Перейти к содержимому

Список бесплатных SSL сертификатов

Все прекрасно знают о существовании бесплатных сертификатов SSL от Let's Encrypt, однако не все знают о том, что они не единственные.
Эта статья, со списком известных SSL сертификатов создана на основе статьи https://www.xf.is/2020/06/30/list-of-free-acme-ssl-providers/ и содержит все известные нам на данный момент центры сертификации предлагающие сертификаты SSL на бесплатной основе.

Buypass Go SSL

Норвежский центр сертификации, предлагающий бесплатные SSL-сертификаты сроком действия 180 дней (Технические характеристики).

Нет сертификатов wildcard.

url каталога ACME: https://api.buypass.com/acme/directory

Цепочки до "Buypass Class 2 Root CA" действительны до 2040 года

DNS CAA: buypass.com

Ограничения на количество обращений: 20 на зарегистрированный домен в неделю, 5 дубликатов сертификатов в неделю.

Примеры команд для certbot и acme.sh
# Certbot
certbot register -m 'YOUR_EMAIL' --agree-tos  \
         --server 'https://api.buypass.com/acme/directory'

certbot certonly --webroot -w /var/www/example.com/public_html/ \
         -d example.com -d www.example.com \
         --server 'https://api.buypass.com/acme/directory'

# acme.sh
acme.sh --server https://api.buypass.com/acme/directory  \
         --register-account --accountemail Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript.

acme.sh --server https://api.buypass.com/acme/directory  \
         --issue -d example.com -d www.example.com \
         --webroot /var/www/example.com/public_html/ \
         --days 170

Let’s Encrypt

Американский центр сертификации, предлагающий бесплатные сертификаты сроком действия 90 дней. В настоящее время используется по умолчанию в большинстве клиентов ACME (certbot, acme.sh и т.д.).

Предлагает сертификаты wildcard с использованием DNS-запроса.

Цепочки до "ISRG Root X1" (действителен до 2035 года) или "DST Root CA X3" (действителен до 2021-09-30).

Потенциально может вызвать проблемы у старых клиентов, когда срок действия DST Root CA истечет, если у них не установлен корневой сертификат ISRG. Примером могут служить старые клиенты Android, где поддержка ISRG Root X1 была добавлена в Android в версии 7.1.1. Заявлено о решении проблемы для старых андроид устройств (https://letsencrypt.org/2020/12/21/extending-android-compatibility.html), однако для других клиентов проблема остается.

DNS CAA: letsencrypt.org

Ограничения на количество обращений: 50 на зарегистрированный домен в неделю, 5 дубликатов сертификатов в неделю.

Примеры команд для certbot и acme.sh
# Certbot
certbot register -m 'YOUR_EMAIL' --agree-tos 

certbot certonly --webroot -w /var/www/example.com/public_html/ \
         -d example.com -d www.example.com

# acme.sh
acme.sh --register-account --accountemail Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript.

acme.sh  --issue -d example.com -d www.example.com \
         --webroot /var/www/example.com/public_html/

ZeroSSL

ZeroSSL – австрийский центр сертификации, предлагающий бесплатные сертификаты сроком действия 90 дней с использованием корневого сертификата, предоставленного компанией Sectigo (Великобритания).

Предлагает сертификаты wildcard с использованием DNS-запроса.

ZeroSSL требует от пользователей регистрации на своем сайте для генерации учетных данных внешней привязки аккаунта (EAB) в разделе Dashboard -> Developer -> EAB Credentials for ACME Clients.

Это означает, что с ZeroSSL работают только клиенты ACME, поддерживающие внешнюю привязку учетных записей (EAB) (например, Certbot или acme.sh).

url каталога ACME: https://acme.zerossl.com/v2/DV90

Цепочки до "USERTrust RSA Certification Authority" действительны до 2038 года или до "AAA Certificate Services" действительны до 2028 года.

Ограничения на количество обращений: ограничений не заявлено.

DNS CAA: sectigo.com

Примеры команд для certbot и acme.sh
# Certbot
certbot register -m 'YOUR_EMAIL' --agree-tos  \
         --server 'https://acme.zerossl.com/v2/DV90' \
         --eab-kid 'YOUR_EAB-KID' \
         --eab-hmac-key 'YOUR_EAB-HMAC-KEY'

certbot certonly --webroot -w /var/www/example.com/public_html/ \
         -d example.com -d www.example.com \
         --server 'https://acme.zerossl.com/v2/DV90' \
         --eab-kid 'YOUR_EAB-KID' \
         --eab-hmac-key 'YOUR_EAB-HMAC-KEY'         

# acme.sh
acme.sh  --register-account  --server zerossl \
         --eab-kid YOUR_EAB-KID  \
         --eab-hmac-key YOUR_EAB-HMAC-KEY

acme.sh --server zerossl \
         --issue -d example.com -d www.example.com \
         --webroot /var/www/example.com/public_html/

Есть вопросы?

Свои мысли по поводу этой статьи можно высказать и обсудить с другими заинтересованными людьми в телеграм-чате https://t.me/projoomla