Let's Encrypt для бизнеса: бесплатные SSL-сертификаты без головной боли
Меня зовут Семёнов Евгений Сергеевич, я директор АйТи Фреш и за 15 лет работы видел сотни ситуаций, когда у клиента «слетел» SSL-сертификат, и сайт показывал страшное красное предупреждение посетителям. В большинстве случаев виной была не технология, а отсутствие автоматизации. Расскажу, как мы решаем эту проблему раз и навсегда с помощью бесплатного сервиса Let's Encrypt — и почему он подходит вашему бизнесу не хуже платных аналогов за 15-30 тысяч в год.
Почему SSL-сертификат — это уже не «приятный бонус», а необходимость
Когда я начинал работать в IT, в 2010 году, SSL-сертификаты ставили только банки и интернет-магазины с реальной обработкой карт. Всё остальное жило на голом HTTP, и никто не возмущался. Сегодня ситуация другая: Google Chrome помечает любой сайт без HTTPS как «небезопасный», Яндекс.Поиск понижает HTTP-сайты в выдаче, а большинство современных браузеров не дают пользоваться рядом функций (геолокация, push-уведомления, сохранённые формы) без HTTPS.
Конкретные последствия для бизнеса, которые я видел у своих клиентов:
- Корпоративный сайт со страницей «Контакты» без HTTPS — посетители боятся оставлять заявки, конверсия падает на 30-50%.
- Личный кабинет интернет-магазина без HTTPS — банк отказывается интегрировать платёжный шлюз.
- Веб-публикация 1С без HTTPS — браузеры блокируют скачивание печатных форм, бухгалтерия не может работать удалённо.
- Корпоративная почта Outlook Web Access без HTTPS — Outlook на iPhone и Android отказывается подключаться.
Раньше за SSL-сертификат нужно было платить от 3 000 руб. в год за самый простой DV (Domain Validation) и до 30 000 руб. за EV (Extended Validation) с зелёной строкой. С появлением Let's Encrypt в 2015 году эта индустрия фактически рухнула: бесплатный сертификат с автоматическим продлением технически не отличается от платного DV, и в адресной строке браузера выглядит точно так же.
Что такое Let's Encrypt и почему ему можно доверять
Let's Encrypt — это некоммерческий удостоверяющий центр, который выдаёт SSL-сертификаты бесплатно. Финансируется крупными IT-компаниями: Google, Mozilla, Cisco, Facebook, Akamai. Управляется фондом Internet Security Research Group (ISRG) под крылом Linux Foundation.
Меня часто спрашивают мои клиенты: «А это надёжно? Не отзовут завтра?» Отвечаю: Let's Encrypt выдал свыше 4 миллиардов сертификатов с 2015 года. Около 60% всех HTTPS-сайтов в мире сейчас защищены именно их сертификатами. Все основные браузеры — Chrome, Firefox, Safari, Edge, Yandex Browser — доверяют им «из коробки». Если завтра Let's Encrypt отзовут, сломается половина интернета, что просто невозможно.
Главное отличие от платных сертификатов:
| Параметр | Let's Encrypt | Платный DV (Comodo, GlobalSign) |
|---|---|---|
| Стоимость | 0 ₽ | от 2 500 ₽/год |
| Срок действия | 90 дней | 1 год |
| Wildcard (*.company.ru) | Да, бесплатно | от 9 000 ₽/год |
| Иконка в браузере | Замок | Замок (то же самое) |
| Уровень шифрования | 2048-bit RSA / ECDSA P-256 | То же самое |
| Время выдачи | 30 секунд | от 5 минут до 2 дней |
| Поддержка по телефону | Нет (только community) | Есть |
| Гарантия от УЦ при компрометации | Нет | 10-1 000 000 $ (никто не выплачивает на практике) |
Единственный реальный минус — короткий срок действия 90 дней. Это сделано специально, чтобы стимулировать автоматизацию. Если у вас 1-3 сайта и нет инженера — короткий срок становится проблемой. Если есть автообновление — наоборот, преимущество: даже если ключ скомпрометирован, через 90 дней он всё равно перестанет работать.
Реальный кейс: как просроченный сертификат стоил клиенту 280 000 рублей
В сентябре 2025 года ко мне обратилась владелица сети детских развивающих центров — пять локаций в Москве, сайт с онлайн-записью, оплатой и личным кабинетом родителей. Однажды утром она получила в WhatsApp десяток сообщений от родителей: «Ваш сайт показывает, что он опасный, я не могу записать ребёнка». Открыла сайт — красная страница «Подключение не защищено».
Что выяснилось: предыдущий подрядчик три года назад вручную выпустил сертификат Let's Encrypt и забыл настроить автопродление. Через 90 дней сертификат истёк, но скрипт автообновления, который кто-то всё-таки настроил, упал из-за того, что путь к webroot изменился при переезде сайта. Никто этого не заметил, потому что никто не настраивал мониторинг.
Финансовые потери за два дня простоя:
- Не записались на пробное занятие 47 детей. Средний чек первого месяца обучения — 6 000 руб. Конверсия из «попробовал» в «купил абонемент» — 67%. Расчётная упущенная выгода: 47 × 6 000 × 0.67 = 188 940 руб.
- 30 родителей не смогли оплатить продление абонемента — деньги пришли с задержкой, кассовый разрыв ~90 000 руб.
- Репутационные потери: 12 родителей написали в чат района, что «у них что-то с сайтом, может, мошенники, не записывайтесь».
Я приехал в тот же день, восстановил сертификат за 20 минут, настроил правильное автообновление, добавил мониторинг с уведомлением в Telegram директора и моих инженеров за 14 дней до истечения. Стоимость работы — 8 000 руб. Сейчас этот клиент у нас на абонентском обслуживании, и SSL-сертификаты на всех его доменах продлеваются автоматически.
Как мы настраиваем Let's Encrypt в АйТи Фреш
Я не буду описывать пошагово установку — мануалов в интернете тысячи. Расскажу про подход, который мы выработали за 80+ настроенных доменов и который реально работает на длинной дистанции.
Шаг 1. Выбираем клиент ACME. Существует два основных: certbot (Python, от EFF) и acme.sh (bash-скрипт). Я выбрал acme.sh для большинства клиентов — он не требует установки Python, имеет встроенную поддержку 150+ DNS-провайдеров (включая Yandex.Cloud, Selectel, REG.RU) и не зависит от системных пакетов. Certbot ставлю там, где нужна интеграция с готовым плагином nginx или apache.
Шаг 2. Выбираем способ валидации. Есть два варианта:
- HTTP-01 — валидация через файл на сайте. Просто, но требует, чтобы сайт был доступен в интернете на 80-м порту. Подходит для большинства случаев.
- DNS-01 — валидация через TXT-запись в DNS. Сложнее, но позволяет получать wildcard-сертификаты (
*.company.ru) и работает для серверов без публичного IP (например, внутренний 1С-сервер с самоподписанным DNS).
Для интернет-магазина мы используем HTTP-01, для корпоративных доменов с поддоменами для каждого отдела (1с.company.ru, почта.company.ru, кадры.company.ru) — DNS-01 с wildcard. Один wildcard-сертификат покрывает все будущие поддомены без дополнительной возни.
Шаг 3. Настраиваем автообновление с deploy hooks. Это ключевой пункт. Сертификат сам по себе не помогает — его надо ещё положить в нужное место и перезагрузить веб-сервер. Я делаю это через systemd timer, который запускает обновление дважды в день, и deploy hook, который автоматически перезагружает nginx (или apache, или 1С через службу) после каждого обновления.
# Шаблон systemd timer, который мы кладём клиентам
[Timer]
OnCalendar=*-*-* 02,14:00:00
RandomizedDelaySec=3600
Persistent=true
[Service]
Type=oneshot
ExecStart=/root/.acme.sh/acme.sh --cron --home /root/.acme.sh
ExecStartPost=/usr/sbin/nginx -t
ExecStartPost=/bin/systemctl reload nginxШаг 4. Настраиваем мониторинг. Это то, что забывают 95% подрядчиков. Без мониторинга вы узнаете о проблеме только тогда, когда позвонит злой клиент. Мы настраиваем простой скрипт, который ежедневно проверяет срок действия всех сертификатов и шлёт в Telegram предупреждение за 14 дней и критическое за 7 дней. Стоит копейки, спасает карьеру.
Шаг 5. Документируем. На каждый клиентский домен у нас в Confluence лежит карточка: где сертификат, как обновляется, куда смотреть в случае проблем, какой телефон у владельца домена. Когда инженер увольняется, новый разбирается за 5 минут, а не за 5 часов.
Веб-1С, Bitrix, корпоративная почта — частные случаи
Самый частый запрос моих клиентов — «настройте нам HTTPS для веб-1С». Расскажу про несколько типичных конфигураций.
Веб-публикация 1С через Apache (Linux). Сертификат выпускается стандартно через acme.sh, кладётся в /etc/ssl/private/, в конфиг Apache добавляются директивы SSLEngine on, SSLCertificateFile, SSLCertificateKeyFile. Deploy hook перезагружает Apache. Время настройки — 30 минут на новый домен, стоимость — 4 500 руб.
Веб-публикация 1С через IIS (Windows). На Windows acme.sh не работает напрямую, мы используем win-acme — это форк, скомпилированный под Windows. Он сам импортирует сертификат в Certificate Store, привязывает к нужному сайту в IIS, настраивает автообновление через Task Scheduler. Стоимость — 5 500 руб.
Bitrix. У Bitrix есть собственный модуль для Let's Encrypt в админке, но он работает плохо для нестандартных конфигураций. Мы обычно ставим acme.sh отдельно и подкладываем сертификат в /etc/nginx/ssl/. Стоимость такая же — 4 500 руб. Wildcard для всех поддоменов магазина — 7 000 руб.
Корпоративная почта Postfix + Dovecot. Сертификат выпускается на mail.company.ru. После выпуска deploy hook перезагружает оба сервиса. Дополнительно настраиваем сертификат для веб-интерфейса (SOGo, Roundcube). Цена — 6 000 руб., потому что нужно проверить корректность DKIM, SPF и DMARC после переключения.
Microsoft Exchange. Это сложнее — Exchange использует сертификат для нескольких сервисов одновременно (OWA, EAS, Outlook Anywhere, AutoDiscover). Сертификат должен покрывать несколько имён через SAN. Win-acme умеет это делать, но настройку рекомендую доверить инженеру с опытом — у нас это стоит 12 000 руб.
Когда Let's Encrypt НЕ подходит
Для честности — есть несколько случаев, когда я рекомендую клиенту купить платный сертификат, а не использовать Let's Encrypt:
- Государственные ИС. Для интеграции с СМЭВ, ЕГИС и другими гос-системами часто требуется сертификат от российского УЦ (КриптоПро, АО «ИнфоТеКС»). Let's Encrypt не подходит юридически.
- Финансовые сервисы с EV-сертификатом. Раньше зелёная адресная строка повышала доверие к банковским сайтам. Сейчас браузеры её убрали, но в некоторых аудитах PCI DSS всё ещё требуют EV.
- Внутренние сервисы без выхода в интернет и без внешнего DNS. Если у вас закрытый контур, Let's Encrypt валидацию пройти не сможет. Используйте внутренний УЦ на базе AD CS или EJBCA.
- Сертификаты для подписи кода (Code Signing). Let's Encrypt такие не выдаёт. Нужен платный сертификат от DigiCert или Sectigo, от 25 000 руб./год.
- Клиентские сертификаты для аутентификации. Для mTLS с проверкой клиента — собственный CA, не Let's Encrypt.
Во всех остальных случаях — а это 95% сайтов малого и среднего бизнеса — Let's Encrypt полностью покрывает потребности.
Сколько стоит наша работа
Чтобы вы понимали, во что обойдётся настройка под ключ — вот мои тарифы на апрель 2026 года:
| Услуга | Что входит | Стоимость |
|---|---|---|
| Один домен, один сайт | Выпуск, автообновление, мониторинг, документация | 4 500 ₽ |
| Wildcard-сертификат | *.company.ru на все поддомены | 7 000 ₽ |
| Веб-1С через Apache/IIS | Сертификат + настройка веб-сервера + проверка работы | 5 500 ₽ |
| Microsoft Exchange | SAN-сертификат на 4-5 имён, импорт через PowerShell | 12 000 ₽ |
| Пакет 10+ доменов | Централизованный мониторинг, дашборд, SLA | от 25 000 ₽ |
Включена 90-дневная гарантия. Если что-то сломается в течение этого срока — исправим бесплатно. На клиентов абонентского обслуживания эта услуга обычно входит в базовый тариф без дополнительной оплаты.
Нужно навсегда забыть о просроченных SSL?
Я лично выезжаю на аудит к клиентам в Москве и в радиусе 50 км от МКАД. За один день настрою автообновление SSL-сертификатов на всех ваших сайтах, веб-1С и почтовых серверах, подключу мониторинг с уведомлением в Telegram, оставлю документацию на русском, чтобы ваш админ не зависел от нас.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы клиентов про SSL и Let's Encrypt
- Let's Encrypt действительно бесплатный? В чём подвох?
- Да, полностью бесплатный. Подвоха нет — это некоммерческий проект Linux Foundation. Платят за инфраструктуру крупные компании (Google, Cisco, Mozilla, Internet Society). Сертификаты валидны во всех современных браузерах и в Яндекс.Поиске. Единственное ограничение — срок действия 90 дней, поэтому нужна автоматизация продления.
- Подходит ли Let's Encrypt для коммерческого сайта? Не выглядит ли это несолидно?
- Подходит. Сертификат Let's Encrypt используют Сбербанк (часть сервисов), Госуслуги (тестовые контуры), большинство крупных интернет-магазинов. В адресной строке отображается такой же замок, как у платного сертификата. Различие видно только в деталях, которые рядовой клиент не смотрит.
- Сколько стоит настроить автообновление в АйТи Фреш?
- Один сайт с базовым автообновлением — 4 500 руб. Wildcard-сертификат на все поддомены (например, *.company.ru) — 7 000 руб. Пакет на 10+ доменов с центральным мониторингом и Telegram-уведомлениями — от 25 000 руб. Включена 90-дневная гарантия: если что-то сломается, мы исправим бесплатно.
- А что с веб-1С на Apache и сертификатами для Bitrix?
- Let's Encrypt работает с любым веб-сервером: Apache, Nginx, IIS, Caddy. Для веб-публикации 1С через Apache мы выпускаем сертификат и настраиваем deploy hook для автоматической перезагрузки Apache после продления. Для Bitrix у acme.sh есть готовый плагин — устанавливается одной командой.
- Что будет, если сертификат всё-таки просрочится?
- Браузеры покажут предупреждение «Подключение не защищено», и большинство посетителей закроет сайт. Для интернет-магазина это потеря 50-90% продаж в день простоя. Для корпоративного сайта — удар по репутации. Поэтому мы настраиваем мониторинг с уведомлением за 14 дней до истечения и второе уведомление за 7 дней — успеваем разобраться даже при сбое автообновления.