Сертификаты Let’s Encrypt действительны 90 дней. Рекомендуется продлевать до 60-го дня, чтобы оставить запас. Вот как продлить с помощью GetHTTPS (вручную) и Certbot (автоматически).
Метод 1: Продление через GetHTTPS (вручную)
Повторите те же шаги, которые вы использовали для получения исходного сертификата:
- Перейдите на gethttps.com/app/setup
- Введите те же домен(ы)
- Пройдите HTTP-01 или DNS-01 проверку (как и раньше)
- Скачайте новые файлы сертификата
- Замените старые файлы на сервере:
sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem sudo systemctl reload nginx # или apache2/httpd
Время: 2-3 минуты, когда вы уже делали это раньше.
Когда использовать: У вас нет доступа к серверу для установки Certbot, вы управляете небольшим количеством доменов или предпочитаете не устанавливать программное обеспечение.
Метод 2: Автоматическое продление с Certbot
Если Certbot установлен на вашем сервере, продление происходит автоматически:
# Проверьте, настроено ли автопродление
sudo systemctl list-timers | grep certbot
# Тестовый запуск вхолостую
sudo certbot renew --dry-run
# Принудительное продление сейчас
sudo certbot renew
Таймер systemd (или cron-задание) Certbot запускается дважды в день и продлевает сертификаты в течение 30 дней до истечения срока.
Когда использовать: У вас есть root-доступ к серверу и вы хотите автоматическое продление без вмешательства.
Как проверить, когда истекает ваш сертификат
# Проверка с сервера
openssl x509 -noout -enddate -in /etc/ssl/gethttps/fullchain.pem
# Проверка удалённо
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate
Пример вывода: notAfter=Aug 5 12:00:00 2026 GMT
Установите напоминание
- День 0: Сертификат выпущен (действителен 90 дней)
- День 60: Продление (рекомендуется --- 30-дневный запас)
- День 90: Сертификат истекает --- сайт показывает предупреждение безопасности
Установите напоминание в календаре на 60-й день. Если вы управляете несколькими доменами, используйте сервис мониторинга для оповещений о приближающихся истечениях.
Пошаговое продление с GetHTTPS
Вот точный процесс для ручного продления:
-
Проверьте текущий срок действия (необязательно, но полезно):
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -enddate -
Перейдите на gethttps.com/app/setup
-
Введите те же домен(ы), что и в исходном сертификате
-
Пройдите проверку --- так же, как в первый раз:
- HTTP-01: разместите новый файл-токен на сервере
- DNS-01: обновите TXT-запись
_acme-challengeновым значением
-
Скачайте новые файлы сертификата
-
Замените на сервере:
sudo cp fullchain.pem /etc/ssl/gethttps/fullchain.pem sudo cp privkey.pem /etc/ssl/gethttps/privkey.pem -
Перезагрузите веб-сервер (именно reload, а не restart --- reload подхватывает новые файлы без разрыва существующих соединений):
sudo systemctl reload nginx # Nginx sudo systemctl reload apache2 # Apache/Debian sudo systemctl reload httpd # Apache/CentOS -
Проверьте, что новый сертификат активен:
echo | openssl s_client -connect yourdomain.com:443 -servername yourdomain.com 2>/dev/null | openssl x509 -noout -dates
Общее время: 2-3 минуты, когда вы уже делали это раньше.
Сравнение продления: вручную vs автоматически
| GetHTTPS (вручную) | Certbot (автоматически) | |
|---|---|---|
| Затраты времени на продление | 2-3 минуты | Ноль (cron-задание) |
| Доступ к серверу | Только для замены файлов | Полный доступ (root) |
| Обнаружение сбоев | Вы замечаете, когда сайт ломается | Логи Certbot + может отправить email при ошибке |
| Лучше всего для | 1-5 доменов, без root-доступа | Продакшен-серверы, много доменов |
| Риск забыть | Средний (установите напоминания!) | Низкий (автоматизировано) |
Для продакшен-серверов с root-доступом настройте Certbot для автоматического продления. Для окружений без root-доступа ручное продление через GetHTTPS --- единственный вариант.
Будущее с 47-дневными сертификатами
CA/Browser Forum проголосовал за сокращение максимального срока действия сертификатов:
| Дата вступления в силу | Максимальный срок действия |
|---|---|
| Текущий | 90 дней (Let’s Encrypt) |
| Март 2026 | 200 дней |
| Март 2027 | 100 дней |
| Март 2029 | 47 дней |
К 2029 году вам нужно будет продлевать примерно каждые 30-35 дней. Это делает автоматическое продление (Certbot) всё более важным. Для ручных процессов (GetHTTPS) рекомендуется настроить более частые напоминания.
Часто задаваемые вопросы
Можно ли продлить до истечения сертификата?
Да. Let’s Encrypt позволяет продление в любое время. Новый сертификат начинает действовать заново с новым 90-дневным сроком. Досрочное продление не тратит оставшееся время --- оно просто заменяет старый сертификат.
Нужно ли заново проходить проверку каждый раз?
Да. Каждое продление требует новой проверки владения доменом. Это мера безопасности --- она подтверждает, что вы по-прежнему контролируете домен.
Приведёт ли продление к простою?
Нет, если сделать правильно. Загрузите новые файлы и выполните reload (не restart) веб-сервера. nginx -s reload и apachectl graceful применяют новые сертификаты к новым соединениям без разрыва существующих.
Можно ли использовать GetHTTPS для первого сертификата, а Certbot для продления?
Да. Файлы сертификатов имеют стандартный формат PEM. Вы можете сгенерировать первый сертификат с GetHTTPS, а затем установить Certbot для автоматического продления. Они не конфликтуют. Подробное сравнение ->
Что делать, если я пропустил срок продления и сертификат истёк?
Ваш сайт покажет предупреждение безопасности в браузере, но исправить это просто: перейдите на GetHTTPS, получите новый сертификат, замените файлы, перезагрузите сервер. Занимает 5 минут. Let’s Encrypt не накладывает штрафов за истечение сертификата --- просто получите новый.
Нужно ли использовать ту же пару ключей при продлении?
Нет. GetHTTPS каждый раз генерирует новую пару ключей, что на самом деле является лучшей практикой безопасности (ротация ключей). Серверу всё равно, использует ли новый сертификат другой ключ --- просто замените и fullchain.pem, и privkey.pem одновременно.
Как продлить wildcard-сертификат?
Тот же процесс, что и при первоначальном выпуске: откройте GetHTTPS, введите *.example.com, добавьте новую TXT-запись _acme-challenge в DNS, подтвердите, скачайте. Каждый раз нужен доступ к DNS, потому что wildcard-сертификаты требуют DNS-01.