Продление сертификата Let's Encrypt
продление lets encrypt · acme ssl renew · certbot auto renew проверка
Как обновляются 90-дневные сертификаты Let's Encrypt, ACME HTTP-01 vs DNS-01, проверка продления через SSL checker и исправление упавших auto-renew jobs.
Автор: Команда DN01
Let's Encrypt выдаёт бесплатные DV-сертификаты на 90 дней, предполагая автоматизацию продления. Ручной контроль быстро ломается в масштабе — относитесь к успеху ACME как к мониторимой задаче, а не к записи в календаре.
После каждого деплоя продления подтвердите живой публичный hostname через SSL Certificate Checker и проверьте, что notAfter сдвинулся примерно на 90 дней вперёд.
Типы ACME challenge
HTTP-01: ACME-клиент отдаёт токен по `http://hostname/.well-known/acme-challenge/...` — нужен порт 80, доступный из интернета.
DNS-01: TXT-запись на `_acme-challenge.example.com` — работает для wildcard и когда HTTP заблокирован; автоматизируйте через DNS API по возможности.
TLS-ALPN-01: реже, используется на порту 443 с определённой ALPN-negotiation.
Когда продление не удаётся
Проверьте логи certbot или ingress controller на 403/timeout по URL challenge.
Убедитесь, что CAA-записи разрешают `letsencrypt.org`, если CAA опубликованы.
Rate limits: слишком много неудачных заказов или дубликатов в неделю — подождите или используйте staging endpoint при отладке.
После исправления перезапустите SSL Checker — устаревшие edge-сертификаты CDN могут кэшировать старый срок до purge.
Частые вопросы
- За сколько дней до истечения продлевать?
Автоматизируйте на 30 день; алерт на 14. LE рекомендует продление при оставшейся 1/3 срока (~30 дней).
- Wildcard требует DNS-01?
Да для стандартных ACME-клиентов — выпуск wildcard требует DNS-01 validation.
- Изменится ли fingerprint сертификата при продлении?
Обычно да — новый cert, новый serial. Pinning-приложения должны обновить pins или не pin'ить публичные LE-сертификаты.