Все сравнения Сравнение

ACME-клиенты: браузерные vs командной строки

ACME-клиенты (Automated Certificate Management Environment) бывают двух видов: браузерные (как GetHTTPS) и командной строки (как Certbot и acme.sh). Оба взаимодействуют с одним и тем же API Let’s Encrypt и выпускают идентичные сертификаты. Разница в том, где выполняется работа и кто контролирует ключи.

Сравнение

Браузерный (GetHTTPS)CLI (Certbot, acme.sh)
Где работаетВкладка вашего браузераКомандная строка сервера
УстановкаНе требуетсяНеобходима (snap, pip, shell-скрипт)
Генерация ключейБраузер (Web Crypto API)Сервер (OpenSSL)
Хранение ключейСкачиваются вамиФайловая система сервера
Автопродление❌ Вручную✅ Cron/systemd
Нужен доступ к серверуНетДа
Графический интерфейс
Предварительная проверка✅ (GetHTTPS)
Скриптование
ЗависимостиСовременный браузерOpenSSL, curl, cron

Когда выигрывает браузерный клиент

  • Нет доступа к серверу — виртуальный хостинг, управляемые платформы или серверы, на которые нельзя установить ПО
  • Максимальная конфиденциальность ключа — приватный ключ существует только в памяти браузера, пока вы его не скачаете
  • Нетехнические пользователи — веб-интерфейс понятнее, чем терминал
  • Разовые сертификаты — быстрее, чем настраивать CLI-инструмент для одного сертификата
  • Помощь другим — проще показать экран с браузером, чем диктовать команды в CLI

Когда выигрывает CLI

  • Автоматическое продление — критически важно для продакшн-серверов, особенно с приближением 47-дневного срока действия
  • Инфраструктура в масштабе — скриптуемость, контейнеризация, настройка через системы управления конфигурациями
  • Автоматизация DNS API — CLI-инструменты, такие как acme.sh, имеют плагины для 150+ DNS-провайдеров
  • Интеграция с CI/CD — выпуск сертификатов как часть пайплайна деплоя
  • Автонастройка сервера — плагины Certbot для Nginx/Apache настраивают сервер напрямую

Гибридный подход

Многие команды используют оба инструмента:

  1. GetHTTPS для первого сертификата (нулевое время настройки)
  2. Certbot или acme.sh устанавливается позже для автоматического продления

Это позволяет начать работу немедленно без затрат на настройку CLI-инструмента, а затем добавить автоматизацию, когда будете готовы.

Браузерные ACME-клиенты

Категория браузерных ACME-клиентов относительно новая. Доступные варианты:

КлиентОткрытый исходный кодГенерация ключейПрямое подключение к ACMEПредварительная проверка
GetHTTPSНетБраузер (Web Crypto)ДаДа
SSL For FreeНет⚠️ На стороне сервераЧерез ZeroSSLНет
ZeroSSL DashboardНет⚠️ Возможно на стороне сервераЧерез ZeroSSL APIНет

GetHTTPS — единственный браузерный клиент, который генерирует ключи локально с помощью Web Crypto API и подключается напрямую к ACME API Let’s Encrypt без промежуточного ПО.

CLI ACME-клиенты

Экосистема CLI более зрелая:

КлиентЯзыкНужен rootАвтопродлениеDNS-плагиныНастройка сервера
CertbotPythonДа (snap/pip)Да (systemd)Через плагиныАвтонастройка Nginx/Apache
acme.shShellНетДа (cron)150+ встроенныхВручную
LegoGoНетДа100+Вручную
CaddyGoН/Д (встроен)Да (автоматически)Через DNS-модулиВстроено в сервер Caddy
dehydratedShellНетДа (cron)Через хукиВручную

Подробные сравнения: GetHTTPS vs Certbot → | GetHTTPS vs acme.sh →

Будущее: 47-дневные сертификаты

С сокращением срока действия сертификатов до 47 дней к 2029 году баланс ещё больше смещается в сторону CLI-клиентов для продакшн-использования. Продлевать вручную каждые 30-35 дней (через браузер) реально, но утомительно.

Тем не менее, браузерные клиенты не исчезнут. Они служат постоянно востребованным нишам:

  • Среды без доступа к CLI — виртуальный хостинг, управляемые платформы, ограничительные корпоративные среды
  • Первоначальная настройка — запустить HTTPS за 5 минут, а затем решить, нужно ли устанавливать CLI-инструмент
  • Экстренное продление — Certbot на сервере сломался, а сертификат нужен СЕЙЧАС
  • Сертификат для другого человека — сгенерировать сертификат для клиента или коллеги без доступа к их серверу
  • Чувствительные к конфиденциальности сценарии — ключ не должен существовать ни на одном сервере, даже временно

Часто задаваемые вопросы

Браузерный клиент менее безопасен?

Не по своей природе. GetHTTPS генерирует ключи с помощью Web Crypto API (те же криптографические примитивы, которые использует сам TLS) и взаимодействует напрямую с Let’s Encrypt через HTTPS. Ключ никогда не попадает на сторонний сервер. Основной компромисс — отсутствие автоматического продления, а не безопасность.

Устареют ли браузерные клиенты с 47-дневными сертификатами?

Не устареют, но станут менее удобными в качестве единственного метода продления. Они останутся ценными для первоначальной настройки, экстренного продления и сценариев без доступа к серверу. Но для продакшн-нагрузок с продлением каждые 30-40 дней автоматизация через CLI — прагматичный долгосрочный выбор.

Какой CLI-клиент выбрать?

Certbot, если вам нужна автонастройка Nginx/Apache и не смущает root-доступ. acme.sh, если хотите работать без root, использовать DNS API-плагины и иметь минимальный след в системе. Caddy, если меняете веб-сервер — он обеспечивает HTTPS автоматически с нулевой настройкой.

Может ли браузерный клиент работать в автоматизированных пайплайнах?

Не напрямую — браузерные клиенты требуют ручного взаимодействия. Для CI/CD-пайплайнов или инфраструктуры как кода используйте CLI-клиент. GetHTTPS предназначен для рабочих процессов, управляемых человеком; Certbot и acme.sh — для машинных.

Похожие статьи

Сравнение 2026-05-08
GetHTTPS vs Certbot: какой инструмент для SSL выбрать?
Подробное сравнение GetHTTPS и Certbot для получения бесплатных SSL-сертификатов от Let's Encrypt. Сравнение установки, рабочего процесса, конфиденциальности, автоматизации, продления и сценариев использования.
Сравнение 2026-05-07
GetHTTPS vs acme.sh: браузер vs shell-скрипт
Сравнение GetHTTPS (браузерный) с acme.sh (shell-скрипт). Оба выпускают сертификаты Let's Encrypt — один не требует установки, другой работает где угодно без root.
SSL и сертификаты 2026-05-07
Что такое Let's Encrypt?
Let's Encrypt — бесплатный некоммерческий удостоверяющий центр, выдавший более 1 миллиарда SSL-сертификатов. Узнайте, как он работает, его лимиты и как использовать его с GetHTTPS.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат