Let's Encrypt для бизнеса: бесплатные SSL-сертификаты без головной боли
Привет! Меня зовут Семёнов Евгений Сергеевич, и я директор компании АйТи Фреш. За 15 лет моей работы я насмотрелся на сотни случаев, когда у клиентов «слетал» SSL-сертификат, а сайт вместо привычной страницы встречал посетителей пугающим красным предупреждением. Знаете, в большинстве таких ситуаций виновата была вовсе не сама технология, а банальное отсутствие автоматизации. Сегодня я хочу рассказать вам, как мы раз и навсегда решаем эту проблему с помощью бесплатного Let's Encrypt, и объясню, почему он ничуть не хуже, а порой и лучше платных аналогов, за которые просят по 15-30 тысяч рублей в год.
Почему SSL-сертификат — это уже не «приятный бонус», а необходимость
Когда я только начинал свой путь в IT, это было в 2010 году, SSL-сертификаты ставили себе разве что банки да крупные интернет-магазины, которые реально работали с картами. Все остальные спокойно жили на голом HTTP, и, честно говоря, никто по этому поводу не возмущался. Но времена изменились! Сегодня ситуация совершенно другая: Google Chrome сразу клеймит любой сайт без HTTPS как «небезопасный», Яндекс.Поиск безжалостно опускает HTTP-сайты в выдаче, а современные браузеры вообще отключают для таких ресурсов целый ряд важных функций. Представьте, никаких геолокаций, push-уведомлений, да и сохранённые формы не работают!
Вот конкретные последствия для бизнеса, которые я видел у своих клиентов:
- Корпоративный сайт со страницей «Контакты» без HTTPS — посетители боятся оставлять заявки, конверсия падает на 30-50%.
- Личный кабинет интернет-магазина без HTTPS — банк отказывается интегрировать платёжный шлюз.
- Веб-публикация 1С без HTTPS — браузеры блокируют скачивание печатных форм, бухгалтерия не может работать удалённо.
- Корпоративная почта Outlook Web Access без HTTPS — Outlook на iPhone и Android отказывается подключаться.
Раньше за SSL-сертификат приходилось выкладывать немалые деньги: от 3 000 руб. в год за простенький DV (Domain Validation) и до 30 000 руб. за крутой EV (Extended Validation) с той самой зелёной строкой в браузере. Но когда в 2015 году появился Let's Encrypt, вся эта индустрия, по сути, рухнула. Ведь бесплатный сертификат с автопродлением технически ничем не отличается от платного DV и в адресной строке он выглядит точно так же. Зачем платить больше?
Что такое Let's Encrypt и почему ему можно доверять
Что же такое Let's Encrypt? Это такой некоммерческий удостоверяющий центр, который выдаёт SSL-сертификаты абсолютно бесплатно. Меня всегда поражает масштаб его поддержки: финансируют проект крупнейшие IT-гиганты, такие как Google, Mozilla, Cisco, Facebook, Akamai. А управляет всем этим добром фонд Internet Security Research Group (ISRG) под надёжным крылом Linux Foundation.
Клиенты, конечно, часто спрашивают: «А это надёжно? Не отзовут завтра все эти сертификаты?» Я всегда отвечаю им, оперируя конкретными цифрами. Только представьте: с 2015 года Let's Encrypt выдал свыше 4 миллиардов сертификатов! И сегодня, по последним данным, примерно 60% всех HTTPS-сайтов в мире защищены именно ими. Все основные браузеры — Chrome, Firefox, Safari, Edge, Yandex Browser — доверяют им «из коробки». Если завтра их отзовут, то сломается половина всего интернета, а это, согласитесь, попросту невозможно.
Чем они отличаются от платных:
| Параметр | Let's Encrypt | Платный DV (Comodo, GlobalSign) |
|---|---|---|
| Стоимость | 0 ₽ | от 2 500 ₽/год |
| Срок действия | 90 дней | 1 год |
| Wildcard (*.company.ru) | Да, бесплатно | от 9 000 ₽/год |
| Иконка в браузере | Замок | Замок (то же самое) |
| Уровень шифрования | 2048-bit RSA / ECDSA P-256 | То же самое |
| Время выдачи | 30 секунд | от 5 минут до 2 дней |
| Поддержка по телефону | Нет (только community) | Есть |
| Гарантия от УЦ при компрометации | Нет | 10-1 000 000 $ (никто не выплачивает на практике) |
Единственный, пожалуй, реальный минус Let's Encrypt — это его короткий срок жизни, всего 90 дней. Но это сделано намеренно, чтобы подтолкнуть всех к автоматизации. Если у вас всего 1-3 сайта и нет своего инженера, то, конечно, такой короткий срок превращается в настоящую головную боль. А вот если автообновление настроено как надо, то это, наоборот, становится плюсом: даже если ключ будет скомпрометирован, через 90 дней он сам по себе перестанет работать.
Реальный кейс: как просроченный сертификат стоил клиенту 280 000 рублей
Вот вам живой пример из практики. В сентябре 2025 года ко мне обратилась владелица целой сети детских развивающих центров. У неё пять локаций по Москве, и, конечно, есть сайт с онлайн-записью, оплатой и личным кабинетом для родителей. И вот как-то утром ей в WhatsApp прилетело сразу десяток сообщений от встревоженных мам и пап: «У вас сайт пишет, что он опасный, я не могу записать ребёнка!» Она, конечно, сразу открывает сайт — а там эта жуткая красная страница с надписью «Подключение не защищено».
Мы тут же стали разбираться в ситуации. Оказалось, что предыдущий подрядчик целых три года назад выпустил сертификат Let's Encrypt вручную и напрочь забыл про автопродление. Соответственно, через 90 дней он просто истёк. Мы также выяснили, что скрипт автообновления кто-то когда-то всё-таки настроил, но он уже давно «падал», потому что после переезда сайта изменился путь к webroot. И самое печальное — никто этого не замечал, ведь никакого мониторинга не было.
Финансовые потери за два дня простоя:
- Не записались на пробное занятие 47 детей. Средний чек первого месяца обучения — 6 000 руб. Конверсия из «попробовал» в «купил абонемент» — 67%. Расчётная упущенная выгода: 47 × 6 000 × 0.67 = 188 940 руб.
- 30 родителей не смогли оплатить продление абонемента — деньги пришли с задержкой, кассовый разрыв ~90 000 руб.
- Репутационные потери: 12 родителей написали в чат района, что «у них что-то с сайтом, может, мошенники, не записывайтесь».
Я лично приехал в тот же день, чтобы решить проблему. Восстановил сертификат всего за 20 минут, потом настроил нормальное автообновление и, конечно, добавил мониторинг: теперь директору и моим инженерам приходят уведомления в Telegram за 14 дней до истечения срока. Вся эта работа обошлась в 8 000 руб. Теперь этот клиент у нас на абонентском обслуживании, и SSL-сертификаты на всех его доменах продлеваются сами, без лишних хлопот.
Как мы настраиваем Let's Encrypt в АйТи Фреш
Я не буду сейчас расписывать установку по шагам — мануалов по этой теме в сети тысячи, и вы их легко найдёте. Лучше я расскажу вам про тот подход, который мы выработали, настроив более 80 доменов, и который, на мой взгляд, реально работает на длинной дистанции.
Шаг 1. Выбираем ACME-клиент. Здесь у нас есть два основных игрока: certbot (он на Python, разработан EFF) и acme.sh (это bash-скрипт). Для большинства своих клиентов я предпочитаю acme.sh — он очень удобен, потому что не требует Python, сразу «из коробки» поддерживает более 150 DNS-провайдеров (в том числе Yandex.Cloud, Selectel, REG.RU) и не зависит от системных пакетов. Certbot я ставлю только там, где нужна интеграция с уже готовым плагином для nginx или apache.
Шаг 2. Выбираем способ валидации. Вариантов два:
- HTTP-01 — валидация через файл на сайте. Просто, но требует, чтобы сайт был доступен в интернете на 80-м порту. Подходит для большинства случаев.
- DNS-01 — валидация через TXT-запись в DNS. Сложнее, но позволяет получать wildcard-сертификаты (
*.company.ru) и работает для серверов без публичного IP (например, внутренний 1С-сервер с самоподписанным DNS).
Вот как мы подходим к выбору метода: для интернет-магазина мы обычно используем HTTP-01. А вот для корпоративных доменов, где есть поддомен на каждый отдел (например, 1с.company.ru, почта.company.ru, кадры.company.ru), мы выбираем DNS-01 с wildcard-сертификатом. Это очень удобно, потому что один такой wildcard-сертификат покрывает все будущие поддомены, и можно больше вообще про это не думать.
Шаг 3. Настраиваем автообновление с deploy hooks. Вот это, я считаю, ключевой момент. Сам по себе сертификат, конечно, бесполезен — его ведь нужно ещё положить в нужное место и перезапустить веб-сервер. Я реализую это через systemd timer, который запускает обновление дважды в день, и специальный deploy hook. Этот хук после каждого обновления сам перезагружает nginx (или apache, или службу 1С), чтобы всё заработало как надо.
# Шаблон systemd timer, который мы кладём клиентам
[Timer]
OnCalendar=*-*-* 02,14:00:00
RandomizedDelaySec=3600
Persistent=true
[Service]
Type=oneshot
ExecStart=/root/.acme.sh/acme.sh --cron --home /root/.acme.sh
ExecStartPost=/usr/sbin/nginx -t
ExecStartPost=/bin/systemctl reload nginx
Шаг 4. Настраиваем мониторинг. Это то, что забывают 95% подрядчиков. Без мониторинга вы узнаете о проблеме только тогда, когда позвонит злой клиент. Мы настраиваем простой скрипт, который ежедневно проверяет срок действия всех сертификатов и шлёт в Telegram предупреждение за 14 дней и критическое за 7 дней. Стоит копейки, спасает карьеру.
Шаг 5. Обязательно документируем. Это наша золотое правило! На каждый клиентский домен у нас в Confluence заведена подробная карточка: там указано, где лежит сертификат, как он обновляется, куда смотреть в случае проблем, и, конечно, чей телефон у владельца домена. Выгода очевидна: если вдруг уволился инженер, новый сотрудник разберётся в ситуации за 5 минут, а не за 5 часов.
Веб-1С, Bitrix, корпоративная почта — частные случаи
Один из самых частых запросов, который я слышу от клиентов, это: «Настройте нам HTTPS для веб-1С». Давайте пройдёмся по самым типичным конфигурациям.
Веб-публикация 1С через Apache (Linux). Сертификат выпускаем стандартно через acme.sh, кладём в /etc/ssl/private/, в конфиг Apache добавляем директивы SSLEngine on, SSLCertificateFile, SSLCertificateKeyFile. Deploy hook перезапускает Apache. Настройка нового домена — 30 минут, стоимость — 4 500 руб.
Если речь идёт о веб-публикации 1С через IIS (Windows), то здесь есть нюанс: под Windows acme.sh напрямую не работает. Поэтому мы берём win-acme — это такой форк, специально собранный под Windows. Он сам импортирует сертификат в Certificate Store, привязывает его к нужному сайту в IIS и самостоятельно настраивает автообновление через Task Scheduler. Стоимость такой работы у нас — 5 500 руб.
Bitrix. У него есть свой модуль для Let's Encrypt в админке, но на нестандартных конфигурациях он работает плохо. Поэтому мы обычно ставим acme.sh отдельно и подкладываем сертификат в /etc/nginx/ssl/. Цена та же — 4 500 руб. Wildcard на все поддомены магазина — 7 000 руб.
Для корпоративной почты на Postfix + Dovecot мы выпускаем сертификат на mail.company.ru. После выпуска deploy hook перезапускает оба сервиса. Важный момент: отдельно настраиваем сертификат для веб-интерфейса, будь то SOGo или Roundcube. Цена этой услуги — 6 000 руб., потому что после переключения нам нужно ещё обязательно проверить корректность DKIM, SPF и DMARC.
А вот с Microsoft Exchange всё намного сложнее. Exchange использует один сертификат сразу под несколько сервисов — это OWA, EAS, Outlook Anywhere, AutoDiscover — и он должен покрывать сразу несколько имён через SAN. Win-acme, конечно, это умеет, но настройку я настоятельно советую доверить инженеру с хорошим опытом. У нас эта услуга стоит 12 000 руб.
Когда Let's Encrypt НЕ подходит
Будем честны: есть несколько случаев, когда я сам советую клиенту купить платный сертификат, а не использовать Let's Encrypt:
- Государственные ИС. Для интеграции с СМЭВ, ЕГИС и другими гос-системами часто требуется сертификат от российского УЦ (КриптоПро, АО «ИнфоТеКС»). Let's Encrypt не подходит юридически.
- Финансовые сервисы с EV-сертификатом. Раньше зелёная адресная строка повышала доверие к банковским сайтам. Сейчас браузеры её убрали, но в некоторых аудитах PCI DSS всё ещё требуют EV.
- Внутренние сервисы без выхода в интернет и без внешнего DNS. Если у вас закрытый контур, Let's Encrypt валидацию пройти не сможет. Используйте внутренний УЦ на базе AD CS или EJBCA.
- Сертификаты для подписи кода (Code Signing). Let's Encrypt такие не выдаёт. Нужен платный сертификат от DigiCert или Sectigo, от 25 000 руб./год.
- Клиентские сертификаты для аутентификации. Для mTLS с проверкой клиента — собственный CA, не Let's Encrypt.
Во всех остальных случаях — а это, по моим наблюдениям, 95% сайтов малого и среднего бизнеса — Let's Encrypt полностью закрывает все потребности, и я смело его рекомендую.
Сколько стоит наша работа
Чтобы вам было понятно, во что обойдётся настройка «под ключ», вот мои тарифы, актуальные на апрель 2026 года:
| Услуга | Что входит | Стоимость |
|---|---|---|
| Один домен, один сайт | Выпуск, автообновление, мониторинг, документация | 4 500 ₽ |
| Wildcard-сертификат | *.company.ru на все поддомены | 7 000 ₽ |
| Веб-1С через Apache/IIS | Сертификат + настройка веб-сервера + проверка работы | 5 500 ₽ |
| Microsoft Exchange | SAN-сертификат на 4-5 имён, импорт через PowerShell | 12 000 ₽ |
| Пакет 10+ доменов | Централизованный мониторинг, дашборд, SLA | от 25 000 ₽ |
В стоимость, которую я озвучиваю, всегда входит 90-дневная гарантия. Это значит, что если что-то сломается в этот срок, мы всё починим бесплатно. А для наших клиентов на абонентском обслуживании эта услуга обычно уже включена в базовый тариф, без каких-либо доплат.
Нужно навсегда забыть о просроченных SSL?
Мне важно личное общение, поэтому на аудит к клиентам я выезжаю лично — по Москве и в радиусе 50 км от МКАД. Моя цель — за один день настроить автообновление SSL-сертификатов на всех ваших сайтах, веб-1С и почтовых серверах, подключить мониторинг с уведомлением в Telegram и, конечно, оставить подробную документацию на русском языке. Это чтобы ваш системный администратор не зависел от нас и всегда мог сам разобраться в ситуации.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы клиентов про SSL и Let's Encrypt
- Let's Encrypt действительно бесплатный? В чём подвох?
- Да, полностью бесплатный. Подвоха нет — это некоммерческий проект Linux Foundation. Платят за инфраструктуру крупные компании (Google, Cisco, Mozilla, Internet Society). Сертификаты валидны во всех современных браузерах и в Яндекс.Поиске. Единственное ограничение — срок действия 90 дней, поэтому нужна автоматизация продления.
- Подходит ли Let's Encrypt для коммерческого сайта? Не выглядит ли это несолидно?
- Подходит. Сертификат Let's Encrypt используют Сбербанк (часть сервисов), Госуслуги (тестовые контуры), большинство крупных интернет-магазинов. В адресной строке отображается такой же замок, как у платного сертификата. Различие видно только в деталях, которые рядовой клиент не смотрит.
- Сколько стоит настроить автообновление в АйТи Фреш?
- Один сайт с базовым автообновлением — 4 500 руб. Wildcard-сертификат на все поддомены (например, *.company.ru) — 7 000 руб. Пакет на 10+ доменов с центральным мониторингом и Telegram-уведомлениями — от 25 000 руб. Включена 90-дневная гарантия: если что-то сломается, мы исправим бесплатно.
- А что с веб-1С на Apache и сертификатами для Bitrix?
- Let's Encrypt работает с любым веб-сервером: Apache, Nginx, IIS, Caddy. Для веб-публикации 1С через Apache мы выпускаем сертификат и настраиваем deploy hook для автоматической перезагрузки Apache после продления. Для Bitrix у acme.sh есть готовый плагин — устанавливается одной командой.
- Что будет, если сертификат всё-таки просрочится?
- Браузеры покажут предупреждение «Подключение не защищено», и большинство посетителей закроет сайт. Для интернет-магазина это потеря 50-90% продаж в день простоя. Для корпоративного сайта — удар по репутации. Поэтому мы настраиваем мониторинг с уведомлением за 14 дней до истечения и второе уведомление за 7 дней — успеваем разобраться даже при сбое автообновления.
