раздел 01
Как это работает
Не обязательно знать криптографию, чтобы пользоваться Certbot. Но если понять три вещи - кто выдаёт сертификат, как доказывают владение доменом и почему сертификат короткоживущий - всё остальное перестанет казаться магией.
Кто выдаёт сертификат
Сертификат выдаёт центр сертификации (по-английски CA, Certificate Authority). В нашем случае это Let's Encrypt. Браузеры заранее доверяют списку таких центров, поэтому сертификат от Let's Encrypt сразу принимается без предупреждений.
Certbot - это посредник между вами и центром. Он говорит с Let's Encrypt по стандартному протоколу ACME: «вот домен, выдай на него сертификат».
Как доказать, что домен ваш
Центр не выдаёт сертификат кому попало - сначала надо доказать, что домен действительно ваш. Для этого ACME устраивает проверку (challenge). Есть два основных способа.
Идея проверки простая: только настоящий владелец домена может либо положить файл на его сайт, либо изменить его DNS-записи. Сделали - значит, домен ваш.
Что происходит шаг за шагом
Срок 90 дней и автопродление
Сертификат Let's Encrypt действует 90 дней - это короче, чем у платных, и сделано нарочно ради безопасности. Вручную обновлять каждые три месяца было бы мучением, поэтому Certbot при установке настраивает автопродление: он сам заранее перевыпускает сертификат, когда до конца остаётся меньше 30 дней. Вам ничего делать не нужно - один раз настроили и забыли.