Let’s Encrypt — это бесплатный, автоматизированный, некоммерческий удостоверяющий центр (CA), который выдает SSL/TLS-сертификаты бесплатно. Это крупнейший CA в мире с 63,9% долей рынка, выдавший более 1 миллиарда сертификатов с момента запуска в 2016 году.
Let’s Encrypt управляется Internet Security Research Group (ISRG) при поддержке Mozilla, Google, EFF, Facebook и других.
Как работает Let’s Encrypt
Let’s Encrypt использует протокол ACME (Automated Certificate Management Environment, RFC 8555) для автоматизации выдачи сертификатов:
- Подтвердите владение доменом — выполните challenge (HTTP-01 или DNS-01), чтобы доказать, что вы контролируете домен
- Отправьте CSR — ваш ACME-клиент отправляет запрос на подпись сертификата с вашим открытым ключом
- Получите сертификат — Let’s Encrypt подписывает и возвращает цепочку сертификатов
- Установите и обновляйте — разверните сертификат; обновляйте каждые 90 дней
Весь процесс автоматизирован — ни писем, ни бумаг, ни оплаты. ACME-клиенты, такие как GetHTTPS, Certbot и acme.sh, обрабатывают протокол за вас.
Почему это бесплатно
Миссия Let’s Encrypt — сделать HTTPS повсеместным. Модель финансирования:
- Спонсируется крупными технологическими компаниями (Google, Mozilla, Meta, Cisco, EFF и др.)
- Эксплуатационные расходы невелики — практически все автоматизировано
- Нет службы поддержки для отдельных пользователей — только форум сообщества
- Выдает только DV-сертификаты — не требуется сложная проверка личности
Это не «бесплатно с подвохом». Нет платных тарифов, навязывания дополнительных услуг, ограничений для принуждения к платному плану. Это бесплатно, потому что шифрование должно быть базовым стандартом, а не роскошью.
Лимиты
Let’s Encrypt имеет лимиты для предотвращения злоупотреблений, но они достаточны для любого легитимного использования:
| Лимит | Значение | Примечания |
|---|---|---|
| Сертификатов на зарегистрированный домен | 50 в неделю | Охватывает example.com и все поддомены |
| Дублирующие сертификаты | 5 в неделю | Тот же набор доменных имен |
| Неудачные валидации | 5 в час | На аккаунт, на хостнейм |
| Новые регистрации | 10 на IP за 3 часа | Создание ACME-аккаунтов |
| Незавершенные авторизации | 300 на аккаунт | Одновременные незавершенные challenge |
Для тестирования используйте тестовую среду Let’s Encrypt — у нее значительно более высокие лимиты, и она выдает тестовые сертификаты (не доверенные браузерами).
Чего Let’s Encrypt не предлагает
- OV/EV-сертификаты — только Domain Validation (DV)
- Выделенная поддержка — только форум сообщества
- Гарантия — нет финансовой гарантии от ошибочной выдачи
- Панель управления сертификатами — для этого есть ACME-клиенты
- Сертификаты дольше 90 дней — по замыслу (короткий срок действия ограничивает последствия компрометации ключа)
Для большинства сайтов ничего из этого не требуется. DV-сертификаты обеспечивают такое же шифрование, как OV/EV. Сравнение Let’s Encrypt с платным SSL →
Как использовать Let’s Encrypt
Вы не взаимодействуете с Let’s Encrypt напрямую — вы используете ACME-клиент:
| Клиент | Как работает | Лучше всего для |
|---|---|---|
| GetHTTPS | В браузере, без установки, ключ остается локально | Быстрые сертификаты без доступа к серверу |
| Certbot | CLI-инструмент, автообновление, интеграция с сервером | Производственные серверы с root-доступом |
| acme.sh | Shell-скрипт, без root | Легковесная CLI-альтернатива |
| Caddy | Встроенный ACME, автоматический HTTPS | Пользователи веб-сервера Caddy |
Полное сравнение бесплатных SSL-инструментов →
Часто задаваемые вопросы
Let’s Encrypt безопасен?
Да. Сертификаты Let’s Encrypt используют те же криптографические стандарты, что и платные сертификаты. Им доверяют все основные браузеры и операционные системы. Более 300 миллионов активных сертификатов защищают значительную часть интернета.
Почему 90-дневные сертификаты?
Короткий срок действия ограничивает ущерб при компрометации закрытого ключа — злоумышленник может использовать украденный ключ только до истечения сертификата. Это также стимулирует автоматизацию, которая надежнее ручного обновления. Примечание: CA/Browser Forum движется к 47-дневному сроку для всех CA к 2029 году.
Можно ли использовать Let’s Encrypt для коммерческих сайтов?
Да. Нет ограничений на коммерческое использование. Сертификаты Let’s Encrypt используются крупными компаниями, SaaS-продуктами и интернет-магазинами. Лицензия не накладывает ограничений на использование.
Что произойдет, если Let’s Encrypt перестанет работать?
Существующие сертификаты продолжают работать до истечения срока — они не обращаются к серверу. Вы просто не сможете выпустить или обновить сертификат во время сбоя. У Let’s Encrypt отличная статистика аптайма, и он поддерживается хорошо финансируемыми спонсорами. Если вас это беспокоит, обновляйте сертификаты заблаговременно (на 60-й день из 90).
Let’s Encrypt поддерживает wildcard-сертификаты?
Да. Wildcard-сертификаты (*.example.com) поддерживаются через DNS-01 challenge. Нужно добавить TXT-запись в DNS вашего домена для подтверждения владения.
Let’s Encrypt в цифрах
| Показатель | Значение |
|---|---|
| Активных сертификатов | 300+ миллионов |
| Доля мирового рынка CA | 63,9% |
| Всего выдано сертификатов | 1+ миллиард |
| Тип сертификата | Только DV |
| Срок действия | 90 дней |
| Стоимость | Бесплатно |
| Спонсоры | Google, Mozilla, Meta, Cisco, EFF, Akamai и другие |
| Основан | 2013 (ISRG), публичный запуск 2016 |
| Протокол | ACME (RFC 8555) |
| Корневой CA | ISRG Root X1 |
Почему некоторые не доверяют Let’s Encrypt (и почему они неправы)
«Бесплатное = менее безопасное» — стойкость шифрования определяется спецификацией TLS, а не CA. Все CA используют одни и те же алгоритмы. Сравнение бесплатного и платного →
«Нет гарантии = рискованно» — гарантии CA покрывают ошибки ошибочной выдачи CA, а не взлом вашего сайта. Ни одна значительная гарантийная выплата не была публично задокументирована.
«90-дневные сертификаты = ненадежно» — короткий срок действия — это функция безопасности, а не ограничение. Автоматическое обновление (Certbot) делает это незаметным.
«Фишинговые сайты используют Let’s Encrypt» — верно, но фишинговые сайты также используют платные сертификаты. DV-сертификаты подтверждают контроль домена, а не легитимность сайта. Это по замыслу — шифрование защищает данные при передаче независимо от намерений сайта.