Let's encrypt!
Мало ли, вдруг кто пропустил.
Относительно недавно в этих наших энторнетах появился новый сервис под названием "Let's encrypt". Примечателен он тем, что совершенно безвозмездно, то есть даром, раздаёт в неограниченных количествах всем желающим годные валидные SSL-сертификаты для всяких сайтиков, апачей и прочих SSL-сервисов. При этом взамен не требует абсолютно ничего, даже регистрации. Я проверил, это действительно работает. Браузеры не ругаются, говорят что всё ОК. Подтверждение владения доменом осуществляется либо внесением записей в DNS, либо созданием страничек с хитрыми наперёд заданными URLами.
Одно "но". Там нет ни "личного кабинета", ни привычного веб-интерфейса, как у того же StartSSL. Всё взаимодействие с сервисом осуществляется при помощи набора специальных Python-овских скриптов, которые нужно скачать с GitHub-а и запустить у себя на сервере. Для особо ленивых одминов вроде меня эти же скрипты уже оформлены в виде пакетов в составе наиболее популярных Linux-дистрибутивов. В качестве приятного бонуса эти же скрипты могут автоматически внести изменения в конфигурационные файлы веб-сервера. Однако, есть и некоторые нюансы (см. ниже).
Достоинства такого подхода.
- Халява!!!11 "Много счастья, всем и даром". ©
- Простота. "И не надо ничего знать, только скриптики запускать..." ©
- Широкие возможности для автоматизации ("пыщь - и готово").
- Можно указывать сколько угодно доменов в поле DNSAlternativeName.
Недостатки.
- Сертификаты выпускаются сроком всего на три месяца. После чего их надо обновлять-продлевать всё тем же скриптом.
- Пока что скрипты умеют нормально взаимодействовать только с Apache. Для Nginx и прочих подсовывать сертификаты "придётся вручную" ©.
- Принципиально не дают wildcard-сертификаты (а кто их вообще даёт нахаляву?).
- Сертификаты они выпускают таки слегка кривые. Из-за весьма своеобразного заполнения поля CertificatePolicy им наотрез отказывается верить Windows XP в любых видах и проявлениях. С более современными операционными системами проблем нет.