Let's Encrypt с 2015 года выдаёт бесплатные SSL и вывел интернет в шифрованное состояние. Сертификат живёт 90 дней, обновлять надо каждые 3 месяца. Делать это вручную утомительно, забыть — катастрофа. Certbot полностью автоматизирует процесс.
Что такое Certbot
Certbot — официальный открытый инструмент для получения, установки и обновления сертификатов Let's Encrypt. Написан на Python, работает почти во всех дистрибутивах Linux. Прямая интеграция с Apache и Nginx, автоматически правит конфигурационные файлы. Подтверждение владения доменом через ACME-протокол.
Установка и первый сертификат
На Ubuntu или Debian команда простая: sudo apt install certbot python3-certbot-nginx (для Nginx). Затем sudo certbot --nginx -d sayt.uz -d www.sayt.uz получает сертификат, меняет конфиг Nginx и переводит сайт на HTTPS. 1-2 минуты — и в браузере замок.
Автоматическое обновление
При установке Certbot добавляет cron или systemd timer — проверяет два раза в день, обновляет за 30 дней до истечения. Вмешиваться не нужно, всё работает в фоне. После обновления веб-сервер перезапускается автоматически без простоя. Проверка: sudo certbot renew --dry-run.
Способы валидации
HTTP-01 — самый простой: Certbot кладёт файл в /.well-known/acme-challenge/, Let's Encrypt читает по домену. Веб-сервер должен работать. DNS-01 — через DNS-запись, обязательно для wildcard. TLS-ALPN-01 — реже используется.
Wildcard и множество доменов
Для wildcard *.sayt.uz нужна валидация DNS-01. Certbot может интегрироваться с DNS-провайдером (Cloudflare, Route53) или TXT-запись ставите вручную. В одной команде можно несколько доменов: -d sayt.uz -d *.sayt.uz -d другой.uz.
Практика Sayt.uz
В хостинге Sayt.uz на каждый сайт автоматически ставится бесплатный SSL, Certbot работает в фоне. Обновление автоматическое, без напоминаний. Если нужен EV или OV сертификат, через панель заказывается платный вариант от 350 000 сум. Хостинг от 159 000 сум, бесплатный SSL включён.