Skip to content
EN

Как продлить Let's Encrypt автоматически

Коротко:

Для автопродления Let's Encrypt: sudo certbot renew --dry-run — проверка. Затем настроить cron: 0 3 * * * certbot renew --quiet --post-hook "systemctl reload nginx". Let's Encrypt действителен 90 дней, certbot продлевает за 30 дней до истечения.

Проверить SSL своего сайта →

Пошаговая инструкция

  1. Проверьте срок сертификата. Онлайн: /ssl. CLI: sudo certbot certificates.
  2. Dry-run продления. sudo certbot renew --dry-run — проверяет, получится ли продлить без реальной операции.
  3. Настройте cron для автопродления. sudo crontab -e0 3 * * * certbot renew --quiet --post-hook "systemctl reload nginx"
  4. Мониторинг SSL-expiry. Включите Enterno.io SSL-мониторинг — получите email/Telegram за 14 дней до истечения, если certbot почему-то не отработает.
  5. Проверка после продления. Через минуту проверьте curl -sI https://example.com — должен отдавать новый Not-After. Либо в браузере ctrl+shift+R.

Открыть инструмент →

Проверка статуса Let's Encrypt сертификата

Чтобы проверить статус вашего Let's Encrypt сертификата, выполните следующую команду:

sudo certbot certificates

Эта команда выведет список всех ваших сертификатов, их состояния и даты истечения. Если вы видите, что срок действия сертификата скоро истечёт, вам необходимо будет его продлить.

Пример вывода команды:

Certificate Information

---------------------

Certificate Name: example.com

Certificate Expires: 2026-01-10 00:00:00

Certificate State: valid

Настройка автоматического продления Let's Encrypt сертификата через Certbot

Для автоматического продления вашего Let's Encrypt сертификата с помощью Certbot, выполните следующие шаги:

1. Установите Certbot, если он ещё не установлен.

sudo apt-get install certbot python3-certbot-nginx

2. Проверьте возможность автоматического продления:

sudo certbot renew --dry-run

Эта команда выполнит проверку, но не продлит сертификат.

3. Настройте cron для автоматического продления сертификата:

crontab -e

Добавьте следующую строку в файл crontab:

0 3 * * * certbot renew --quiet --post-hook 'systemctl reload nginx'

Эта команда будет автоматически продлевать сертификат каждые 90 дней и перезапускать Nginx после успешного продления.

Возможные ошибки при продлении Let's Encrypt сертификата и их устранение

При автоматическом продлении Let's Encrypt сертификата вы можете столкнуться с различными ошибками. Вот некоторые из них и способы их устранения:

  • Ошибка: «No valid certificates found»
  • Эта ошибка означает, что Certbot не нашёл ни одного действительного сертификата. Убедитесь, что вы правильно настроили Certbot и указали правильный домен.

  • Ошибка: «Error obtaining certificate»
  • Эта ошибка может означать, что Certbot не может получить сертификат от Let's Encrypt. Проверьте, правильно ли указаны ваши DNS-записи и доступен ли ваш домен.

  • Ошибка: «Error: renewal function failed»
  • Эта ошибка может означать, что процесс продления сертификата завершился с ошибкой. Проверьте логи Certbot и устраните причину ошибки.

    Если вы не можете устранить ошибку самостоятельно, обратитесь за помощью к сообществу Certbot или к специалистам по работе с веб-серверами.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

Нужна регистрация?

Нет для быстрой проверки. Для continuous-мониторинга — бесплатный аккаунт.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.