23.08.2021 14:11
OksanaErmirk 18 6300 Источник
Как известно, Let's Encrypt — не единственный удостоверяющий центр, который автоматически выдаёт бесплатные сертификаты TLS по протоколу ACME. Кроме него, это делают норвежский Buypass (услуга BuyPass Go SSL) и австрийский ZeroSSL. До сих пор они оставались единственными резервными вариантами. Но теперь в команде бесплатных УЦ появился четвёртый игрок: SSL.com.

Вообще, сейчас всё больше УЦ начинают выдавать краткосрочные сертификаты и автоматизировать работу по протоколу ACME. В любом случае, полезно иметь запасной вариант на случай сбоя Let's Encrypt. Вдруг их новые серверы не выдержат нагрузки.

Протокол ACME


Для начала нужно пояснить, что основой для работы Let's Encrypt является протокол ACME (Automated Certificate Management Environment). Это открытый протокол для автоматизации взаимодействия с УЦ. В нём нет ничего специфичного для Let's Encrypt, его поддерживает несколько других УЦ.

Это означает, что практически все наши инструменты, скрипты и процессы для получения сертификатов из Let's Encrypt будут отлично работать и с другими центрами, которые поддерживают ACME.

Кроме стандартного клиента Certbot, есть и множество других клиентов ACME.

Чтобы перестроиться на другой УЦ, достаточно просто изменить адрес API в настроенных скриптах с https://acme-v02.api.letsencrypt.org/directory (Let's Encrypt) на https://api.buypass.com/acme/directory (BuyPass) или какой-нибудь другой.

SSL.com


После регистрации аккаунта нужно зайти на эту страницу и скопировать учётные данные для доступа к API: Account/ACME Key, Secret Key, HMAC Key.



Затем настроить клиент ACME на работу с API от SSL.com: зарегистрировать аккаунт RSA, аккаунт ECC — и сгенерировать сертификат. 

Subject: CN=...
Issuer: CN=SSL.com SSL Intermediate CA ECC R2,O=SSL Corp,L=Houston,ST=Texas,C=US
-----BEGIN CERTIFICATE-----
...
Ly93d3cuc3NsLmNvbS9yZXBvc2l0b3J5MB0GA1UdJQQWMBQGCCsGAQUFBwMCBggr
BgEFBQcDATBEBgNVHR8EPTA7MDmgN6A1hjNodHRwOi8vY3Jscy5zc2wuY29tL1NT
TGNvbS1TdWJDQS1TU0wtRUNDLTM4NC1SMi5jcmwwHQYDVR0OBBYEFIt0k8bwGO+1
n034I0dkoRWqsSZpMA4GA1UdDwEB/wQEAwIHgDCCAXwGCisGAQQB1nkCBAIEggFs
BIIBaAFmAHYA9lyUL9F3MCIUVBgIMJRWjuNNExkzv98MLyALzE7xZOMAAAF7Xbea
SwAABAMARzBFAiEAiyE1SNTQwTmRvVykP/UwEhWEQaB+OK8YgAvdB35D0noCIA2E
+b8=
...
-----END CERTIFICATE-----

Процесс занимает считанные минуты.

На своём сервере можно настроить выдачу сертификатов по очереди или в случайном порядке от четырёх бесплатных УЦ.

Комментарии (18)


  1. Evengard
    23.08.2021 14:46
    #23403250
    +2

    Wildcard-ы выдают?


    1. BasilioCat
      23.08.2021 14:58
      #23403314
      +4

      нет. Как и у многих других "альтернатив" LetsEncrypt, это лишь триальная наживка, в надежде что потенциальным клиентах понадобится OV/EV сертификат, или wildcard вот. Ну или дорогим халявщикам партнерам с несколькими сотнями сертификатов просто предложат перейти на недорогой, но платный тариф. Вот как cloudflare например


      1. Evengard
        23.08.2021 15:09
        #23403364
        +1

        Спасибо, так и предполагал.


  1. ky0
    23.08.2021 15:54
    #23403566
    -1

    Чаво, регистрация аккаунта? Это руками надо на сайт заходить, что ли? Сразу нафиг, извините :)


    1. INSTE
      23.08.2021 16:02
      #23403620

      Один раз же, потом продляется само.


      1. TheGodfather
        23.08.2021 16:15
        #23403668
        +1

        А в Let's Encrypt и этого не надо. Почувствуйте разницу, что называется.


        1. INSTE
          23.08.2021 16:26
          #23403710
          +2

          Прекрасно понимаю, но диверсификация очень важна. То, что появились другие провайдеры ACME — это всегда хорошо.


          1. ky0
            23.08.2021 17:11
            #23403892

            Диверсификацией это можно было бы назвать, если для смены провайдера достаточно было бы поменять эндпоинт апи. А так - фактически, это часть маркетинговой стратегии и никто не может быть уверенным, что условия и само существование подобной возможности в один прекрасный день не прекратится.


            1. INSTE
              23.08.2021 17:39
              #23404002

              А вы хоть пост-то читали? Там именно так и написано: введите другой API url и три строки credentials (все это всего лишь один раз). Захочется третьего провадйера — введете его данные. Сам клиент менять не надо.


        1. vanxant
          24.08.2021 14:07
          #23407800

          А в Let's Encrypt и этого не надо

          Ну как не надо, ваш мыл то отправляется вместе с ключами, и производится та же регистрация. Обычно в туда пишет expiry bot, но это пока.


    1. Aleks_ja
      23.08.2021 16:25
      #23403700

      Разбаловали let's encrypt :)


  1. dimaaan
    23.08.2021 17:42
    #23404018
    +2

    ZeroSSL лишь притворяется бесплатным.

    Когда бдительность усыплена, вам сообщяют, что "You have reached the maximum amount of 90-day certificates allowed on the Free Plan" и требуют 10$ в месяц.


    1. idmrty
      23.08.2021 21:15
      #23404762

      Через ACME ограничений нет, Wildcard есть. Это единственная полноценная альтернатива LE.


      1. ExceptionallyHandsome
        24.08.2021 13:58
        #23407746

        Что значит wildcard есть, если его нет? На странице https://www.ssl.com/how-to/order-free-90-day-ssl-tls-certificates-with-acme/ про wildcard ничего не написано, зато написано вот это:

        You can use the ACME protocol to order free 90-day DV SSL/TLS certificates from SSL.com. These certificates include one domain, plus optionally the www subdomain.

        Ни разу не полноценная альтернатива.


        1. idmrty
          24.08.2021 14:00
          #23407754

          Я про ZeroSSL.


  1. naghtigall
    24.08.2021 10:58
    #23406852

    Уточните, что ZeroSSL - это не аналог Let's Encrypt. У них только три первых сертификата на 90 дней бесплатны. А потом нужно переходить на платный тариф


    1. idmrty
      24.08.2021 14:00
      #23407760

      Через ACME ограничений нет.


      1. naghtigall
        25.08.2021 18:01
        #23412766

        Спасибо за уточнение. Пропустил этот пункт в таблице прайса