· 13 мин чтения

Let's Encrypt для бизнеса: бесплатные SSL-сертификаты без головной боли

Let's Encrypt для бизнеса: бесплатные SSL-сертификаты без головной боли

Привет! Меня зовут Семёнов Евгений Сергеевич, и я директор компании АйТи Фреш. За 15 лет моей работы я насмотрелся на сотни случаев, когда у клиентов «слетал» SSL-сертификат, а сайт вместо привычной страницы встречал посетителей пугающим красным предупреждением. Знаете, в большинстве таких ситуаций виновата была вовсе не сама технология, а банальное отсутствие автоматизации. Сегодня я хочу рассказать вам, как мы раз и навсегда решаем эту проблему с помощью бесплатного Let's Encrypt, и объясню, почему он ничуть не хуже, а порой и лучше платных аналогов, за которые просят по 15-30 тысяч рублей в год.

Почему SSL-сертификат — это уже не «приятный бонус», а необходимость

Когда я только начинал свой путь в IT, это было в 2010 году, SSL-сертификаты ставили себе разве что банки да крупные интернет-магазины, которые реально работали с картами. Все остальные спокойно жили на голом HTTP, и, честно говоря, никто по этому поводу не возмущался. Но времена изменились! Сегодня ситуация совершенно другая: Google Chrome сразу клеймит любой сайт без HTTPS как «небезопасный», Яндекс.Поиск безжалостно опускает HTTP-сайты в выдаче, а современные браузеры вообще отключают для таких ресурсов целый ряд важных функций. Представьте, никаких геолокаций, push-уведомлений, да и сохранённые формы не работают!

Вот конкретные последствия для бизнеса, которые я видел у своих клиентов:

Раньше за SSL-сертификат приходилось выкладывать немалые деньги: от 3 000 руб. в год за простенький DV (Domain Validation) и до 30 000 руб. за крутой EV (Extended Validation) с той самой зелёной строкой в браузере. Но когда в 2015 году появился Let's Encrypt, вся эта индустрия, по сути, рухнула. Ведь бесплатный сертификат с автопродлением технически ничем не отличается от платного DV и в адресной строке он выглядит точно так же. Зачем платить больше?

Что такое Let's Encrypt и почему ему можно доверять

Что же такое Let's Encrypt? Это такой некоммерческий удостоверяющий центр, который выдаёт SSL-сертификаты абсолютно бесплатно. Меня всегда поражает масштаб его поддержки: финансируют проект крупнейшие IT-гиганты, такие как Google, Mozilla, Cisco, Facebook, Akamai. А управляет всем этим добром фонд Internet Security Research Group (ISRG) под надёжным крылом Linux Foundation.

Клиенты, конечно, часто спрашивают: «А это надёжно? Не отзовут завтра все эти сертификаты?» Я всегда отвечаю им, оперируя конкретными цифрами. Только представьте: с 2015 года Let's Encrypt выдал свыше 4 миллиардов сертификатов! И сегодня, по последним данным, примерно 60% всех HTTPS-сайтов в мире защищены именно ими. Все основные браузеры — Chrome, Firefox, Safari, Edge, Yandex Browser — доверяют им «из коробки». Если завтра их отзовут, то сломается половина всего интернета, а это, согласитесь, попросту невозможно.

Чем они отличаются от платных:

ПараметрLet's EncryptПлатный DV (Comodo, GlobalSign)
Стоимость0 ₽от 2 500 ₽/год
Срок действия90 дней1 год
Wildcard (*.company.ru)Да, бесплатноот 9 000 ₽/год
Иконка в браузереЗамокЗамок (то же самое)
Уровень шифрования2048-bit RSA / ECDSA P-256То же самое
Время выдачи30 секундот 5 минут до 2 дней
Поддержка по телефонуНет (только community)Есть
Гарантия от УЦ при компрометацииНет10-1 000 000 $ (никто не выплачивает на практике)

Единственный, пожалуй, реальный минус Let's Encrypt — это его короткий срок жизни, всего 90 дней. Но это сделано намеренно, чтобы подтолкнуть всех к автоматизации. Если у вас всего 1-3 сайта и нет своего инженера, то, конечно, такой короткий срок превращается в настоящую головную боль. А вот если автообновление настроено как надо, то это, наоборот, становится плюсом: даже если ключ будет скомпрометирован, через 90 дней он сам по себе перестанет работать.

Реальный кейс: как просроченный сертификат стоил клиенту 280 000 рублей

Вот вам живой пример из практики. В сентябре 2025 года ко мне обратилась владелица целой сети детских развивающих центров. У неё пять локаций по Москве, и, конечно, есть сайт с онлайн-записью, оплатой и личным кабинетом для родителей. И вот как-то утром ей в WhatsApp прилетело сразу десяток сообщений от встревоженных мам и пап: «У вас сайт пишет, что он опасный, я не могу записать ребёнка!» Она, конечно, сразу открывает сайт — а там эта жуткая красная страница с надписью «Подключение не защищено».

Мы тут же стали разбираться в ситуации. Оказалось, что предыдущий подрядчик целых три года назад выпустил сертификат Let's Encrypt вручную и напрочь забыл про автопродление. Соответственно, через 90 дней он просто истёк. Мы также выяснили, что скрипт автообновления кто-то когда-то всё-таки настроил, но он уже давно «падал», потому что после переезда сайта изменился путь к webroot. И самое печальное — никто этого не замечал, ведь никакого мониторинга не было.

Финансовые потери за два дня простоя:

Я лично приехал в тот же день, чтобы решить проблему. Восстановил сертификат всего за 20 минут, потом настроил нормальное автообновление и, конечно, добавил мониторинг: теперь директору и моим инженерам приходят уведомления в Telegram за 14 дней до истечения срока. Вся эта работа обошлась в 8 000 руб. Теперь этот клиент у нас на абонентском обслуживании, и SSL-сертификаты на всех его доменах продлеваются сами, без лишних хлопот.

Как мы настраиваем Let's Encrypt в АйТи Фреш

Я не буду сейчас расписывать установку по шагам — мануалов по этой теме в сети тысячи, и вы их легко найдёте. Лучше я расскажу вам про тот подход, который мы выработали, настроив более 80 доменов, и который, на мой взгляд, реально работает на длинной дистанции.

Шаг 1. Выбираем ACME-клиент. Здесь у нас есть два основных игрока: certbot (он на Python, разработан EFF) и acme.sh (это bash-скрипт). Для большинства своих клиентов я предпочитаю acme.sh — он очень удобен, потому что не требует Python, сразу «из коробки» поддерживает более 150 DNS-провайдеров (в том числе Yandex.Cloud, Selectel, REG.RU) и не зависит от системных пакетов. Certbot я ставлю только там, где нужна интеграция с уже готовым плагином для nginx или apache.

Шаг 2. Выбираем способ валидации. Вариантов два:

Вот как мы подходим к выбору метода: для интернет-магазина мы обычно используем HTTP-01. А вот для корпоративных доменов, где есть поддомен на каждый отдел (например, 1с.company.ru, почта.company.ru, кадры.company.ru), мы выбираем DNS-01 с wildcard-сертификатом. Это очень удобно, потому что один такой wildcard-сертификат покрывает все будущие поддомены, и можно больше вообще про это не думать.

Шаг 3. Настраиваем автообновление с deploy hooks. Вот это, я считаю, ключевой момент. Сам по себе сертификат, конечно, бесполезен — его ведь нужно ещё положить в нужное место и перезапустить веб-сервер. Я реализую это через systemd timer, который запускает обновление дважды в день, и специальный deploy hook. Этот хук после каждого обновления сам перезагружает nginx (или apache, или службу 1С), чтобы всё заработало как надо.

# Шаблон systemd timer, который мы кладём клиентам
[Timer]
OnCalendar=*-*-* 02,14:00:00
RandomizedDelaySec=3600
Persistent=true

[Service]
Type=oneshot
ExecStart=/root/.acme.sh/acme.sh --cron --home /root/.acme.sh
ExecStartPost=/usr/sbin/nginx -t
ExecStartPost=/bin/systemctl reload nginx

Шаг 4. Настраиваем мониторинг. Это то, что забывают 95% подрядчиков. Без мониторинга вы узнаете о проблеме только тогда, когда позвонит злой клиент. Мы настраиваем простой скрипт, который ежедневно проверяет срок действия всех сертификатов и шлёт в Telegram предупреждение за 14 дней и критическое за 7 дней. Стоит копейки, спасает карьеру.

Шаг 5. Обязательно документируем. Это наша золотое правило! На каждый клиентский домен у нас в Confluence заведена подробная карточка: там указано, где лежит сертификат, как он обновляется, куда смотреть в случае проблем, и, конечно, чей телефон у владельца домена. Выгода очевидна: если вдруг уволился инженер, новый сотрудник разберётся в ситуации за 5 минут, а не за 5 часов.

Веб-1С, Bitrix, корпоративная почта — частные случаи

Один из самых частых запросов, который я слышу от клиентов, это: «Настройте нам HTTPS для веб-1С». Давайте пройдёмся по самым типичным конфигурациям.

Веб-публикация 1С через Apache (Linux). Сертификат выпускаем стандартно через acme.sh, кладём в /etc/ssl/private/, в конфиг Apache добавляем директивы SSLEngine on, SSLCertificateFile, SSLCertificateKeyFile. Deploy hook перезапускает Apache. Настройка нового домена — 30 минут, стоимость — 4 500 руб.

Если речь идёт о веб-публикации 1С через IIS (Windows), то здесь есть нюанс: под Windows acme.sh напрямую не работает. Поэтому мы берём win-acme — это такой форк, специально собранный под Windows. Он сам импортирует сертификат в Certificate Store, привязывает его к нужному сайту в IIS и самостоятельно настраивает автообновление через Task Scheduler. Стоимость такой работы у нас — 5 500 руб.

Bitrix. У него есть свой модуль для Let's Encrypt в админке, но на нестандартных конфигурациях он работает плохо. Поэтому мы обычно ставим acme.sh отдельно и подкладываем сертификат в /etc/nginx/ssl/. Цена та же — 4 500 руб. Wildcard на все поддомены магазина — 7 000 руб.

Для корпоративной почты на Postfix + Dovecot мы выпускаем сертификат на mail.company.ru. После выпуска deploy hook перезапускает оба сервиса. Важный момент: отдельно настраиваем сертификат для веб-интерфейса, будь то SOGo или Roundcube. Цена этой услуги — 6 000 руб., потому что после переключения нам нужно ещё обязательно проверить корректность DKIM, SPF и DMARC.

А вот с Microsoft Exchange всё намного сложнее. Exchange использует один сертификат сразу под несколько сервисов — это OWA, EAS, Outlook Anywhere, AutoDiscover — и он должен покрывать сразу несколько имён через SAN. Win-acme, конечно, это умеет, но настройку я настоятельно советую доверить инженеру с хорошим опытом. У нас эта услуга стоит 12 000 руб.

Когда Let's Encrypt НЕ подходит

Будем честны: есть несколько случаев, когда я сам советую клиенту купить платный сертификат, а не использовать Let's Encrypt:

Во всех остальных случаях — а это, по моим наблюдениям, 95% сайтов малого и среднего бизнеса — Let's Encrypt полностью закрывает все потребности, и я смело его рекомендую.

Сколько стоит наша работа

Чтобы вам было понятно, во что обойдётся настройка «под ключ», вот мои тарифы, актуальные на апрель 2026 года:

УслугаЧто входитСтоимость
Один домен, один сайтВыпуск, автообновление, мониторинг, документация4 500 ₽
Wildcard-сертификат*.company.ru на все поддомены7 000 ₽
Веб-1С через Apache/IISСертификат + настройка веб-сервера + проверка работы5 500 ₽
Microsoft ExchangeSAN-сертификат на 4-5 имён, импорт через PowerShell12 000 ₽
Пакет 10+ доменовЦентрализованный мониторинг, дашборд, SLAот 25 000 ₽

В стоимость, которую я озвучиваю, всегда входит 90-дневная гарантия. Это значит, что если что-то сломается в этот срок, мы всё починим бесплатно. А для наших клиентов на абонентском обслуживании эта услуга обычно уже включена в базовый тариф, без каких-либо доплат.

Нужно навсегда забыть о просроченных SSL?

Мне важно личное общение, поэтому на аудит к клиентам я выезжаю лично — по Москве и в радиусе 50 км от МКАД. Моя цель — за один день настроить автообновление SSL-сертификатов на всех ваших сайтах, веб-1С и почтовых серверах, подключить мониторинг с уведомлением в Telegram и, конечно, оставить подробную документацию на русском языке. Это чтобы ваш системный администратор не зависел от нас и всегда мог сам разобраться в ситуации.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы клиентов про SSL и Let's Encrypt

Let's Encrypt действительно бесплатный? В чём подвох?
Да, полностью бесплатный. Подвоха нет — это некоммерческий проект Linux Foundation. Платят за инфраструктуру крупные компании (Google, Cisco, Mozilla, Internet Society). Сертификаты валидны во всех современных браузерах и в Яндекс.Поиске. Единственное ограничение — срок действия 90 дней, поэтому нужна автоматизация продления.
Подходит ли Let's Encrypt для коммерческого сайта? Не выглядит ли это несолидно?
Подходит. Сертификат Let's Encrypt используют Сбербанк (часть сервисов), Госуслуги (тестовые контуры), большинство крупных интернет-магазинов. В адресной строке отображается такой же замок, как у платного сертификата. Различие видно только в деталях, которые рядовой клиент не смотрит.
Сколько стоит настроить автообновление в АйТи Фреш?
Один сайт с базовым автообновлением — 4 500 руб. Wildcard-сертификат на все поддомены (например, *.company.ru) — 7 000 руб. Пакет на 10+ доменов с центральным мониторингом и Telegram-уведомлениями — от 25 000 руб. Включена 90-дневная гарантия: если что-то сломается, мы исправим бесплатно.
А что с веб-1С на Apache и сертификатами для Bitrix?
Let's Encrypt работает с любым веб-сервером: Apache, Nginx, IIS, Caddy. Для веб-публикации 1С через Apache мы выпускаем сертификат и настраиваем deploy hook для автоматической перезагрузки Apache после продления. Для Bitrix у acme.sh есть готовый плагин — устанавливается одной командой.
Что будет, если сертификат всё-таки просрочится?
Браузеры покажут предупреждение «Подключение не защищено», и большинство посетителей закроет сайт. Для интернет-магазина это потеря 50-90% продаж в день простоя. Для корпоративного сайта — удар по репутации. Поэтому мы настраиваем мониторинг с уведомлением за 14 дней до истечения и второе уведомление за 7 дней — успеваем разобраться даже при сбое автообновления.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.