Получите SSL-сертификаты без неожиданных блокировок — разбираем все ограничения Let’s Encrypt.
Просто я устал вечно искать эти ограничения в интернете, когда с ними сталкиваешься периодически, и сделал эту статью для себя.
Введение
Let’s Encrypt revolutionized web security, предоставляя бесплатные SSL-сертификаты. Однако у сервиса есть строгие лимиты, предназначенные для предотвращения злоупотреблений. Понимание этих ограничений критически важно для бесперебойной работы ваших сайтов.
📊 Основные лимиты Let’s Encrypt
1. Лимиты частоты запросов
На аккаунт:
| Лимит | Значение | Период | Что означает |
|---|---|---|---|
| Сертификаты на домен | 50 | Неделя | Максимум 50 новых сертификатов для одного домена |
| Дублирующие сертификаты | 5 | Неделя | Одинаковые сертификаты нельзя перевыпускать часто |
| Новые аккаунты | 50 | 3 часа | Лимит для новых аккаунтов с одного IP |
| Заказы | 300 | 3 часа | Максимум заказов сертификатов |
На FQDN (домен):
| Лимит | Значение | Период | Последствия |
|---|---|---|---|
| Неудачные авторизации | 5 | Час | Привы видели эту ошибку! |
| Ошибки валидации | 60 | Час | Превышение → временная блокировка |
2. Лимиты на сертификаты
Размер сертификата:
- До 100 доменов в одном сертификате
- Wildcard сертификаты покрывают все поддомены
- Минимальный срок жизни: 90 дней
Технические требования:
- Ключи: минимум 2048-bit RSA или 256-bit ECDSA
- Алгоритмы: RSA, ECDSA
- DNS-валидация: TXT записи должны быть глобально доступны
🚨 Частые ошибки и решения
Ошибка: «Too many failed authorizations»
# Что видите:
"too many failed authorizations (5) for \"domain.ru\" in the last 1h"
# Решение:
acme.sh --issue --dns -d domain.ru --staging # Тестовый режим
# Ждите 1 час до сброса счетчикаОшибка: «Too many certificates already issued»
# Решение:
# 1. Используйте существующие сертификаты
acme.sh --renew -d domain.ru
# 2. Объедините домены в один сертификат
acme.sh --issue -d domain.ru -d www.domain.ru -d api.domain.ru🛠️ Практические сценарии
Сценарий 1: Разработка и тестирование
# Всегда используйте staging для разработки
acme.sh --issue --dns -d test.domain.ru --staging
# Переход на боевой режим
acme.sh --issue --dns -d domain.ru --forceСценарий 2: Mass deployment
# Неправильно - превысите лимиты:
for domain in ${DOMAINS[@]}; do
acme.sh --issue -d $domain # Будет 50+ запросов!
done
# Правильно - группируйте домены:
acme.sh --issue -d domain1.ru -d domain2.ru -d domain3.ru ...Сценарий 3: Автоматическое обновление
# acme.sh автоматически следит за лимитами
acme.sh --renew-all --force
# Ручная проверка
acme.sh --list📈 Стратегии работы с лимитами
1. Планирование выпуска сертификатов
- Группируйте домены (до 100 в сертификате)
- Обновляйте сертификаты заранее
- Используйте wildcard для поддоменов
2. Мониторинг использования
# Проверка статуса доменов
acme.sh --info -d domain.ru
# Просмотр всех сертификатов
acme.sh --list3. Альтернативные стратегии
# При превышении лимитов Let's Encrypt
acme.sh --set-default-ca --server zerossl
acme.sh --issue -d domain.com
# Или используйте другие CAs
acme.sh --set-default-ca --server buypass🔄 Автоматизация и лучшие практики
Настройка автоматического обновления
# acme.sh автоматически добавляет в cron
crontab -l | grep acme
# Принудительное обновление
acme.sh --renew-all --forceРезервные стратегии
- Храните старые сертификаты как резервные
- Настройте мониторинг срока действия
- Используйте несколько аккаунтов для критичных доменов
❗ Что делать при блокировке
- Определите тип блокировки:
# Проверьте ошибку в логах
tail -f /acme.sh/acme.sh.log- Временные решения:
- Используйте staging окружение
- Перейдите на ZeroSSL или другие CAs
- Воспользуйтесь существующими сертификатами
- Ожидание сброса:
- Большинство лимитов сбрасываются ежечасно
- Недельные лимиты — ждите 7 дней
💡 Профилактика проблем
Регулярные проверки:
# Еженедельная проверка
acme.sh --renew-all
acme.sh --list
# Мониторинг сроков
openssl x509 -in certificate.crt -noout -datesНастройка оповещений:
- Мониторинг 30-дневного срока до истечения
- Оповещения о ошибках обновления
- Логирование всех операций с сертификатами
Заключение
Let’s Encrypt предоставляет мощный инструмент для безопасности ваших сайтов, но требует понимания его ограничений. Правильное планирование выпуска сертификатов, использование wildcard-сертификатов и настройка автоматического обновления помогут избежать проблем с лимитами.
Ключевые выводы:
- Группируйте домены в сертификаты
- Используйте staging для тестирования
- Настройте автоматическое обновление
- Следите за лимитами failed validations
Следуя этим рекомендациям, вы сможете максимально эффективно использовать бесплатные SSL-сертификаты без неожиданных блокировок.
Статья актуальна для Let’s Encrypt на 2025 год. Актуальные лимиты всегда можно проверить на official website.
