Let's Encrypt — это автоматизированный центр сертификации (CA), управляемый организацией Internet Security Research Group (ISRG). Проект предоставляет X.509 сертификаты для протокола TLS без взимания оплаты, что позволяет владельцам сайтов переходить на защищенное соединение HTTPS без ручного администрирования.
Механизм работы
Выпуск и продление сертификатов реализованы через протокол ACME (Automated Certificate Management Environment). Программный агент, например certbot, выполняет проверку владения доменом через HTTP-01 или DNS-01 вызовы. После успешной проверки агент генерирует закрытый ключ и запрашивает подписанный сертификат у серверов Let's Encrypt.
- Автоматизация: процесс обновления происходит без участия человека через cron-задачи или системные таймеры.
- Безопасность: короткий срок действия сертификата (90 дней) ограничивает ущерб в случае компрометации ключей.
- Прозрачность: все выпущенные сертификаты записываются в публичные логи Certificate Transparency.
По состоянию на 2024 год Let's Encrypt выдал более 3 миллиардов сертификатов. Сервис поддерживает только проверку домена (Domain Validation), что исключает его использование для сертификатов типа OV или EV, требующих проверки юридического лица.