В 2026 году существует множество способов получить бесплатный SSL-сертификат. Но «бесплатно» не значит, что все они одинаковы — они различаются по тому, сколько сертификатов можно получить, остаётся ли ваш приватный ключ приватным, поддержке wildcard и что произойдёт, когда вы захотите сменить провайдера.
Это сравнение, которое не делает ни один другой сайт: мы анализируем, где генерируется ваш приватный ключ, — потому что если провайдер имеет доступ к вашему ключу, шифрование скомпрометировано на корню.
Быстрое сравнение: все провайдеры одним взглядом
| Провайдер | Тип | Срок действия | Wildcard (бесплатно) | Нужен аккаунт | Приватный ключ | Бесплатный лимит | Автопродление |
|---|---|---|---|---|---|---|---|
| Let’s Encrypt | Самостоятельный CA | 90 дней | ✅ DNS-01 | Нет | ✅ Локально | Без ограничений | Через ACME-клиент |
| ZeroSSL | Самостоятельный CA | 90 дней | ❌ Только платно | ⚠️ Зависит от способа | 3 сертификата | Через ACME | |
| Buypass Go | Самостоятельный CA | 180 дней | ❌ | Нет | ✅ Локально | Без ограничений | Через ACME |
| Google Trust Services | Самостоятельный CA | 90 дней | ✅ DNS-01 | Google Cloud | ✅ Локально | Без ограничений | Через ACME |
| Cloudflare | CDN-прокси | Авто | ✅ | ❌ Хранит Cloudflare | Без ограничений | Автоматически | |
| SSL For Free | Веб-инструмент | 90 дней | ❌ | ⚠️ Генерируется на сервере | 3 сертификата | Нет | |
| Хостинг-провайдеры | В комплекте | 90+ дней | Зависит от хостинга | Аккаунт хостинга | ✅ На вашем сервере | Без ограничений | Обычно авто |
| AWS ACM | Облачный сервис | Авто | ✅ | Аккаунт AWS | ❌ Хранит AWS | Без ограничений | Автоматически |
Самостоятельные удостоверяющие центры
Эти CA выпускают сертификаты, которые вы скачиваете и владеете ими. Их можно установить где угодно — на любой сервер, любую платформу, у любого провайдера.
Let’s Encrypt — отраслевой стандарт
Let’s Encrypt — некоммерческий CA, управляемый Internet Security Research Group (ISRG). Он доминирует на рынке с 63,9% мировой долей среди CA и более чем 300 миллионами активных сертификатов.
Почему это выбор по умолчанию:
- Действительно без ограничений — нет лимитов бесплатного тарифа, нет навязывания платных услуг, нет платных планов
- Wildcard-сертификаты — через DNS-01 challenge, бесплатно
- Огромная экосистема — 50+ ACME-клиентов: GetHTTPS (браузерный), Certbot (CLI), acme.sh (shell), Caddy (встроенный) и многие другие
- Не нужен аккаунт — ключи ACME-аккаунта генерируются локально, регистрация по email не требуется
- Certificate Transparency — все выпущенные сертификаты публично логируются для прозрачности
- Поддерживается Mozilla, Google, EFF, Meta, Cisco и другими
Ограничения:
- 90-дневный срок действия (требует планирования продления — руководство)
- Только DV — нет OV или EV (нужны ли они вам?)
- Rate limits: 50 сертификатов на зарегистрированный домен в неделю (достаточно для любого легитимного использования)
- Нет выделенной поддержки — только форум сообщества
Как получить сертификат Let’s Encrypt:
| Инструмент | Тип | Лучше всего для |
|---|---|---|
| GetHTTPS | Браузерный | Без установки, ключ остаётся в браузере |
| Certbot | CLI | Автопродление на Linux-серверах |
| acme.sh | Shell-скрипт | Без root, 150+ DNS-плагинов |
| Caddy | Веб-сервер | HTTPS без настройки |
ZeroSSL — бесплатный тариф с оговорками
ZeroSSL — коммерческий CA, поддерживаемый Sectigo. Предлагает бесплатный тариф наряду с платными планами ($10-100/месяц).
Преимущества перед Let’s Encrypt:
- Веб-панель для управления сертификатами
- REST API для программного выпуска
- Валидация по email (не нужен доступ к серверу)
- 1-годичные сертификаты на платных планах
Подводные камни:
- Бесплатный тариф: только 3 сертификата — затем нужен платный план
- Wildcard: только платно — Let’s Encrypt предлагает wildcard бесплатно
- Вопрос приватного ключа: при использовании веб-панели ключ может генерироваться на сервере ZeroSSL, а не в вашем браузере. Использование их ACME-эндпоинта с локальным клиентом сохраняет ключ локально.
- Принадлежит Sectigo — коммерческому CA с коммерческими интересами
Итог: ZeroSSL подходит для 1-3 сайтов, если вам нужна панель управления. Для чего-то большего Let’s Encrypt не имеет ограничений. Подробное сравнение →
Buypass Go SSL — больший срок действия, меньше возможностей
Buypass — норвежский CA, предлагающий бесплатные DV-сертификаты со сроком действия 180 дней — вдвое дольше, чем Let’s Encrypt.
Преимущества:
- 180-дневный срок действия = меньше продлений
- Поддержка протокола ACME (работает с Certbot, acme.sh)
- Не нужен аккаунт
- Европейский CA (актуально для организаций, заботящихся о GDPR)
- Неограниченное количество бесплатных сертификатов
Ограничения:
- Нет поддержки wildcard — критично, если нужен
*.example.com - Меньшее сообщество — меньше документации, меньше проверенных интеграций
- Меньшая узнаваемость
Лучше всего для: простых сайтов, которым нужен более длительный срок действия без wildcard.
Google Trust Services — собственный CA Google
Google Trust Services выпускает бесплатные DV-сертификаты через ACME, поддерживаемые инфраструктурой Google.
Преимущества:
- Поддержка wildcard через DNS-01
- Надёжность уровня Google
- Совместимость с ACME (Certbot, acme.sh)
Ограничения:
- Требуется аккаунт Google Cloud для ACME-эндпоинта
- Меньше документации от сообщества, чем у Let’s Encrypt
- 90-дневный срок действия
- Зависимость от Google Cloud
Лучше всего для: команд, уже использующих Google Cloud, которые хотят единую экосистему.
CDN и облачное управление SSL
Эти провайдеры управляют сертификатами за вас, но вы ими не владеете.
Cloudflare — бесплатный SSL как часть CDN
Cloudflare предоставляет «Universal SSL» на бесплатном плане. Но это принципиально отличается от загружаемого сертификата.
Как на самом деле работает Cloudflare SSL:
Посетитель ──HTTPS──→ Cloudflare Edge ──???──→ Ваш Origin-сервер
(сертификат Cloudflare) (может быть без шифрования!)
Зашифрованное соединение ваших посетителей завершается на Cloudflare, а не на вашем сервере. Cloudflare расшифровывает трафик, обрабатывает его (кэширование, WAF и т.д.), затем устанавливает отдельное соединение с вашим origin-сервером.
Проблема: в режиме «Flexible» (по умолчанию для многих) соединение Cloudflare→origin — это незашифрованный HTTP. Ваши посетители видят замочек, но трафик на бэкенде не зашифрован. Всегда используйте режим «Full (Strict)» с настоящим сертификатом на origin-сервере.
Чего вы не получаете:
- Файл сертификата, который можно скачать
- Приватный ключ, которым вы управляете
- Сертификат, работающий без Cloudflare
- Конфиденциальность от Cloudflare (они видят весь трафик в открытом виде)
- Использование для не-веб-сервисов (почта, API не за Cloudflare)
Что вы получаете:
- Нулевое управление сертификатами
- Автоматическое продление
- DDoS-защиту, CDN и другие функции Cloudflare
- Покрытие wildcard
Лучше всего для: сайтов, уже использующих Cloudflare, которые принимают модель прокси. Не замена настоящему сертификату, если вам нужно сквозное шифрование или переносимость. Полное сравнение →
AWS Certificate Manager (ACM) — только для сервисов AWS
ACM предоставляет бесплатные сертификаты для балансировщиков нагрузки AWS (ALB/NLB), CloudFront и API Gateway.
Ключевое ограничение: вы не можете скачать приватный ключ. Сертификаты ACM работают только с управляемыми сервисами AWS — не на EC2 напрямую и не на каком-либо не-AWS-сервере. Полное руководство по SSL на AWS →
Веб-инструменты (требуется осторожность)
SSL For Free — удобство ценой конфиденциальности
SSL For Free был простым веб-инструментом для получения сертификатов Let’s Encrypt. Теперь он принадлежит ZeroSSL/Sectigo и перенаправляет на ZeroSSL.
⚠️ Критическая проблема конфиденциальности: веб-интерфейс SSL For Free генерировал ваш приватный ключ на их сервере и отправлял вам. Это значит, что они имели доступ к вашему приватному ключу — единственной вещи, которая должна оставаться секретной. Если бы их системы были взломаны, каждый сгенерированный ими ключ мог бы быть скомпрометирован.
В этом принципиальное отличие SSL For Free от GetHTTPS: GetHTTPS генерирует ключ в вашем браузере с помощью Web Crypto API. Ключ существует только в памяти браузера, пока вы его не скачаете. Ни один сервер его не видит. Подробное сравнение →
Хостинг-провайдеры со встроенным SSL
Большинство современных хостинг-провайдеров включают бесплатный SSL — обычно Let’s Encrypt через AutoSSL или собственную интеграцию:
| Хостинг | Бесплатный SSL | Wildcard | Автопродление | Как включить |
|---|---|---|---|---|
| Hostinger | ✅ Let’s Encrypt | ✅ | ✅ | hPanel → Security → SSL |
| SiteGround | ✅ Let’s Encrypt | ✅ | ✅ | Site Tools → Security → SSL |
| Bluehost | ✅ Let’s Encrypt | ❌ | ✅ | My Sites → Security |
| Namecheap | ✅ AutoSSL | ❌ | ✅ | cPanel → SSL/TLS Status |
| A2 Hosting | ✅ Let’s Encrypt | ✅ | ✅ | cPanel → SSL/TLS |
| DreamHost | ✅ Let’s Encrypt | ✅ | ✅ | Panel → Secure Hosting |
| DigitalOcean | ❌ | — | — | Используйте GetHTTPS или Certbot |
| Hetzner | ❌ | — | — | Используйте GetHTTPS или Certbot |
| Vultr | ❌ | — | — | Используйте GetHTTPS или Certbot |
Если ваш хостинг включает бесплатный SSL — используйте его. Это путь наименьшего сопротивления.
Если ваш хостинг не включает SSL (DigitalOcean, Hetzner, Vultr, Linode или любой VPS) — используйте GetHTTPS для быстрого получения сертификата или Certbot для автопродления.
Аспект конфиденциальности: где ваш приватный ключ?
Это сравнение, которое не делает ни одна другая статья про «лучший бесплатный SSL», — и это самый важный вопрос безопасности:
| Провайдер | Где генерируется приватный ключ? | Кто имеет доступ? | Уровень риска |
|---|---|---|---|
| GetHTTPS | Ваш браузер (Web Crypto API) | Только вы | ✅ Минимальный |
| Certbot / acme.sh | Ваш сервер (OpenSSL) | Вы + все с root-доступом | ✅ Нормальный |
| Let’s Encrypt (любой клиент) | Зависит от клиента — см. выше | Зависит от клиента | Варьируется |
| ZeroSSL (ACME-клиент) | Ваш сервер | Вы + root | ✅ Нормальный |
| ZeroSSL (веб-панель) | Сервер ZeroSSL | ZeroSSL + вы | ⚠️ Повышенный |
| SSL For Free (веб) | Их сервер | SSLForFree + вы | ⚠️ Повышенный |
| Cloudflare | Инфраструктура Cloudflare | Cloudflare | ⚠️ У вас его нет |
| AWS ACM | Инфраструктура AWS | AWS | ⚠️ У вас его нет |
| Хостинг AutoSSL | Ваш хостинг-сервер | Хостинг + вы | ✅ Нормальный |
Почему это важно: ваш приватный ключ — основа безопасности вашего сертификата. Если кто-то ещё имеет его, он может выдать себя за ваш сайт. Большинство сравнений «бесплатных SSL-провайдеров» полностью это игнорируют.
Матрица принятия решений
| Ваша ситуация | Рекомендация | Почему |
|---|---|---|
| Большинство сайтов | Let’s Encrypt через GetHTTPS | Без ограничений, лучшая конфиденциальность, работает везде |
| Нужно автопродление | Let’s Encrypt через Certbot | Настроить один раз — забыть навсегда |
| Виртуальный хостинг с cPanel | AutoSSL вашего хостинга | Уже есть, нулевые усилия |
| Уже на Cloudflare | Cloudflare + origin-сертификат от GetHTTPS | Преимущества CDN + настоящее шифрование на origin |
| Уже на AWS | ACM для ALB/CloudFront + GetHTTPS для EC2 | ACM бесплатен и с автопродлением |
| Нужен больший срок действия | Buypass Go через Certbot | 180 дней вместо 90 |
| Нужны 1-3 быстрых сертификата с панелью | ZeroSSL | Веб-интерфейс, валидация по email |
| Важна конфиденциальность | Let’s Encrypt через GetHTTPS | Ключ никогда не покидает ваш браузер |
| Пользователи Google Cloud | Google Trust Services | Нативная интеграция |
Наша рекомендация
Для большинства сайтов: Let’s Encrypt — явный победитель.
- 63,9% мировой рыночной доли — проверенный стандарт
- Без ограничений, без навязывания платных услуг, без условий
- Огромная экосистема инструментов
Используйте GetHTTPS в качестве клиента, если хотите:
- Нулевую установку (только браузер)
- Приватный ключ, сгенерированный локально в вашем браузере
- Прямое подключение к Let’s Encrypt, без посредников
- Предварительную проверку перед отправкой challenge
Избегайте инструментов, которые генерируют ваш приватный ключ на своём сервере. Если провайдер имеет ваш ключ — шифрование скомпрометировано на корню.
Часто задаваемые вопросы
Бесплатные SSL-сертификаты так же безопасны, как платные?
Да. Все SSL-сертификаты — бесплатные или платные — используют одно и то же TLS-шифрование. Бесплатный DV-сертификат от Let’s Encrypt обеспечивает идентичную стойкость шифрования по сравнению с EV-сертификатом за $500. Разница в уровне валидации (DV/OV/EV), а не в шифровании. Полное сравнение →
Почему некоторые провайдеры ограничивают бесплатные сертификаты до 3?
Бизнес-модель. Коммерческие CA (ZeroSSL/Sectigo) используют бесплатный тариф как маркетинговую воронку для платных планов. Let’s Encrypt как некоммерческая организация не имеет стимула ограничивать выпуск.
Cloudflare SSL — это «настоящий» сертификат?
Cloudflare выпускает настоящий сертификат для вашего домена — но он находится на серверах Cloudflare, а не на ваших. Ваши посетители получают зашифрованные соединения с Cloudflare, но соединение между Cloudflare и вашим origin-сервером — это отдельная история (и оно может быть незашифрованным в режиме «Flexible»). Вы не владеете и не контролируете сертификат. Подробнее →
Что произойдёт, когда срок действия сократится до 47 дней в 2029 году?
CA/Browser Forum проголосовал за сокращение максимального срока действия до 47 дней. Это затронет всех провайдеров одинаково. Автоматическое продление (Certbot, acme.sh, AutoSSL хостинга) станет обязательным. Для ручных процессов (GetHTTPS) придётся продлевать каждые ~30 дней.
Можно ли использовать нескольких провайдеров одновременно?
Да. Вы можете использовать Let’s Encrypt для основного сайта, Cloudflare для сайта за CDN и ACM для балансировщика нагрузки AWS. Сертификаты от разных CA не конфликтуют.
Какой бесплатный провайдер лучше всего для WordPress?
Встроенный SSL вашего хостинг-провайдера — самый простой вариант. Если ваш хостинг его не включает, используйте GetHTTPS для получения сертификата Let’s Encrypt и установите через cPanel. Полное руководство по SSL для WordPress →
Как переключиться между провайдерами?
Сгенерируйте новый сертификат от нового провайдера и замените файлы на сервере. Никакой миграции, никакой координации со старым провайдером. Сертификаты независимы — замена одного на другой — это просто замена файлов.
Достаточно ли надёжен Let’s Encrypt для продакшна?
Да. Let’s Encrypt обслуживает 63,9% рынка и поддерживается хорошо финансируемой некоммерческой организацией (ISRG) со спонсорами, включая Google, Mozilla, Meta и Cisco. Крупные компании, государственные организации и миллионы продакшн-сайтов полагаются на него. Он финансово стабильнее многих коммерческих CA.