Одним из ограничений бесплатного центра сертификации Let's Encrypt является то, что он не выдаёт сертификаты типа wildcard на поддомены (см. «Полное руководство по переходу с HTTP на HTTPS»). Такие сертификаты покрывают основной домен, а также неограниченное количество поддоменов (*.example.com ) — например, example.com, www.example.com, mail.example.com, ftp.example.com и т. д. Некоторые центры сертификации продают такие сертификаты от $475 в год. Let's Encrypt будет выдавать их бесплатно.Сервис Let's Encrypt предоставляется организацией Internet Security Research Group (ISRG). Вчера она сообщила приятную новость: wildcard-сертификаты начнут выдавать с января 2018 года! Такие сертификаты были одной из самых запрашиваемых фич, о которой упоминали пользователи. И в самом деле, пользоваться подстановочными знаками (*.example.com) в некоторых случаях гораздо удобнее, чем перечислять каждый домен в отдельности, что разрешают стандартные DV-сертификаты Let's Encrypt. В некоторых случаях это упрощает переход на HTTPS, а ведь всеобщий переход на шифрование — и есть главная цель проекта Let's Encrypt, который действует для общественного блага и живёт на пожертвования. В конечном итоге, 100% веба должно быть зашифровано нашими совместными усилиями.
В настоящее время Let’s Encrypt защищает около 47 млн сайтов с помощью автоматизированного сервиса по выдаче и продлению краткосрочных DV-сертификатов и через API для управления ими. Не в последнюю очередь благодаря этому сервису доля HTTPS-трафика в интернете выросла с 40% до 58% (по количеству загрузок страниц) с того момента, как Let’s Encrypt начал работу в декабре 2015 года.
Wildcard-сертификат защищает неограниченное количество доменов, в этом его преимущество перед сертификатом DV, где есть лимит на максимальное количество добавляемых доменов. Таким образом, достаточно сгенерировать одну-единственную пару ключей и получить один сертификат — а затем можно создавать сколько угодно поддоменов, на которые этот сертификат автоматически будет распространяться.
Wildcard-сертификаты будут выдавать бесплатно через будущий интерфейс ACME v2 API Endpoint, который начнёт работу тоже в январе 2018 года. В данный момент Let's Encrypt работает по протоколу ACME v1. Хотя это открытый протокол, разработанный Mozilla, Мичиганским университетом и Фондом электронных рубежей, но ACME v2 будет принят в качестве стандарта IETF. Кроме того, ACME v2 разработан с расчётом на применение в других центрах сертификации и имеет ряд тенических преимуществ перед ACME v1.
В первое время проверка поддоменов для wildcard-сертификатов Let's Encrypt будет осуществляться через DNS, но со временем добавят другие опции проверки. Любые вопросы о новых типах сертификатов можете задавать на форумах Let's Encrypt.
