Как получить SSL-сертификат бесплатно и подключить его к сайту

Если у вас небольшой проект, платить за сертификат не обязательно: есть простые бесплатные варианты, которые уберут отпугивающее предупреждение «Соединение не защищено» с вашего сайта. В этой статье — пошаговый алгоритм: как получить SSL бесплатно и подключить его к сайту за 10–15 минут. Никаких сложных терминов, только рабочие шаги.

Официально: SSL‑сертификат (Secure Sockets Layer) — это цифровой документ, который подтверждает подлинность сайта и позволяет использовать зашифрованное соединение между браузером пользователя и сервером. 

Проще говоря, SSL‑сертификат превращает обычное соединение http:// в защищенное https://. Зачем это нужно? Основная задача SSL‑сертификата — защита данных. 

Когда пользователь отправляет информацию через сайт, например, заполняет форму с личными данными или совершает платеж, сертификат шифрует ее. Без SSL злоумышленники могут перехватить эти данные — номера карт, пароли, адреса. 

Кроме того, поисковые системы такие как Google и Яндекс отдают предпочтение сайтам с HTTPS.  То есть такие ресурсы выше ранжируются в выдаче. Подробнее об этом рассказали в статье: Как SSL (наличие https) влияет на SEO и ранжирование в Google и Яндекс. 

Кратко о том, как это работает:

1. Пользователь заходит на сайт по HTTPS.
2. Сервер отправляет браузеру свой SSL‑сертификат.
3. Браузер проверяет сертификат на подлинность (через центр сертификации).
4. Если все в порядке, устанавливается зашифрованное соединение.

Благодаря SSL-сертификату вы получаете:

• Доверие пользователей. В адресной строке появляется значок замка — это сигнал, что сайт безопасен.
• Соответствие требованиям регуляторов. Для сайтов, обрабатывающих персональные данные, HTTPS обязателен по закону.
• Работа современных функций. Многие API и сервисы (например, геолокация или push‑уведомления) работают только на HTTPS.

Бесплатные SSL‑сертификаты подходят для большинства сайтов: блогов, интернет‑магазинов, корпоративных ресурсов. Они обеспечивают базовый уровень защиты и поддерживаются всеми современными браузерами. 

Для российских пользователей доступны следующие бесплатные SSL‑сертификаты. Кратко рассмотрим каждый из них:

Let’s Encrypt

Это самый популярный бесплатный сертификат. Выдается на 90 дней (можно автоматически обновлять). Основные плюсы: полная автоматизация, поддержка всех ОС и серверов и открытая инициатива.

Как получить SSL‑сертификат: через установку Certbot, о которой мы расскажем дальше (на официальном сайте есть инструкции для сервера Nginx, Apache, Windows).

Ограничения: не подходит для wildcard‑сертификатов (поддоменов) без дополнительной настройки.

Ссылка: https://letsencrypt.org/ru/ 

Электронный сертификат безопасности (Госуслуги)

Электронный сертификат безопасности от Минцифры РФ — это российский TLS‑сертификат, который обеспечивает защищенное соединение между пользователем и нашими интернет‑ресурсами. Его создали в ответ на прекращение выдачи иностранных сертификатов российским сайтам.

Сертификат выполняет три ключевые функции:

• шифрует данные — все передаваемые сведения (логины, пароли, платежные реквизиты) превращаются в нечитаемый для посторонних код;
• подтверждает подлинность сайта — пользователь может быть уверен, что общается не с мошенниками, а с реальным порталом (например, с официальными госуслугами, а не с его подделкой);
• защищает от фишинга — предотвращает подмену легитимных сайтов вредоносными копиями.

Как получить SSL‑сертификат: перейдите на страницу сервиса, сформируйте запрос на сертификат, подпишите запрос УКЭП, отправьте заявление на портал, установить сертификат следуя инструкциям для вашей ОС (Windows, macOS, Linux, Android, iOS), которые доступны на портале.

Ограничения: работает только с российскими браузерами (Яндекс Браузер, Атом), долго выпускается, предназначен только для юридических лиц.  

Ссылка: https://www.gosuslugi.ru/landing/tls 

Cloudflare SSL

Этот сертификат работает через CDN Cloudflare, защищает трафик только между пользователем и сетью Cloudflare, а не между вашим сервером и сетью Cloudflare, а значит он проще. 

Сертификат действует бессрочно на базовом тарифе, предназначенном для личных некоммерческих сайтов. Основные плюсы: мгновенное включение, поддержка HTTP/2, бесплатная защита от атак.

Как получить бесплатный SSL‑сертификат: подключить домен к Cloudflare, активировать SSL в настройках.

Ограничения: для шифрования очень важных данных требуется платный тариф.

Ссылка: https://www.cloudflare.com/ru-ru/application-services/products/ssl/ 

ZeroSSL

ZeroSSL выдает сертификаты на 90 дней, есть веб‑интерфейс и API. Основные плюсы: простой процесс оформления, поддержка wildcard и интеграция с Cloudflare (другим SSL-сертификатом).

Как получить бесплатный SSL‑сертификат: зарегистрироваться на сайте, пройти верификацию домена, скачать файлы.

Ограничения: для продления нужно заходить в аккаунт, доступ к сайту по российским ip-адресам может быть ограничен.

Ссылка: https://zerossl.com

Buypass Free SSL

Это аналог Let’s Encrypt https, который выдает сертификат на 180 дней. Основные плюсы: дольше срок действия, поддержка ACME‑протокола (то есть можно автоматизировать).

Как получить сертификат: через ACME‑клиент или веб‑форму на сайте Buypass.

Ограничения: меньше документации на русском языке, доступ к сайту по российским ip-адресам может быть ограничен.

Ссылка: https://www.buypass.com/products/tls-ssl-certificates/go-ssl 

Важно:

• Все перечисленные сертификаты — DV (Domain Validation), то есть подтверждают только владение доменом.
• Для организаций с высокими требованиями к безопасности (например, банки) лучше рассмотреть платные OV/EV‑сертификаты.
• Регулярно проверяйте срок действия и настраивайте автоматическое обновление сертификата.

Если у вас закончился предыдущий сертификат и вы не можете его продлить или вы заказываете его первый раз, ниже рассказываем о простых способах заказа базового SSL-сертификата Let’s Encrypt в ручном режиме, на локальном компьютере с Windows.

Вариант 1. Для тех, кто не разбирается в технике

Если вы пока не уверены в своих силах, воспользуйтесь готовым графическим инструментом — win‑acme. Он проведет вас по шагам и почти все сделает сам.

Шаг 1. Скачайте и распакуйте программу

Перейдите на официальный сайт win‑acme и скачайте архив. Распакуйте его с помощью 7‑Zip или WinRAR.

Шаг 2. Запустите программу и следуйте подсказкам

Откройте папку с распакованными файлами и запустите wacs.exe.

Выберите N: Create certificate (default settings).

Укажите тип ввода: 2: Manual input.

Введите имена доменов, для которых нужен сертификат (например /example.com).

Выберите способ подтверждения владения доменом: 6: [dns‑01] Create verification records manually.

Укажите тип веб‑сервера: 2: PEM encoded files (Apache, nginx, etc.).

Выберите папку для сохранения сертификата (например, создайте папку ssls в той же директории).

Оставьте пароль пустым: 1: None.

Пропустите дополнительные шаги: 3: No (additional) installation steps.

Шаг 3. Добавьте DNS‑запись

В выводе программы появится строка с Record: _acme‑challenge.example.com и Content: “…”.

Зайдите в панель управления DNS вашего регистратора домена и добавьте TXT‑запись:

1. имя: _acme‑challenge.example.com;
2. значение: скопируйте содержимое из Content.

Нажмите Enter в программе после добавления записи.

Шаг 4. Получите сертификат

Программа проверит запись и вы получаете сертификат.

Откройте папку ssls — там будут файлы:

1. _.example.com-chain.pem — сертификат с цепочкой;
2. _.example.com-key.pem — приватный ключ.

Установите эти файлы на ваш веб‑сервер (инструкции зависят от сервера).

Плюс этого способа в том, что им может воспользоваться человек, который совершенно не разбирается в программировании — все команды вводятся в одном окне и есть понятные подсказки на сайте. 

Вариант 2. Для тех, кто разбирается (через Certbot в WSL)

Если вы знакомы с командной строкой и хотите больше контроля, используйте Certbot в подсистеме Windows для Linux (WSL).

Шаг 1. Установите WSL

• Откройте «Панель управления» → «Программы и компоненты» → «Включение или отключение компонентов Windows».
• Отметьте «Подсистема Windows для Linux» и перезагрузите компьютер.
• Установите Ubuntu из Microsoft Store.

Шаг 2. Установка Certbot

Откройте терминал Ubuntu и выполните:

sudo apt update && sudo apt upgrade

sudo apt install certbot python3-certbot-nginx

Теперь у вас есть Certbot — он поддерживает автоматическую выдачу и обновление сертификатов.

Шаг 3. Запустите Certbot и получите сертификат

Выполните команду:

sudo certbot certonly –webroot -w /var/www/example.com -d example.com -d www.example.com

Что означают параметры:

• certbot certonly — выпустить сертификат, но не настраивать сервер;
• –webroot — метод проверки через файлы в корневой директории сайта;
• -w — путь к файлам вашего сайта;
• -d — домены, для которых нужен сертификат.

В нашем примере по прежнему берем домен — example.com.

Запуск Certbot проверит владение доменом, создаст файлы‑подтверждения и выдаст сертификат. Путь к файлам: /etc/letsencrypt/live/.

Шаг 4. Настройте веб‑сервер

Найдите файлы сертификата:

• сертификат: /etc/letsencrypt/live/example.com/fullchain.pem;
• ключ: /etc/letsencrypt/live/example.com/privkey.pem.

Добавьте эти пути в конфигурацию вашего сервера (Apache/Nginx).
Перезапустите сервер:

sudo systemctl restart nginx

Шаг 5. Настройте автоматическое обновление
Чтобы сертификат не просрочился ( у Let’s Encrypt действует 90 дней), добавьте в cron:

0 0,12 * * * /usr/bin/certbot renew –quiet

Эта команда (your certificates run certbot renew) будет проверять и обновлять сертификаты дважды в день.

Шаг 6. Проверьте работу

Откройте сайт в браузере по https://. Значок замка в адресной строке означает, что сертификат установлен. Также можно проверить через онлайн‑сервисы (например, SSL Labs).

Если что‑то пошло не так, запустите certbot please –help all для подробного вывода. Для новых доменов просто выполните certbot certonly webroot и следуйте подсказкам.

Let’s Encrypt выдает сертификаты бесплатно, но с рядом правил:

1. Срок действия — 90 дней. Это сделано для безопасности: если сертификат украден, он быстро станет недействительным.
2. Подтверждение домена — вы должны доказать, что владеете доменом. Certbot делает это автоматически (через HTTP‑файлы или DNS‑записи).
3. Ограничение на домены — один сертификат может охватывать до 100 доменов/поддоменов (например, example.com, blog.example.com).
4. Нет поддержки OV/EV — Let’s Encrypt выдает только DV‑сертификаты, которые подтверждают лишь владение доменом, а не организацию.

Для получения сертификата вам нужно иметь действующий домен (не IP‑адрес), доступ к серверу (SSH, root‑права) и работающий веб‑сервер (Apache, Nginx и т. д.).

Новые правила, которые надо учесть

В ближайшие годы правила выдачи HTTPS Let’s Encrypt серьезно изменятся. Эти изменения направлены на повышение безопасности интернета и потребуют от администраторов доменов адаптации процессов.

Главные изменения:

1. Сокращение срока действия сертификатов. Сейчас 90 дней, к 2028 году будет 45 дней. Почему это важно? Чем короче срок, тем меньше риск, если сертификат будет скомпрометирован. Но обновлять его придется вдвое чаще.

2. Резкое сокращение периода повторного использования авторизации. Сейчас использовать сертификат можно 30 дней, к 2028 году будет 7 часов. То есть после проверки владения доменом вы сможете выпустить новый сертификат лишь в течение 7 часов. Потом проверку придется проходить заново.

Что делать уже сейчас, чтобы не потерять сертификат? 

Если используете ACME‑клиент (например, Certbot), убедитесь, что Certbot поддерживает ACME Renewal Information (ARI). Эта функция предупреждает о необходимости обновления. Если ARI нет, настройте cron‑задания с интервалом не более 30 дней.

Добавьте оповещения о скором истечении сертификатов (например, за 7–10 дней) и используйте инструменты мониторинга из документации Let’s Encrypt.

Важно: изменения затронут только новые сертификаты, выданные после указанных дат. Старые продолжат действовать до истечения срока.

Если у вас уже есть файлы сертификата (например, вы заказали HTTPS Let’s Encrypt, как показано выше), загрузить их на хостинг несложно. Главное — не перепутать файлы и правильно их разместить.

Какие файлы вам нужны:

• Сертификат (файл с расширением .crt или .pem).
• Приватный ключ (файл с расширением .key).
• Цепочка сертификатов (файл .ca-bundle или .crt с промежуточными сертификатами).

Шаг № 1. Откройте панель управления хостингом.

В cPanel, ISPmanager или Plesk найдите раздел «SSL/TLS‑сертификаты» или «Управление сертификатами».

Шаг № 2. Добавьте сертификат.

Нажмите «Добавить сертификат» или «Загрузить сертификат». Заполните поля:

Имя сертификата — придумайте любое удобное название (например, «Мой сайт»).
Сертификат — вставьте содержимое файла .crt (откройте его в текстовом редакторе и скопируйте всё).
Приватный ключ — вставьте содержимое файла .key.
Цепочка сертификатов — вставьте содержимое файла .ca-bundle (если есть).

Шаг № 3. Привяжите сертификат к имени домена.

Найдите в панели управления список ваших сайтов. Выберите нужный домен и в настройках активируйте SSL. Укажите загруженный сертификат из списка.

Шаг № 4. Проверьте работу.

Откройте сайт по https://ваш-домен.ru. Убедитесь, что виден замок. Проверьте сертификат через сервис https://www.ssllabs.com/ssltest/.

Получить сертификат — это не просто установить «закрытый замок» в браузере. Он дает реальные выгоды как владельцам сайтов, так и их посетителям.

1. Защита данных.

SSL шифрует информацию, передаваемую между браузером и сервером. Это логины и пароли, платежные данные и личные сообщения.

Без SSL эти данные могут перехватить злоумышленники. С сертификатом они превращаются в нечитаемый код.

2. Доверие пользователей.

Значок замка в адресной строке сигнализирует: «Сайт безопасен». Это особенно важно, если у вас интернет‑магазин или сайт с личным кабинетом.

Пользователи реже покидают защищенные сайты и охотнее оставляют данные.

3. Улучшение позиций в поиске.

Поисковые системы Google и Яндекс учитывают наличие SSL при ранжировании. Сайты с HTTPS чаще попадают в Топ выдачи.То есть если два сайта конкурируют по ключевым запросам, преимущество получит тот, у кого есть сертификат.

4. Соответствие требованиям регуляторов.

Для сайтов, обрабатывающих персональные данные (например, email‑рассылки, анкеты), SSL часто обязателен по закону. Без него можно получить штраф или блокировку.

5. Поддержка современных функций.

Геолокация, push‑уведомления и HTTP/2, который ускоряет загрузку страниц работают только на HTTPS. Без сертификата вы лишаетесь этих возможностей.

Каждый бесплатный SSL‑сертификат действует определенное время: от 90 дней до 180 дней. Система (например, Certbot или панель хостинга) проверяет срок действия сертификата за несколько дней до его истечения. Если сертификат скоро закончится, система запрашивает новый у Let’s Encrypt.

После получения сертификата, он автоматически устанавливается на сервер. Поэтому, чтобы сайт не остался без защиты, нужно настроить автоматическое продление.

Что нужно настроить:

Способ 1. В панели хостинга найдите раздел «SSL» или «Сертификаты», включите опцию «Автоматическое продление» (если есть) и проверьте, что домен по‑прежнему привязан к хостингу.

Способ 2 (для продвинутых). В Certbot добавьте задание в cron:

0 0,12 * * * /usr/bin/certbot renew –quiet

Эта команда будет проверять и обновлять сертификаты дважды в день (подробнее смотрите в блоке: Как заказать бесплатный сертификат. Вариант 2).

Если продление не сработало, проверьте логи:

• для Certbot: sudo journalctl -u certbot;
• в панели хостинга — раздел «Логи» или «Уведомления».

Убедитесь, что домен не сменил IP‑адрес, порт 80 (HTTP) открыт для проверки и на сервере достаточно места для новых файлов.

Если проблема не решается, вручную запросите новый сертификат через панель управления или командой certbot certonly.

Получение сертификата — процесс в целом автоматизированный, но иногда возникают сбои. Разберем частые проблемы и способы их решения.

Ошибка 1. «Не удается подтвердить владение доменом»

Это значит, что система не может убедиться, что вы действительно администратор домена. Причины:

• DNS‑записи настроены неверно (например, A‑запись указывает не на тот IP‑адрес);
• порт 80 (HTTP) закрыт, и проверка домена не проходит;
• домен недавно зарегистрирован, и DNS‑изменения еще не распространились.

Чтобы исправить, проверьте A‑запись в панели управления доменом — она должна указывать на IP вашего сервера. Убедитесь, что порт 80 открыт (можно проверить через онлайн‑сервисы вроде portchecker.co).

Если домен новый, подождите до 48 часов — DNS‑серверы могут обновляться с задержкой.

Ошибка 2. «Сертификат не устанавливается на сервер»

Такое бывает если:

• файлы сертификата (.crt, .key) загружены не туда, куда нужно;
• в конфигурации веб‑сервера (Apache/Nginx) указаны неверные пути к файлам;
• сертификат выдан для другого домена или поддомена.

Чтобы исправить перепроверьте, куда вы загрузили файлы сертификата (обычно это /etc/ssl/ или /var/www/ssl/). Откройте конфигурационный файл сервера и убедитесь, что строки ssl_certificate и ssl_certificate_key ведут к правильным файлам.

Сверьте домены в сертификате и настройках сервера — они должны совпадать.

Ошибка 3. «Сайт открывается по HTTP, а не по HTTPS»

Возможно у вас не настроен редирект с HTTP на HTTPS или SSL‑сертификат установлен, но сервер не перезапущен или же браузер сохранил старую версию страницы в кэше.

Чтобы исправить настройте редирект, перезапустите сервер: sudo systemctl restart nginx, очистите кэш браузера (Ctrl + F5) и попробуйте снова.

Бесплатный SSL‑сертификат — это хороший вариант для большинства сайтов. Но у него есть плюсы и минусы, которые стоит учитывать.

Плюсы:

• Экономия. Не нужно платить за сертификат — это важно для стартапов, блогов и небольших проектов.
• Простота установки. Большинство хостингов поддерживают автоматическую выдачу через панели управления (cPanel, ISPmanager).
• Доверие пользователей. Браузеры показывают «зелёный замок», и посетители видят, что сайт безопасен.
• SEO‑бонусы. Поисковики (Google, Яндекс) предпочитают HTTPS‑сайты в выдаче.

Минусы:

• Короткий срок действия. Использовать сертификат от Let’s Encrypt можно 90 дней — далее нужно настроить автоматическое обновление.
• Ограниченная проверка. Бесплатные сертификаты подтверждают только владение доменом (DV), а не организацию (как OV/EV‑сертификаты).
• Нет гарантий поддержки. Если возникнут проблемы, помощь придётся искать в сообществе, а не у платного техподдержки.

Важно:

• Даже бесплатный сертификат требует внимания администратора — проверяйте сроки действия и настройки сервера.
• Если сайт работает в нескольких зонах (например, .ru и .com), убедитесь, что сертификат охватывает все домены.
• Для создания защищенного соединения HTTPS сертификат обязателен — без него данные передаются открыто.
• Перед выпуском сертификата проверьте адрес домена и DNS‑записи — это сэкономит время на исправление ошибок.