SSL не вечен: действует от 90 дней до 2 лет, потом нужно обновлять. В день истечения браузер показывает "NET::ERR_CERT_DATE_INVALID" и сайт практически не работает. Клиенты сразу уходят, в поиске падает рейтинг, теряются деньги. Правильная стратегия обновления — основа спокойного бизнеса.
Когда обновлять
Обновление начинается минимум за 30 дней до истечения. Этого времени хватает на валидацию, установку, тесты, решение возможных проблем. За 7 дней должно уже работать, в последний день оставлять нельзя. Let's Encrypt рекомендует за 30 дней, платные — за 30-60.
Как работает автоматическое обновление
Let's Encrypt и современные провайдеры поддерживают автообновление через ACME-протокол. Certbot или acme.sh работают в фоне на сервере, за 30 дней получают новый сертификат и ставят его в веб-сервер. Вмешиваться не нужно. Если автоматика не сработала (проблема с DNS, ошибка валидации), приходит уведомление на email или Telegram.
Процесс ручного обновления
Крупные сертификаты (EV, OV, мультидоменные) обновляются вручную. Сначала генерируется новый CSR (Certificate Signing Request) на сервере. Затем отправляется провайдеру, проходит валидация (документы компании или подтверждение домена), получаете новый сертификат. В конфиге сервера старый заменяется новым, веб-сервер перезапускается.
Старый и новый ключ
При обновлении два пути: сохранить старый приватный ключ или сгенерировать новый. С точки зрения безопасности правильнее каждый раз новый — если старый утёк, новый сертификат не подойдёт. Но для приложений с pinning это может быть проблемой. Обычно рекомендуют менять ключ раз в год.
Система напоминаний
Никто не помнит 365 дней. Нужна система уведомлений: за 30, 14, 7, 3, 1 день по email и SMS. В корпоративной среде мониторинг (Uptime Robot, Nagios, Datadog) постоянно проверяет срок. В панели Sayt.uz автоматические напоминания работают для каждого сертификата.
Если обновление пропущено
Если сертификат уже истёк: сначала получить новый (новый или обновление), затем быстро установить. Браузер может показывать кешированный некоторое время, но новые клиенты сразу видят ошибку. Для скорости включить автоматику, проверить DNS, обновить конфиг сервера.
Практика Sayt.uz
В панели Sayt.uz обновление SSL полностью автоматизировано. Бесплатные сертификаты обновляются каждые 60 дней в фоне. Для платных — напоминания за 30, 14, 7 дней по email, Telegram, SMS. Цена обновления: бесплатный Let's Encrypt — 0 сум, платный DV — от 350 000 сум, OV — от 800 000 сум, EV — от 2 500 000 сум в год. При покупке с хостингом скидка.