Letsencrypt org в чем опасность

О проекте Let’s Encrypt

Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр сертификации (ЦС), работающий на благо общества. Это сервис, предоставляемый Исследовательской группой по безопасности Интернета (ISRG).

Мы помогаем людям выпускать SSL/TLS сертификаты для их сайтов с доступом по HTTPS, бесплатно, максимально облегчая процесс выдачи. Потому что хотим сделать интернет безопасным, и уважающим конфиденциальность его пользователей.

О наших успехах за последний год вы можете узнать, скачав наш годовой отчёт.

Ключевые принципы Let’s Encrypt:

Бесплатность: Любой владелец домена может использовать Let’s Encrypt для получения SSL/TLS сертификатов, не тратя ни копейки.
Автоматизированность: Программное обеспечение, запущенное на веб-сервере, может взаимодействовать с Let’s Encrypt и само позаботится о получении, безопасной настройке и обновлении сертификата.
Безопасность: Let’s Encrypt будет платформой для передовых технологии в области безопасности TLS, и на стороне ЦС, и помогая владельцам сайтов защищать их серверы.
Прозрачность: Все выданные или отозванные сертификаты будут сохранены открыто и доступно для любых проверок.
Открытость: Протокол автоматического выпуска и обновления сертификатов опубликован как открытый стандарт, готовый для использования другими.
Взаимодействие: Подобно лежащим в основе Интернета протоколам, Let’s Encrypt — это результат совместных усилий на благо сообщества, неподконтрольных какой-либо одной организации.

У нас есть страница с более подробной информацией о том, как работает ЦС Let’s Encrypt.

Помогите сделать Интернет безопасным и уважающим вашу конфиденциальность.

Let’s Encrypt — это бесплатный, автоматизированный и открытый Центр Сертификации, созданный для вас некоммерческой организацией Internet Security Research Group (ISRG).

548 Market St, PMB 77519 , San Francisco , CA 94104-5401 , USA

Все письма и запросы отправляйте по адресу:

PO Box 18666 , Minneapolis , MN 55418-0666 , USA

GitHub
Twitter
Mastodon

Мнение: использовать Let’s Encrypt — плохая идея

Let’s Encrypt помогает быстро и бесплатно получить SSL-сертификат. Разбираемся, почему он при этом может угрожать безопасности всей системы сертификации.

Прим. ред. Это перевод одной из точек зрения о сервисе Let’s Encrypt. Мнение редакции может не совпадать с мнением автора оригинала.

Будет сайт отображаться в результатах поиска Google или нет зависит от того, использует ли сайт SSL (англ. Secure Sockets Layer). Или, проще говоря, начинается ли адрес сайта с «https».

Чтобы распространить использование SSL в интернете, участники веб-отрасли создали Let’s Encrypt — сервис, предоставляемый исследовательской группой по интернет-безопасности (ISRG). Сервис взлетел, а крупные хостинг-провайдеры начали создавать инструменты для автоматического получения и установки SSL на сайтах. Звучит как прорыв в кибер-безопасности!

Общая информация об SSL-сертификации

Сердцем шифрования является ключ шифрования. Представьте на минуту, что у вас есть реально большой замок, способный выдержать выстрел из винтовки 50 калибра. Но это не поможет, если у какого-нибудь злодея окажется ключ.

Цифровая аналогия — это криптографическая стойкость сертификата, используемого для шифрования трафика с сайта. По аналогии с замком и винтовкой, если у злодея появляется приватный ключ, с помощью которого был сгенерирован SSL-сертификат, криптографическая стойкость уже не имеет никакого значения.

Существует достаточно центров сертификации (CAs), предоставляющих SSL-сертификаты, и у каждого из них есть своя «Система Управления Ключами» (KMS). Такие центры обращаются к производителям операционных систем, таким как Microsoft, Apple и Google, чтобы поместить свои коренные сертификаты в список доверенных сертификатов их ОС.

SSL-сертификат сайта tproger.ru выдан компанией CloudFlare. Если её система управления ключами будет скомпрометирована, то все её сертификаты нужно будет перевыпустить. Однако, если такой атаке подвергнется любой другой центр сертификации, то на сайте tproger.ru это никак не отразится.

Чем больше сайтов получат защиту от Let’s Encrypt, тем больше становится потенциальная угроза. Ведь в случае атаки на их системы будет страдать всё больше и больше сайтов. Сейчас Let’s Encrypt выбирают по принципу «сделал и забыл». Если сертификат будет отозван и никто не обратит на это внимание, то трафик сайта начнёт стремительно падать. Кстати, именно из-за истёкшего сертификата, на который никто не обращал внимание, в Equifax (американском бюро кредитной истории) в течение нескольких месяцев не знали, что они были взломаны.

«Сделал и забыл» — возможно, не лучшая идея в кибер-безопасности.

Что такое TLS-рукопожатие и как оно устроено

Опасность компрометации KMS

Чтобы понять, почему проблема с Let’s Encrypt важна, представьте себя где-то между сайтом компании и его посетителями. Вы можете перехватывать весь трафик, а если у вас есть закрытые ключи из центра сертификации (например Let’s Encrypt), вы сможете расшифровывать трафик сайтов, используя их сертификаты. Но это не самое худшее: из-за того, что вы находитесь как бы между сайтом и конечным получателем трафика, вас не так просто обнаружить стандартными способами. Вы не обязательно должны находиться в сети сервера сайта или же в одной сети с посетителем — вы где-то посередине, с «ключами от всех дверей». Заманчивая картинка для любого злоумышленника.

Как попасть в такое место? Самый простой и вероятный способ мало связан с технологиями. Вам просто нужно внедрить своего человека в компанию, выдающую сертификаты (а именно в то подразделение, которое отвечает за систему управления ключами). И тут нужно задать самый главный вопрос.

Кто пострадает от компрометации KMS?

Первым делом страдает сам центр сертификации и его репутация. Если такая организация позиционируется как публичная, её инвесторы «ухудшат» своё портфолио. А следовательно, вероятнее всего, на такую компанию обрушится лавина исков акционеров, руководство будет уволено, а доверие к центру сертификации — значительно подорвано, что может даже поставить крест на его существовании. Достаточные последствия, чтобы предпринимать максимум усилий, чтобы их избежать.

Кто же пострадает в случае Let’s Encrypt?

У этой компании нет «владельцев», она не для коммерческого использования. У неё нет дохода, т. к. сертификаты выдаются бесплатно. В таком случае никто не проиграет и не понесёт убытки.

Выводы

Чем больше бизнес уходит в интернет, тем больше бизнесменов хотят использовать решения «сделал и забыл», в том числе для защиты данных их пользователей. И вот мы имеем растущую популярность сервиса с одной стороны и отсутствие какой-либо ответственности за безопасность сертификатов с другой. Всё вместе это может привести к катастрофе, когда личные данные пользователей тысяч сайтов будут получены злоумышленниками.

Что делать стартапам и маленьким компаниям?

Жестокая правда в том, что простого решения не существует, поэтому стоит придерживаться нескольких правил, чтобы обеспечить безопасность сайта и его пользователей:

Избегайте манящих вывесок «бесплатно» и «удобно». Основные центры сертификации имеют различные инструменты или техническую поддержку для выпуска SSL-сертификата. Обычно эта же поддержка помогает вам с установкой сертификата. Должна быть проверка на владение доменом (иногда она обоснованно громоздкая). Обратите внимание на страховку от нарушений, которую центр предлагает в дополнение к своим услугам.
Если ваш сайт размещён хостинговой компанией, то обратите внимание, на кого накладывается ответственность с точки зрения кибер-безопасности. Скорее всего, вам понадобятся ряд инструментов для создания «запроса подписи сертификата» (CSR).
Если вы заключаете контракт на разработку и обслуживание сайта, спросите поставщика, заботится ли он о кибер-страховании. Попросите поставщика предоставить доказательства того, что он покроет убытки в случае, если их ошибки и недоработки приведут ко взлому или нарушению работы вашего сайта.

SSL-сертификат Let’s Encrypt и позиции сайта

Приветствую всех форумчан. Если тему продублирую не серчайте. Поискал на форуме, но точного ответа не нашел. Решил вот я попробовать подключить на сайты новомодные push-уведомления. Но там крайне желателен SSL-сертификат. Однако у меня он только на одном сайте есть, на остальных нету. Хочу подключить бесплатный вариант Let’s Encrypt, тем более, что на хостингах там все довольно просто делается. Но очень пугает один момент — если я его подключу и сайт станет работать по https, не пойдут ли все страницы сайтов на переиндексацию? Ведь это потеря позиций. Если да, то сертификат того просто не стоит. Всем спасибо.

Google: такой сигнал, как HTTPS, не стоит игнорировать
Темой нового выпуска Google Lightning Talks стал HTTPS
Помощь в фильтрации ботов через CloudFlare

На сайте с 16.03.2012
10 октября 2018, 17:43

Серьезно искали и не нашли такой темы?

Если вы ставите сертификат только ради говнопушей, действительно лучше этого не делать.

На сайте с 07.11.2008
10 октября 2018, 18:49

Izzz:
Но очень пугает один момент — если я его подключу и сайт станет работать по https, не пойдут ли все страницы сайтов на переиндексацию? Ведь это потеря позиций. Если да, то сертификат того просто не стоит.

Риск действительно есть. Но взгляните на ситуацию с другой стороны: пока вы сидите на http, ваши конкуренты переходят на https. А новые сайты так вообще сразу на нём стартуют. Так что переход лишь вопрос времени.

Инструкций по безопасному переходу в интернете хватает. Есть даже инструкции от яндекса.

Услуги посредника на бирже контента: информационные статьи 40₽/1000, «продающие» тексты 50₽/1000. Пишите в личку. Помогаю правильно переехать на https (/ru/forum/973447). Подписывайтесь на мой канал в телеграм: https://t.me/fladex (https://t.me/fladex).

На сайте с 17.09.2015
10 октября 2018, 20:08

Учтите, что сертификаты Let’s Encrypt не поддерживают поддомены, не работают на старых версиях Windows и браузеров. Хотите пополнить ряды свидетелей https — флаг в руки.

На сайте с 16.03.2012
10 октября 2018, 20:19

fliger, Неправда.

По поводу браузеров и ОС — покрывают все, что нужно покрывать. Если кто-то сидит на ИЕ6, это его проблемы.

Прочитал про секту и пожалел, что начал отвечать вам. С такими лучше не вступать в диалог совсем.

На сайте с 06.01.2009
10 октября 2018, 20:26

От меня глупый вопрос. А ссылочное отваливается при переезде с http на https ?

Вероятно оно подклеится через 301й, но уже не так все равно будет работать. Удивляет то, что в некоторых темах показывают скрины, где траф растет после переезда, а не падает.

На сайте с 16.03.2012
10 октября 2018, 20:35

Да потому что не падает ничего. Если руки и голова на месте.

На сайте с 11.03.2012
10 октября 2018, 20:50
fliger:
Учтите, что сертификаты Let’s Encrypt не поддерживают поддомены
fliger:
не работают на старых версиях Windows и браузеров

А что, ie 6 под windows 98 кто-то еще пользуется?

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!

На сайте с 06.01.2009
10 октября 2018, 21:04

Нужен ли SSL. Если вы собираете важные личные данные посетителей сайта – такие как номера банковских карточек – то однозначно да.

Но до конца не понял.

А если форма подбора товара куда пользователь вводит название/артикул/цвет/все что угодно ?

На сайте с 30.09.2016
10 октября 2018, 21:51

postavkin:
А если форма подбора товара куда пользователь вводит название/артикул/цвет/все что угодно ?

Если «все что угодно» — это персональные данные (такие, как номера банковских карточек). Размер трусов к важным персональным данным не относится.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
На сайте с 14.11.2011
10 октября 2018, 23:16

Izzz:
. Хочу подключить бесплатный вариант Let’s Encrypt, тем более, что на хостингах там все довольно просто делается.
Но очень пугает один момент — если я его подключу и сайт станет работать по https, не пойдут ли все страницы сайтов на переиндексацию? Ведь это потеря позиций. Если да, то сертификат того просто не стоит.

Просто включи его, поставь ссылку с главной на себя но с https — и ничего плохого не произойдет.

Пройдет время, часть страниц уже будут с «s» и перестанешь опасаться.

Про потерю позиций вообще не очень понятно, если конечно с редиректами не накосячить. Именно с ними лучше позже и аккуратнее.

Кстати, у одного из хостеров был когда-то очень редкий глюк, просто поддержка некоторых этих бесплатных сертификатов слетела, и у сайтов траф просел. Это очень большая редкость, но такое было.

В любом случае, ПС отдают предпочтение урлу с https.

Безопасный серфинг по сети уже в приоритете. Так что нужно переходить. Здесь об этом давно писали и много раз.

Руководство по интеграции

Документ будет полезен хостинг-провайдерам, интеграторам и разработчикам клиентского ПО для Let’s Encrypt.

Планирование изменений

И Let’s Encrypt, и технология Web PKI продолжают развиваться. Нужно быть готовыми к необходимым обновлениям сервисов, которые использует Let’s Encrypt. Особое внимание уделяйте регулярному обновлению исходного кода ACME-клиентов.

Нами запланированы следующие изменения:

корневой и промежуточный сертификаты, на основании которых выпускаются сертификаты
алгоритм хэширования для подписи сертификатов
типы ключей и проверок ключей, для подписи сертификатов
и сам протокол ACME

Аналогично, мы меняем URL ссылки на условия использования сервиса (terms of service, ToS) сразу после их обновления. Избегайте явного указания URL для ToS в исходном коде ACME-клиентов, вместо этого используйте содержимое заголовка Link: rel=»terms-of-service» из ответа от серверов Let’s Encrypt.

Аналогичным образом, мы можем изменить URL условий предоставления услуг (ToS) по мере его обновления. Рекомендуем использовать содержимое заголовка Link: rel=»terms-of-service» из ответа серверов Let’s Encrypt.

Также потребуется поддерживать в актуальном состоянии TLS-конфигурацию, для противодействия вновь найденным уязвимостям в наборах шифров или версиях TLS-протокола.

Уведомления об изменениях

Для получения кратких уведомлений о важных изменениях (таких, как описано выше), подпишитесь на группу рассылки API Announcements. Рекомендуется как разработчикам клиентского ПО, так и хостинг-провайдерам.

Для получения развёрнутой информации о сервисе, посетите нашу страницу текущего состояния, и нажмите кнопку Subscribe справа вверху. Рекомендуется хостинг-провайдерам.

Убедитесь, что указан верный адрес электронной почты для ACME-аккаунта. Мы используем этот адрес для отправки уведомлений об истечении срока действия выпущенных сертификатов, а также для взаимодействия с вами в случае специфичных проблем.

Кто такой “Подписчик”

В нашем Соглашении, под термином “Подписчик” мы понимаем любого владельца закрытого ключа для сертификата. Если вы — хостинг-провадер, то подписчиком являетесь вы, а не ваши клиенты. Если вы разрабатываете клиентское ПО, которое пользователь разворачивает и настраивает самостоятельно, то подписчиком будет пользователь, и т.д.

Адрес электронной почты, указываемый при создании аккаунта Let’s Encrypt (он же “регистрация”) должен принадлежать Подписчику. Мы используем этот адрес для отправки предупреждений об истечении срока действия сертификатов, и уведомлений об изменении нашей политики конфиденциальности. Если вы — хостинг-провайдер, эти уведомления должны приходить к вам, а не к вашим клиентам. Идеально было бы настроить список рассылки, чтобы несколько сотрудников могли получать от нас уведомления в ваше отстутствие.

Другими словами, если вы — хостинг-провайдер, вам не нужно передавать нам адреса электронной почты ваших клиентов, или ознакомлять их с политикой конфиденциальности. Вам достаточно выпустить сертификаты для доменов под вашим управлением, и тут же начать их использовать.

Один аккаунт или несколько?

Согласно протоколу ACME, для авторизации и выпуска сертификатов возможно использование как одного общего аккаунта для нескольких клиентов, так и индивидуальных аккаунтов для каждого клиента в отдельности. Это может быть полезным, например, для хостинг-провайдеров. Создание индивидуальных аккаунтов для клиентов, с последующим их раздельным хранением, поможет в ситуации, когда один или несколько аккаунтов скомпрометированы, но остальные аккаунты в безопасности.

Тем не менее, для большинства хостинг-провайдеров мы рекомендуем использовать один общий аккаунт для всех клиентов, с хорошо охраняемым закрытым ключом для него. Это облегчит определение, кому именно принадлежит тот или иной сертификат, упростит актуализацию контактной информации и управление ограничениями, при необходимости. Мы не сможем эффективно корректировать ограничения в случае использования индивидуальных аккаунтов для ваших клиентов.

Мультидоменные сертификаты (SAN)

Наша политика выпуска сертификатов ограничивает число доменных имён для одного сертификата — не более 100. Использовать ли вам отдельный сертификат для каждого доменного имени, или сгруппировать доменные имена для нескольких сертификатов — мы оставляем на ваше усмотрение.

Выпуск уникальных сертификатов на каждое доменное имя упрощает добавление или удаление доменов, по мере необходимости. Кроме того, отдельные сертификаты имеют минимальный размер, что ускоряет этап “рукопожатия” между браузером клиента и web-сервером в сетях с низкой пропускной способностью.

С другой стороны, если вы используете множество интерфейсов для сайтов, имеет смысл поддерживать небольшое количество серверов для выпуска сертификатов. Если вам нужно поддерживать старые клиенты, такие как Windows XP, которые не поддерживают TLS Server Name Indication (SNI), вам понадобится уникальный IP адрес для каждого сертификата, так что добавление большего количества имен на каждый сертификат уменьшает количество IP адресов, которые вам нужны.

В общем случае, оба варианта обеспечивают одну и ту же безопасность.

Хранение и повторное использование сертификатов и ключей

Особая ценность Let’s Encrypt — автоматический выпуск сертификата для нового сайта. Однако, если ваша инфраструктура предполагает создание новых интерфейсов для одного и того же сайта, целесообразнее использовать сертификат и закрытый ключ из долговременнного хранилища. Новый сертификат стоит выпускать в случае, когда имеющиеся сертификаты закончились, или истёк срок их действия.

Такой подход поможет Let’s Encrypt качественно предоставлять свои услуги как можно большему количеству клиентов. Вы же всегда сможете запустить свой новый сайт в любое удобное вам время, независимо от состояния сервисов Let’s Encrypt.

К примеру, всё чаще web-мастера используют Docker для создания новых инстансов для сайтов. Если вы настроите контейнеры Docker на выпуск сертификатов в момент старта, вместо использования сертификатов и ключей из долговременного хранилища, то, скорее всего, вы превысите ограничения на использование ресурсов Let’s Encrypt. В худшем случае, при пересоздании всех ваши инстансов одновременно, вы окажетесь в ситуации, когда ни один из инстансов не сможет получить сертификат, и ваш сайт окажется недоступным в течение нескольких дней, пока ограничения не будут сняты. Однако этот тип проблемы не является уникальным для ограничения скорости. Та же проблема возникнет, если по каким-либо причинам сервисы Let’s Encrypt будут недоступны.

Некоторые подходы к развёртыванию сайтов проповедуют хранение закрытых ключей строго на тех компьютерах, на которых они были созданы. Эта модель также совместима с Let’s Encrypt до тех пор, пока вы обеспечиваете длительное время работы ваших машин без перезагрузки, консистентность данных в хранилище, и отслеживаете момент наступления ограничений.

Выбор способа проверки

Если вы используете проверку http-01 ACME, вам необходимо обеспечить формирование ответа от всех интерфейсов перед уведомлением Let’s Encrypt о готовности пройти проверку. Если таких интерфейсов у вас много, задача будет непростой. В этом случае, разумнее выбрать проверку dns-01. Разумеется, если у вас несколько географически разнесённых DNS серверов, необходимо убедиться, что TXT-запись есть на каждом из них.

Кроме того, при использовании проверки dns-01 необходимо удалить старые TXT-записи, чтобы ответ на запрос Let’s Encrypt не оказался слишком большим.

Если же вы настаиваете на проверке http-01, возможно, вам пригодятся HTTP-редиректы. Вы можете настроить интерфейсы ваших сайтов на редирект адреса /.well-known/acme-validation/XYZ на validation-server.example.com/XYZ для любого XYZ. Это перенесёт ответственность за выдачу сертификатов на сервер валидации, так что позаботьтесь о его безопасности.

Центральные серверы валидации

Учитывая вышесказанное, если вы используете множество интерфейсов для сайтов, имеет смысл поддерживать небольшое количество серверов для выпуска сертификатов. Так будет проще организовать редирект для проверки http-01, и реализовать долговременное хранение ключей и сертификатов.

Реализация сшивания OCSP (OCSP Stapling)

Многие браузеры проверяют сертификат Let’s Encrypt с помощью OCSP, когда загружают сайт, что вызывает [проблему производительности и безопасности](https://blog.cloudflare.com/ocsp-stapling-how-cloudflare-just-made-ssl-30/). Это проблема производительности и конфиденциальности. В идеале, подключение к вашему сайту не должно ожидать результата дополнительного подключения к Let’s Encrypt. Кроме того, в запросах OCSP содержится информация о сайтах, которые посещают пользователи. Мы придерживаемся нашей политики конфиденциальности, и не сохраняем данные пользователей из OCSP-запросов, мы в принципе не нуждаемся в получении этих данных. Кроме того, расходы на трафик по обслуживанию OCSP-запросов для всех сайтов с сертификатом Let’s Encrypt составили бы значительную долю наших инфраструктурных издержек.

Настроив “OCSP-сшивание” на ваших web-серверах, вы улучшите производительность ваших сайтов, обеспечите конфиденциальность для ваших пользователей, и поможете Let’s Encrypt эффективнее обслуживать как можно больше клиентов.

Настройка брандмауера

Для работы Let’s Encrypt разрешите исходящий трафик для порта 443 на машинах с запущенным ACME-клиентом. Мы не публикуем IP-адреса наших ACME-сервисов, и, как правило, изменяем их без уведомления.

Для проверки http-01, разрешите входящий трафик для порта 80. Мы не публикуем IP-адреса для выполнения проверки, и. как правило, изменяем их без уведомления.

Обратите внимание: мы рекомендуем всегда настраивать HTTP-доступ до вашего web-сервера, с последующим редиректом на HTTPS. Для пользователей это будет лучше, чем сброc HTTP-соединения, при том же уровне безопасности.

Для всех проверок, разрешите входящий трафик на порт 53 (TCP и UDP) для ваших DNS-серверов.

Поддерживаемые алгоритмы шифрования

Let’s Encrypt принимает RSA-ключи длиной от 2048 до 4096 бит включительно, а также ECDSA ключи типа P-256 и P-384. Это верно и для ключей аккаунтов пользователей, и для ключей шифрования сертификатов, но использование ключей аккаунта для шифрования сертификата невозможно. Вы не можете повторно использовать ключ учетной записи в качестве ключа сертификата.

Мы рекомендуем использовать конфигурацию с двумя сертификатами, по-умолчанию предлагая RSA-сертификаты. ECDSA-сертификаты используются гораздо реже, и только для ACME-клиентов, обеспечивающих их поддержку.

HTTPS по-умолчанию

Для компаний, предоставляющих услуги хостинга, мы предлагаем автоматически выпускать сертификаты, и настраивать доступ по HTTPS для всех доменных имён в управлении. Дополнительно, необходимо дать пользователям возможность настраивать свою конфигурацию перенаправления с HTTP на HTTPS. По-умолчанию, HTTPS должен быть включен для всех создаваемых аккаунтов, и отключен для всех существующих аккаунтов.

Поясняем: существующие web-сайты, как правило, включают в себя дополнительные HTTP-ресурсы (скрипты, файлы стилей, изображения). Если эти сайты автоматически переключить на их HTTPS-версии, то браузеры могут заблокировать доступ к HTTP-ресурсам по причине смешанного контента (Mixed Content Blocking). Это может повлиять на работоспособность сайта. В то же время, разработчик нового сайта, скорее всего сразу организует доступ к ресурсами по HTTPS, т.к. недоступность доступа по HTTP будет замечена в процессе разработки.

Мы рекомендуем настраивать заголовок ответа сервера HTTP Strict-Transport-Security (HSTS) с параметром max-age, равным 60 дней по-умолчанию. Вместе с тем, необходимо помнить, что если клиент перенесёт свой сайт к хостинг-провайдеру без настроенного доступа по HTTPS, закэшированная браузерами пользователей настройка HSTS сделает сайт недоступным для них. Проблемы с заголовком HSTS считаются серьёзной угрозой безопасности. Пользователи обычно игнорируют предупреждения браузера о несовпадении введённого имени домена с именем домена в сертификате, или о просроченном сертификате, и нажимают кнопку “Продолжить”. В случае с заголовком HSTS, обойти предупреждение и получить доступ к сайту не удастся.

Когда обновлять сертификат

Мы рекомендуем настраивать автоматическое обновление сертификатов в последней трети их жизни. Для сертификатов Let’s Encrypt срок действия по-умолчанию 90 дней, таким образом, обновление необходимо выполнить спустя 60 дней после выпуска сертификата.

Если вы управляете сертификатами для более чем 10 000 доменных имён, мы рекомендуем выполнять обновление небольшими партиями, а не все сразу. Это снижает ваши риски: если сервисы Let’s Encrypt по какой-либо причине будут недоступны, или возникли проблемы в вашей инфраструктурой обновления — ущерб будет причинён небольшой части сертификатов, а не всему количеству. Кроме того, обновление по частям поможет лучше планировать загрузку оборудования.

Возможно, вы захотите массово выпустить сертификаты для всех доменов, что нормально. Но конкретные даты обновления сертификатов можно разнести на несколько дней — обновив сначала одну партию, на следующий день другую, и так далее.

Если вы настраиваете специальный скрипт обновления, то убедитесь, что его запуск выполняется в произвольно выбираемый момент времени, а не в конкретный. Это гарантирует, что на серверах Let’s Encrypt не будет серьёзных всплесков трафика. Т.к. нам необходимо обеспечить запас мощности для противодействия таким всплескам, их снижение поможет уменьшить наши издержки.

Повтор попыток при ошибках обновления

Ошибки обновления не стоит считать фатальными. Реализуйте логику повторных запросов на обновление, используя подход экспоненциального увеличения интервалов. К примеру, первая попытка запускается через минуту, вторая попытка — спустя десять минут, третья — спустя сто минут, четвёртая попытка планируется на следующий день. Разумеется, нужен механизм ручного повтора попыток обновления сертификатов для каждого домена в отдельности, или глобально.

Откат во время попыток обновления означает, что скрипт обновления отслеживает как удачные попытки, так и неудачные, и перед очередной попыткой проверяет наличие неудач в прошлом. Нет смысла бесконечно повторять попытки обновить сертификаты, если неудачи следуют одна за другой.

О всех ошибках обновления следует извещать ответственного администратора, для своевременного решения возникших проблем.