раздел 04

Альтернативы и когда не нужен

Certbot - отличный инструмент, но не единственный, и часто он вообще не нужен. Если вы не держите свой VPS руками, HTTPS, скорее всего, включается сам. Стоит знать варианты, чтобы не делать лишнюю работу.

Когда Certbot не нужен

Облачный хостинг

Vercel и Netlify выдают и продлевают SSL сами. Подключили домен - замок появился, ничего настраивать не надо.

Cloudflare-прокси

Если домен проксируется через Cloudflare, он сам даёт HTTPS между посетителем и собой.

Caddy и Traefik

Эти reverse-proxy умеют авто-HTTPS из коробки: получают и продлевают сертификат сами, без отдельного Certbot.

Облачный хостинг: проще всего

Если сайт деплоится на Vercel или Netlify, забудьте про Certbot целиком. Вы просто привязываете домен в панели, а платформа сама выпускает сертификат и продлевает его. Это самый беспроблемный путь для большинства веб-проектов. Как это устроено - в гайде Хостинг и деплой через Vercel.

Cloudflare и авто-HTTPS reverse-proxy

Cloudflare-прокси выдаёт SSL на стороне Cloudflare, так что посетитель видит замок, даже если на вашем сервере сертификата нет. А если вы запускаете приложение за Caddy или Traefik, они сами сходят в Let's Encrypt и поднимут HTTPS - вам останется только указать домен в конфиге. Certbot в этих случаях избыточен.

Wildcard: сертификат на все поддомены

Иногда нужен один сертификат сразу на все поддомены - например, *.example.com, где example.com это плейсхолдер. Такой сертификат называется wildcard. Получить его через обычную проверку HTTP-01 нельзя - для wildcard Let's Encrypt требует проверку DNS-01 (через TXT-запись в DNS). Certbot это умеет, но настройка чуть сложнее, потому что нужен доступ к управлению DNS домена.