Первый раз ставлю SSL сертификат. Покупать или бесплатный?

Как по мне, это дыра в безопасности.

Letsencrypt даёт бесплатные wildcard сертификаты.

Установка - 5 минут.

Уже сто раз описывалось, но на всякий случай, пошагово

Опишу свой вариант для Ubuntu+nginx

Nginx собирается вручную, поэтому будет в полуавтоматическом режиме

Ставим certbot

apt install certbot

После того, как всё встало

certbot -d "*.site.com" -d "site.com" --manual --preferred-challenges dns certonly --server https://acme-v02.api.letsencrypt.org/directory --email mail@site.com

где site.com - ваш сайт, ну и мыло в конце своё

Будет задано несколько вопросов. а в конце оно попросит прописать TXT запись в ДНС с определённым ключом

Типа, _acme-challenge.site.com.

Перед тем, как в последний раз нажать enter, прописываем запись

Если свой днс, то что-то типа такого

_acme-challenge.site.com.    IN      TXT     "тут пишем ключ"

Если DNS внешний, то просто добавляем такую запись в панельке

Проверяем, что оно отдаётся наружу

dig txt _acme-challenge.site.com

Должно показать ключ. Если показывает, то уже после этого, жмём enter в диалоге certbot

Всё.

В /etc/letsencrypt/live появляется директория site.com с ключами

Соответственно, пихаем их конфиг nginx (ну или куда там надо...)

                ssl_certificate         /etc/letsencrypt/live/site.com/fullchain.pem;

                ssl_certificate_key     /etc/letsencrypt/live/site.com/privkey.pem;

Сертификат выдаётся на три месяца, но, чтобы не заморачиваться, просто добавляем в крон

00 12 * * 7 certbot renew --post-hook "systemctl reload nginx" > /var/log/letsencrypt/Renew/renew.log 2> /var/log/letsencrypt/Renew/error.log

Оно раз в неделю будет проверять сертификат на тему протухания, и, если срок подходит к концу, он автоматом обновляет сертификат и в случае успеха релоадит nginx

post-hook может быть любым

Естати. если сайтов много, то renew автоматом для всех срабатывает.

Всё.

Поставил и забыл.

А у нас большой выбор из бесплатных (популярных)? :)

Если имеются какие-то заморочки в этом плане, можете сами скрипт продления написать :)

Let's encrypt конечно же )

Проще самому раз в три месяца менять если паранойя не даёт certbot пользоваться. Ну или купить на 1-2-3 года и не париться если и лень и паранойя одновременно обе ваши подружки по жизни :)

Выше отличный мануал по получению бесплатного сертификата ssl. Примерно аналогичным руководствуюсь, только на хабре пару лет назад увидел вроде. Если у кого-то паранойя и охота самому вручную продливать, то можно подключить напоминалку host-tracker.com/ru/Blog/Domain_ssl заодно и про продление домена на запамятуешь.

Рекомендую глянуть в сторону cloudflare.com, вещаете туда домен и он сам решает вопрос с ssl + еще ряд плюшек типа DDoS protection и прочего.

Если речь о EV-серте, то это не понты. По крайней мере на бурж трафике (на рунете никогда не проверял), у шопов с ev-сертификатами всегда был больше конверт, чем с обычным ssl сертом. Буржуев ооочень долго приучали к тому, что зеленая строчка в браузере, значит безопасно.

Интересное наблюдение. И даже заставляет задуматься.

И такого рода ожидания - оправданы? на ваш взгляд?

Кстати интересная мысля, т.к. раньше всегда не понимал зачем платить если от клоудфаре можно подключить