Let’s Encrypt certificates 90 days के लिए valid हैं। Safety margin के लिए आपको day 60 से पहले renew करना चाहिए। यहाँ GetHTTPS (manual) और Certbot (automatic) से renew करने का तरीका बताया गया है।
Method 1: GetHTTPS से renewal (manual)
Original certificate पाने के लिए use किए गए वही steps repeat करें:
- gethttps.com/app/setup पर जाएँ
- वही domains enter करें
- HTTP-01 या DNS-01 challenge complete करें (पहले की तरह)
- नई certificate files download करें
- Server पर पुरानी files replace करें:
sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem sudo systemctl reload nginx # या apache2/httpd
Time: एक बार कर लेने के बाद 2-3 minutes।
कब use करें: आपके पास Certbot install करने के लिए server access नहीं है, आप कम domains manage करते हैं, या आप software install नहीं करना prefer करते हैं।
Method 2: Certbot के साथ automatic renewal
अगर आपके server पर Certbot installed है, तो renewal automatically होता है:
# Check करें कि auto-renewal set up है या नहीं
sudo systemctl list-timers | grep certbot
# Testing के लिए manual dry-run
sudo certbot renew --dry-run
# अभी renew करें
sudo certbot renew
Certbot का systemd timer (या cron job) दिन में दो बार run होता है और expiry से 30 days पहले certificates renew करता है।
कब use करें: आपके पास server तक root access है और zero-touch renewal चाहते हैं।
अपने certificate की expiry कैसे check करें
# Server से check करें
openssl x509 -noout -enddate -in /etc/ssl/gethttps/fullchain.pem
# Remotely check करें
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
Output example: notAfter=Aug 5 12:00:00 2026 GMT
Reminder set करें
- Day 0: Certificate issued (90 days valid)
- Day 60: Renewal (recommended — 30-day safety margin)
- Day 90: Certificate expired — site security warning दिखाती है
Day 60 के लिए calendar reminder set करें। अगर आप multiple domains manage कर रहे हैं, तो upcoming expiries पर alerts के लिए monitoring service use करें।
Step-by-step: GetHTTPS के साथ renewal
यहाँ manual renewal की exact process है:
-
Current expiry check करें (optional लेकिन good practice):
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate -
gethttps.com/app/setup पर जाएँ
-
वही domains enter करें जो original certificate में थे
-
Challenge complete करें — पहली बार की तरह:
- HTTP-01: अपने server पर नई token file रखें
- DNS-01:
_acme-challengeTXT record को नई value से update करें
-
नई certificate files download करें
-
अपने server पर replace करें:
sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem -
Web server reload करें (restart नहीं — reload existing connections तोड़े बिना नई files apply करता है):
sudo systemctl reload nginx # Nginx sudo systemctl reload apache2 # Apache/Debian sudo systemctl reload httpd # Apache/CentOS -
Verify करें कि नया certificate active है:
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates
Total time: एक बार कर लेने के बाद 2-3 minutes।
Renewal comparison: manual vs automatic
| GetHTTPS (manual) | Certbot (automatic) | |
|---|---|---|
| Per renewal effort | 2-3 minutes | Zero (cron job) |
| Server access required | सिर्फ file replacement के लिए | Full access (root) |
| Failure detection | जब site break होती है तब पता चलता है | Certbot logs + failure पर email कर सकता है |
| Best for | 1-5 domains, कोई root access नहीं | Production servers, multiple domains |
| भूलने का risk | Medium (reminder set करें!) | Low (automatic) |
Root access वाले production servers के लिए, automatic renewal के लिए Certbot set करें। Root access के बिना environments के लिए, GetHTTPS manual renewal ही only option है।
47-day future
CA/Browser Forum ने maximum certificate validity reduce करने के लिए vote किया:
| Effective date | Maximum validity |
|---|---|
| Current | 90 days (Let’s Encrypt) |
| March 2026 | 200 days |
| March 2027 | 100 days |
| March 2029 | 47 days |
2029 तक, आपको करीब हर 30-35 days में renew करना होगा। यह automatic renewal (Certbot) को तेज़ी से critical बनाता है। Manual workflow (GetHTTPS) के लिए, ज़्यादा frequent reminders set करने पर consider करें।
FAQs
क्या मैं certificate expire होने से पहले renew कर सकता हूँ?
हाँ। Let’s Encrypt किसी भी time renewal allow करता है। नया certificate नई 90-day validity period के साथ fresh start होता है। Early renewal से कोई remaining time waste नहीं होता — यह बस पुराने certificate को replace कर देता है।
क्या मुझे हर बार challenge दोबारा करना होगा?
हाँ। हर renewal के लिए नए domain validation challenge की ज़रूरत होती है। यह एक security feature है — यह confirm करता है कि आप अभी भी domain को control करते हैं।
क्या renewal से downtime होगा?
नहीं, अगर सही तरीके से किया जाए। नई files upload करें और web server को reload (restart नहीं) करें। nginx -s reload और apachectl graceful existing connections तोड़े बिना new connections पर नया certificate apply करते हैं।
क्या मैं पहले certificate के लिए GetHTTPS और renewal के लिए Certbot use कर सकता हूँ?
हाँ। Certificate files standard PEM format हैं। आप GetHTTPS से पहला certificate generate कर सकते हैं, फिर ongoing automatic renewal के लिए Certbot install कर सकते हैं। वे mutually exclusive नहीं हैं। Detailed comparison →
अगर मैं renewal deadline miss कर गया और मेरा certificate expire हो गया तो?
आपकी site browser security warning दिखाती है, लेकिन solution simple है: GetHTTPS पर जाएँ, नया certificate पाएं, files replace करें, server reload करें। 5 minutes लगते हैं। Certificate expire होने देने पर Let’s Encrypt से कोई penalty नहीं है — बस नया get करें।
क्या renew करते समय मुझे वही key pair use करना होगा?
नहीं। GetHTTPS हर बार एक नया key pair generate करता है, जो actually better security practice (key rotation) है। Server को फ़र्क नहीं पड़ता कि नया certificate different key use करता है — बस fullchain.pem और privkey.pem दोनों को एक साथ replace करें।
Wildcard certificate कैसे renew करें?
Initial issue की वही process: GetHTTPS पर जाएँ, *.example.com enter करें, DNS में नया _acme-challenge TXT record जोड़ें, verify करें, download करें। हर बार DNS access चाहिए क्योंकि wildcard certificates के लिए DNS-01 ज़रूरी है।