Let's Encrypt добавил поддержку Wildcard сертификатов

Логотип компании Let's Encrypt

Свершилось: Let’s Encrypt начал выпускать Wildcard сертификаты. Времена, когда к действующей когорте поддоменов, нужно добавить новый, а потом получать для него новый сертификат и обновлять конфиги, постепенно уходит в прошлое. Теперь это сделать проще.

Анонсировали поддержку Wildcard сертификатов летом 2017 года, релиз был запланирован на январь этого года. Дату несколько раз переносили, в итоге релиз состоялся вчера.

Пара слов про сертификаты безопасности

SSL-сертификаты шифруют соединение между сайтом и его пользователями. Это защищает передаваемую информацию между сайтом и пользователем от нежелательных третьих лиц. Интернет-провайдер по-прежнему знает к какому именно сайту вы обратились, но понятия не имеет, какие именно страницы этого сайта вы открываете и какую информацию отправляете.

Если у сертификата закончится срок действия или, например, кто-нибудь из провайдеров захочет подменить сертификат популярного сайта для своих пользователей, то браузер выдаст ошибку и предупредит, что с сертификатом сайта что-то не так. Благодаря такому шифрованию злоумышленнику сложнее украсть пароль через публичный Wi-Fi, а провайдеру вставлять свою рекламу в чужие сайты.

Пара слов про Let’s Encrypt

Let’s Encrypt запустилcя в 2016 году и начал бесплатно предоставлять сертификаты безопасности для сайтов, но с рядом условий (короткий период времени действия сертификата, отсутствие Wildcard и EV). Это упрастило и удешевило выпуск сертификатов. Если раньше их использовали только самые популярные сайты, крупные компании, банки и интернет-магазины (в лучшем случае), то теперь сертификат для сайта мог позволить себе практически каждый. Очень быстро Let’s Encrypt завоевал популярность у владельцев сайтов.

Во-многом это произошло ещё и потому, что все основные браузеры взяли курс на то, чтобы считать все сайты без сертификатов небезопасными. Этот процесс не завершился до сих пор, однако теперь большой сайт без сертификата уже считается дурным тоном, даже если там нет регистрации и иного обмена конфиденциальными данными.

Если говорить очень просто, сертификаты безопасности — это хорошо.

Когда и зачем нужны Wildcard сертификаты?

Представим, что у сайта example.com много поддоменов. Как их шифровать? Два варианта: либо для каждого поддомена выпускать собственный сертификат, либо выпустить один Wildcard сертификат с маской *.example.com. Теперь все поддомены третьего уровня могут использовать один-единственный сертификат. В ситуации, когда у сайта много поддоменов, Wildcard сертификат действительно позволит сэкономить время.

У платных провайдеров сертификатов Wildcard версии стоят дороже, чем обычные.

Как получить Wildcard сертификат через Let’s Encrypt

Получение Wildcard сертификата особо не отличается от получения «простого» сертификата Let’s Encrypt. В качестве быстрого теста покажу как его получить вручную через certbot.

В этом примере я использую macOS, certbot ставил через Homebrew.

На всякий случай обновляем certbot до последней версии (Wildcard сертификаты поддерживаются в certbot с версии 0.22.0):

brew upgrade certbot

Затем делаем подобный запрос:

certonly --agree-tos --manual --preferred-challenges dns --server https://acme-v02.api.letsencrypt.org/directory -d "*.example.org"

В процессе нужно будет выполнить несколько действий для верификации (ввести или подтвердить существующий почтовый ящик, согласиться с условиями использования сервиса), а также подтвердить владение доменом. В отличие от простых сертификатов, единственный способ подтвердить Wildcard сертификат — добавить специальную TXT запись в DNS домена.

Очевидно, что никто не будет вручную обновлять сертификаты для сайта и всё показанное выше — только пример. Эта статья про обзор технологии, а не прямое руководство к действию.

Что мне с этого?

От введения бесплатных Wildcard сертификатов в выигрыше все, кроме платных центров сертификации. Администраторам сайтов теперь проще управлять сертификатами доменов. Пользователи всё реже будут встречать незащищённые сайты. И это хорошо для всех пользователей интернета.

Платные центры сертификации, наоборот, лишились ещё одного серьёзного преимущества. Кажется, их бизнес всё больше завязан только на большие компании, для которых стоимость сертификата не играет особой роли, а на первый план выходят совершенно другие требования.