Tak. Let’s Encrypt zapewnia TLS/HTTPS dla stron i usług bez konieczności kupowania certyfikatu i w praktyce wystarcza w większości scenariuszy, jeśli zastosujesz automatyczne odnowienie oraz dobre praktyki konfiguracji.
Co to jest i jak działa Let’s Encrypt
- Rodzaj certyfikatu: domenowy (DV) certyfikat, potwierdzający kontrolę nad domeną.
- Automatyzacja: certyfikaty wydawane i odnawiane za pomocą protokołu ACME przez klienta na serwerze.
- Okres ważności: certyfikaty mają krótki czas życia i wymagają regularnej odnowy.
- Wsparcie: obsługiwane przez przeglądarki i większość systemów operacyjnych.
Kluczowe cechy
- Wildcard dla całej domeny i wszystkich subdomen.
- Wiele nazw w jednym certyfikacie (SAN) dla wielu subdomen.
- Szybka i powszechnie akceptowana lista zaufanych CA.
Kiedy darmowy SSL jest wystarczający
- Publiczne strony internetowe, blogi i małe firmy.
- Proste aplikacje webowe i API z bezpiecznym ruchem HTTPS.
- Środowiska testowe i staging z minimalnym ryzykiem konfiguracji.
- Wewnętrzne usługi udostępnione w sieci zewnętrznej lub VPN.
Ograniczenia i typowe pułapki
- Krótki czas życia certyfikatu: 90 dni; wymaga automatyzacji odnowy.
- DV, nie OV/EV: nie potwierdza tożsamości organizacji w certyfikacie.
- Ograniczenia wydawnicze: istnieją limity wydawania certyfikatów na domenę w określonym czasie.
- Wymóg poprawnej weryfikacji domen: konieczność dostępności serwera w procesie weryfikacji ACME.
Jak dobrze skonfigurować Let’s Encrypt
- Wybierz klienta ACME (np. Certbot, acme.sh, lego).
- Zainstaluj certyfikat i skonfiguruj automatyczne odnowienie.
- Włącz wymuszanie HTTPS i przekierowanie z HTTP na HTTPS (301).
- Włącz HSTS i ogranicz TLS do nowoczesnych wersji (1.2/1.3).
- Włącz OCSP stapling, jeśli to możliwe, i sprawdź konfigurację serwera.
- Przetestuj konfigurację pod kątem bezpieczeństwa i zgodności (np. grades i poprawne łańcuchy certyfikatów).
Najważniejsze praktyki bezpieczeństwa
- Wymuś HTTPS i używaj stałego przekierowania z HTTP na HTTPS.
- Uzupełnij HSTS (most secure headers) i rozważ preloading dla lepszej ochrony.
- Wyłącz stare protokoły i słabe szyfry – ogranicz TLS do wersji 1.2+ i preferuj TLS 1.3.
- Regularnie sprawdzaj konfigurację i monitoruj odnowienia certyfikatów.
- Uwzględnij certyfikaty dla usług pocztowych – TLS w SMTP może wymagać odpowiedniej konfiguracji.
Dodatkowe uwagi
- Wildcard i SAN umożliwiają ochronę wielu domen w jednym certyfikacie.
- Let’s Encrypt obejmuje szerokie wsparcie dla serwerów WWW i aplikacji internetowych.
- W przypadku skomplikowanych środowisk warto dokumentować procesy odnowy i awarii.
Często Zadawane Pytania
Czy Let’s Encrypt wystawia certyfikaty DV?
Tak, Let’s Encrypt wystawia domenowe certyfikaty DV potwierdzające kontrolę nad domeną.
Jak długo ważny jest certyfikat Let’s Encrypt?
Certyfikaty Let’s Encrypt są ważne 90 dni i wymagają automatycznego odnowienia.
Czy mogę certyfikat Let’s Encrypt użyć dla wielu subdomen?
Tak, można użyć certyfikatu SAN, który obejmuje wiele subdomen, lub certyfikatu wildcard.
Czy Let’s Encrypt oferuje certyfikaty wildcard?
Tak, Let’s Encrypt oferuje certyfikaty wildcard dla całej domeny i wszystkich subdomen.
Czy certyfikaty Let’s Encrypt są zaufane przez przeglądarki?
Tak, Let’s Encrypt jest powszechnie zaufany przez przeglądarki i systemy operacyjne.
Czy można odwołać certyfikat Let’s Encrypt?
Tak, certyfikaty mogą być odwołane, a proces odnowy pomaga utrzymać bezpieczeństwo.
Czy Let’s Encrypt nadaje certyfikaty dla serwerów mailowych?
Tak, można używać certyfikatów Let’s Encrypt na serwerach mailowych, jednak dotyczy to konfiguracji TLS w poczcie.
Jakie są ograniczenia Let’s Encrypt?
Ograniczenia obejmują limity wydawania certyfikatów na domenę w określonym czasie i konieczność automatyzacji odnowy.