SSL сертификаты от LetsEncrypt.org

Похоже, прошли те времена, когда за SSL сертификат нужно было отдать вагон и маленькую тележку денег. Несколько лет назад некоторые регистраторы SSL стали позволять создать пусть и ограниченный, но бесплатный SSL сертификат для сайта. Одними из первых, это были startssl.com, они давали один сертификат на домен и один поддомен для одного аккаунта на год для некоммерческого проекта. Недавно китайцы c wosign.com стали давать сертификаты на три года (потом уменьшили до года) на большое количество поддоменов. В этих случаях нужно заполнять формы на сайтах и устанавливать сертификаты вручную, также есть вероятность, что сертификат могут отозвать по разным причинам.

Но вот появился letsencrypt.org, полностью некоммерческий проект, который поддерживают такие крупные компании как Facebook, Mozilla, хостер OVH и т.д. С помощью этого сервиса можно получить SSL на сервере в полностью автоматическом режиме.

Работает достаточно просто (пробовал на Ubuntu 14.04):

  1. Вытягиваем репозиторий проекта
    git clone https://github.com/letsencrypt/letsencrypt
  2. Переходим в папку проекта
    cd letsencrypt
  3. Запускаем автоматический инсталлятор
    ./letsencrypt-auto —help
  4. Запускаем автоматическую выдачу сертификата для апача
    ./letsencrypt-auto —apache
    нужно указать домены и свой email — домены проверятся автоматически и SSL сертификаты пропишутся в конфиге

Подробнее тут: https://letsencrypt.org/howitworks/

Сертификаты выдаются на 3 месяца, но можно (и нужно) настроить автоматический вызов letsencrypt раз в неделю, он тогда сам перевыдаст истекающие сертификаты.

Бесплатные SSL сертификаты для сайтов на 3 года

Китайцы из wosign.com раздают бесплатные рабочие SSL сертификаты. Раньше подобный (бесплатный) сертификат можно было получить используя StartSSL, но там есть ряд ограничений: один сертификат на один почтовый ящик, сертификат на год, только один поддомен и только для некоммерческих сайтов (могут не выдать).

У китайцев всё интереснее, сертификат может поддерживать до 100 доменов (!) и выдаётся аж на 3 года. Также, похоже, можно без проблем получить несколько сертификатов. Единственная проблема, что часть форм на китайском, но это легко пройти используя встроенный переводчик в Google Chrome.

Форма регистрации и получения SSL сертификатов: https://buy.wosign.com/free/

CSR для сертификата можно сгенерировать в форме, можно вставить свой (что правильнее).

Через некоторое время придёт письмо с сертификатом. Вероятно, для получения сертификата нужно подвердить email, у меня пришло как раз после подтверждения.

Чтобы браузер каждый раз не ходил в Китай для проверки отзыва сертификата, лучше настроить OCSP, это также улучшает безопасность. Как настроить, можно прочитать тут.

Источники: