие вопросы

Какие услуги предлагает Let’s Encrypt?

Let’s Encrypt — это глобальный Центр сертификации (ЦС). Мы помогаем людям и организациям в получении, обновлении и управлении SSL/TLS сертификатами. Наши сертификаты используются сайтами для организации доступа к ним по безопасному протоколу HTTPS.

Let’s Encrypt предлагает сертификаты с подтверждением домена (Domain Validation, DV). Мы не выпускаем сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV), потому что не можем пока автоматизировать выдачу таких сертификатов.

Чтобы начать использовать Let’s Encrypt, посетите страницу Приступая к работе.

Сколько стоят услуги Let’s Encrypt? Это действительно бесплатно?

Мы не берём плату за наши сертификаты. Let’s Encrypt — некоммерческая организация, свою миссию мы видим в создании более безопасного и уважающего конфиденциальность Интернета, способствуя широкому распространению HTTPS. Наши услуги бесплатны и просты в использовании, поэтому каждый может настроить HTTPS для своего сайта.

Нам нужна поддержка спонсоров, грантодателей и отдельных людей, чтобы предоставлять наши услуги бесплатно по всему миру. Если вы хотите поддержать нас, рассмотрите возможность пожертвования или станьте спонсором.

Иногда интеграторы (например, хостинги) взимают номинальную плату для покрытия административных и управленческих расходов на предоставление сертификатов Let’s Encrypt.

Какую техническую поддержку вы предлагаете?

Let’s Encrypt — небольшая компания, мы полагаемся на автоматизацию для снижения затрат. Поэтому мы не можем предложить непосредственную техническую помощь каждому из наших пользователей. Но у нас есть другие способы помочь вам:

  1. Действительно полезная документация.
  2. Активный и полезный форум сообщества. Участники нашего сообщества отлично справляются с ответами на вопросы, а на самые распространенные вопросы уже даны ответы.

Вот видео которое нам нравится, о значимости поддержки сообщества.

Сайт с сертификатом Let’s Encrypt используется для фишинга/вредоносного ПО/мошенничества/…, что мне делать?

Мы рекомендуем сообщить об этом в Google Safe Browsing и Microsoft Smart Screen, которые способны эффективно защищать пользователей Интернета. URL-адреса для отчетов:

Хотите узнать больше о наших политиках и обосновании? Вам сюда:

https://letsencrypt.org/2015/10/29/phishing-and-malware.html

Технические вопросы

Доверяет ли мой браузер сертификатам от Let’s Encrypt?

Да, большинство браузеров и операционных систем доверяют нашим сертификатам. Для подробной информации обратитесь к реестру совместимости.

Пригодны ли сертификаты Let’s Encrypt для других целей, нежели SSL/TLS для сайтов?

Сертификаты Let’s Encrypt — это стандартные сертификаты с подтверждением домена, поэтому они пригодны для любых серверов, использующих доменное имя, например веб-серверы, почтовые серверы, FTP-серверы и т. д.

Для шифрования электронной почты и подписи исполняемого кода нужны сертификаты иного типа, который Let’s Encrypt пока не предоставляет.

Let’s Encrypt создаёт или хранит закрытые ключи для моих сертификатов на своих серверах?

Нет. Никогда.

Закрытые ключи всегда создаются и управляются на ваших собственных серверах, а не на серверах Центра сертификации Let’s Encrypt.

Каков срок действия сертификатов Let’s Encrypt? Какое время они будут считаться действительными?

Наши сертификаты действительны в течение 90 дней с момента выпуска. О том, почему, вы можете прочитать здесь.

Не существует способа изменить это, без исключений. Мы рекомендуем автоматически обновлять сертификаты каждые 60 дней.

Планирует ли Let’s Encrypt выпускать сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV)?

Мы не планируем выпускать сертификаты OV или EV.

Могу ли я получить сертификат для нескольких доменных имён (SAN или UCC сертификаты)?

Да, один и тот же сертификат Let’s Encrypt может содержать несколько доменных имён, используя механизм Subject Alternative Name (SAN).

Выпускает ли Let’s Encrypt сертификаты с возможностью подстановки (wildcard-сертификаты)?

Да. Выдача wildcard должна выполняться через ACMEv2 с использованием вызова DNS-01. Узнайте подробности в статье на форуме сообщества.

Существует ли ACME-клиент Let’s Encrypt для моей операционной системы?

Есть множество реализаций ACME-клиента. Скорее всего, для вашей операционной системы найдётся рабочее решение. На начальном этапе мы рекомендуем использовать Certbot.

Могу ли я использовать имеющийся закрытый ключ или Запрос на подпись сертификата (Certificate Signing Request, CSR)?

Да, но не все клиенты поддерживают эту функцию. Certbot — поддерживает.

Я запросил сертификат, и теперь у моего домена большой трафик! Почему так происходит?

Это нормальное и ожидаемо. Во время выпуска сертификата Let’s Encrypt проверит владение вами доменом из нескольких сетевых точек. После успешной проверки ваш сертификат будет отправлен в многочисленные журналы прозрачности сертификатов (Certificate Transparency, CT). См. здесь для получения более подробной информации о том, почему это необходимо. Вскоре после отправки сертификата в журналы CT автоматические роботы обхода CT смогут обнаружить ваш домен, попытаться получить к нему доступ и этим сгенерировать дополнительный трафик в журналах вашего веб-сервера.

Какие IP-адреса использует Let’s Encrypt для проверки моего веб-сервера?

Мы не публикуем такой список IP-адресов, потому что эти IP-адреса могут измениться в любое время. Обратите внимание, что теперь мы проверяем данные с нескольких IP-адресов.

Я успешно обновил сертификат, но на этот раз проверка не состоялась. Как такое возможно?

Если вы однажды успешно подтвердили право на доменное имя, результат авторизации вашей учетной записи кэшируется для последующего использования. Кеш авторизации действует 30 дней с момента проверки. Если у запрошенного сертификата необходимые авторизации будут в кэше, то новая проверка не будет запущена до тех пор, пока не истечет срок действия кешированных авторизаций.

Почему мой клиент Let’s Encrypt (ACME) должен запускаться в произвольное время?

Мы просим клиентов ACME выполнять плановые обновления в случайное время, чтобы избежать всплесков трафика в определенное время суток, например, ровно в полночь по Гринвичу, или в первую секунду каждого часа или минуты. Если служба слишком занята, клиентам будет предложено попробовать позже, поэтому рандомизация времени обновления поможет избежать ненужных повторных попыток.

Где я могу узнать больше о TLS/SSL и PKI в целом?

Давний исследователь и практик в области безопасности, Иван Ристич, опубликовал руководство по настройке, содержащее полезную информацию о том, что следует учитывать при настройке конфигурации TLS.

Для получения более обширной информации и подробностей мы рекомендуем Bulletproof TLS и PKI, написал также Ристич.