Как это работает

Не обязательно знать криптографию, чтобы пользоваться Certbot. Но если понять три вещи - кто выдаёт сертификат, как доказывают владение доменом и почему сертификат короткоживущий - всё остальное перестанет казаться магией.

Кто выдаёт сертификат

Сертификат выдаёт центр сертификации (по-английски CA, Certificate Authority). В нашем случае это Let's Encrypt. Браузеры заранее доверяют списку таких центров, поэтому сертификат от Let's Encrypt сразу принимается без предупреждений.

Certbot - это посредник между вами и центром. Он говорит с Let's Encrypt по стандартному протоколу ACME: «вот домен, выдай на него сертификат».

Как доказать, что домен ваш

Центр не выдаёт сертификат кому попало - сначала надо доказать, что домен действительно ваш. Для этого ACME устраивает проверку (challenge). Есть два основных способа.

Идея проверки простая: только настоящий владелец домена может либо положить файл на его сайт, либо изменить его DNS-записи. Сделали - значит, домен ваш.

Что происходит шаг за шагом

Срок 90 дней и автопродление

Сертификат Let's Encrypt действует 90 дней - это короче, чем у платных, и сделано нарочно ради безопасности. Вручную обновлять каждые три месяца было бы мучением, поэтому Certbot при установке настраивает автопродление: он сам заранее перевыпускает сертификат, когда до конца остаётся меньше 30 дней. Вам ничего делать не нужно - один раз настроили и забыли.