бесплатный сертификат SSL

  Как установить бесплатный сертификат SSL?

Let’s Encrypt SSL-сертификат.

Let's Encrypt - это бесплатный, автоматизированный и открытый центр сертификации, созданный некоммерческой организацией Internet Security Research Group (ISRG) .

Некоммерческий центр сертификации Let’s Encrypt предлагает сертификаты с подверждением домена (Domain Validation, DV).
Let’s Encrypt не выпускает сертификаты с подтверждением организации (Organization Validation, OV) или сертификаты высокой надёжности (Extended Validation, EV).

SSL сертификаты, удостоверяющие только домен (DV-сертификаты), доступны для юридических, физических лиц и ИП.

Сертификаты с проверкой домена DV (Domain Validation) предоставляют самый быстрый, простой и экономичный способ получения стандартного шифрования. Чтобы получить сертификат DV, компании должны подтвердить право собственности на защищаемый домен. Выданные за считанные минуты, сертификаты DV отображают индикаторы доверия в браузерах, такие как значок замка и HTTPS. Поскольку организация не проверяется, сертификаты DV не рекомендуются для сайтов, ориентированных на потребителя или электронной коммерции.

  Установить бесплатный SSL-сертификат на сайт

Любой, кто столкнулся с проблемой настройки безопасного веб-сайта, знает, как сложно получить и поддерживать сертификат SSL.
Безопасная связь через Интернет основана на протоколе HTTPS, который требует использования цифрового сертификата, позволяющего браузерам проверять подлинность веб-серверов.
Чтобы включить HTTPS на своем веб-сайте, вам необходимо получить сертификат (особый файл) из Центра Сертификации (CA).
Let’s Encrypt - один из таких Центров. Перед получением сертификата для доменного имени нужно подтвердить право на владение доменом. Let’s Encrypt использует для этого специальное ПО - протокол ACME, запускаемое на web-сервере.

HTTPS — расширение протокола HTTP.
Сертификат безопасности веб-сайта - это инструмент проверки и шифрования, являющийся частью протокола HTTPS, который защищает и шифрует данные, передаваемые между сервером и браузером клиента. Он выдается доверенным центром сертификации (CA)

Автоматически подключить HTTPS на своем веб-сайте можно с помощью Certbot EFF, развертывая сертификаты Let's Encrypt.
Certbot - это полнофункциональный расширяемый клиент для центра сертификации Let's Encrypt (или любого другого CA, использующего протокол ACME), который может автоматизировать задачи получения сертификатов и настройки веб-серверов для их использования. Этот клиент работает в операционных системах на базе Unix.
Certbot и Let's Encrypt могут автоматизировать и позволить вам включать и управлять HTTPS с помощью простых команд.
Использование Certbot и Let's Encrypt бесплатно.

Certbot предназначен для запуска непосредственно на веб-сервере, обычно системным администратором.
Системные администраторы могут использовать Certbot напрямую для запроса сертификатов и не должны позволять непривилегированным пользователям запускать произвольные команды Certbot в качестве пользователя root, поскольку Certbot разрешает пользователю указывать любые местоположения файлов и запускать сценарии.
Пакеты Certbot созданы для многих распространенных операционных систем и веб-серверов.

Командная строка - это способ взаимодействия с компьютером путем ввода ему текстовых команд и получения текстовых ответов. Certbot запускается из интерфейса командной строки, обычно на Unix-подобном сервере. Чтобы использовать Certbot для большинства целей, вам необходимо иметь возможность установить и запустить его в командной строке вашего веб-сервера, доступ к которому обычно осуществляется через SSH.
SSH (Secure Shell - «защищенная оболочка») — технология для подключения к удаленному серверу и доступа к командной строке на этом сервере для ее администрирования. Администратор сервера может предоставлять доступ по SSH другим пользователям, а также использовать доступ по SSH напрямую для удаленного администрирования сервера. SSH обычно используется для доступа к серверам под управлением Unix-подобных операционных систем, но на вашем собственном компьютере не обязательно должна быть установлена Unix, чтобы использовать SSH. Обычно вы используете SSH из командной строки вашего компьютера в терминале. После входа в систему у вас будет доступ к командной строке сервера. Если вы используете Windows на своем компьютере, вы также можете использовать специальное приложение SSH, такое как PuTTY.
Sudo - это наиболее распространенная команда в Unix-подобных операционных системах для запуска определенной команды от имени пользователя root (системного администратора). Если вы вошли на свой сервер как пользователь, отличный от root, вам, вероятно, потребуется поместить sudo перед вашими командами Certbot, чтобы они запускались как root (например, sudo certbot вместо просто certbot), особенно если вы используете интеграцию Certbot с веб-сервером, таким как Apache или Nginx. (Сценарий certbot-auto автоматически запускает sudo, если это необходимо и вы не указали его.)

В большинстве случаев, для запуска Certbot и определения способа получения сертификата, вам понадобится root-доступ к вашему веб-серверу.
Выясните, есть ли у вас доступ по SSH к операционной системе web-сервера. Если вы полностью управляете своим сайтом через панель управления, такую как cPanel, Plesk или WordPress, велика вероятность, что у вас нет доступа к оболочке. Вы можете узнать об этом у своего хостинг-провайдера.
Для входа в Unix-подобные операционные системы, требуется имя учетной записи пользователя и пароль. Если вы сами установили OS, то должны знать это. Если OS установил хостинг-провайдер, то вам, на почтовый ящик указанный при регистрации, будет прислано сообщение:

    Данные доступа к серверу по протоколу SSH:

  • IP-адрес: 88.253.253.127
  • Логин: root
  • Пароль: YZDdPwpvyBmJWr

Для подключения к виртуальному серверу (VPS/VDS) по SSH в операционных системах на базе Linux нужно зайти в приложение PuTTY - SSH клиент.

PuTTY - SSH клиент — программа для управления сервером

Подключение к виртуальным серверам VDS/VPS по протоколу SSH

Получить информацию о системе можно с помощью команды:

lsb_release -a

root@avege ~ PuTTY

Using username "root".
root@95.213.139.92's password:
Send automatic password
Linux u31326 4.9.0-13-amd64 #1 SMP Debian 4.9.228-1 (2020-07-05) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Mon Oct  5 15:52:23 2020 from 77.79.143.116
root@u31326:~#  lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 9.13 (stretch)
Release:        9.13
Codename:       stretch
root@u31326:~#

Здесь это - Debian GNU/Linux 9.13 (stretch).

Для Debian дистрибутивов

apache2 -v

apache2 -v
Server version: Apache/2.4.25 (Debian)
Server built:   2019-10-13T15:43:54

Для Red Hat дистрибутивов

httpd -v

httpd -v
Server version: Apache/2.4.10 (Unix)
Server built:   Mar 31 2018 09:39:03

  Установить Certbot

Certbot - это простой в использовании клиент, который получает сертификат от Let's Encrypt - открытого центра сертификации и развертывает его на веб-сервере.

Установка бесплатного сертификата Let’s Encrypt не требует подключения выделенного IP-адреса и распространяется как на основной домен, так и на его поддомены. Установите SSL-сертификат и через несколько минут ваш сайт станет доступен по протоколу HTTPS. Certbot обновляет сертификаты каждые 60 дней, продление происходит автоматически.
Сертификат не получится установить, если домен:
размещен в бесплатной зоне (.UXP.RU, .01SH.ru и других);
делегирован на сторонние NS-серверы.

Зайдите на сайт - "Некоммерческий центр сертификации Let’s Encrypt".

На странице - Let's Encrypt - Free SSL_TLS Certificates
нажмите кнопку -   Get Started

  Установить Certbot

Certbot - это инструмент EFF для получения сертификатов от Let's Encrypt и (необязательно) автоматического включения HTTPS на вашем сервере. Он также может выступать в качестве клиента для любого другого центра сертификации, использующего протокол ACME.

Клиент Certbot ACME может автоматизировать выпуск и установку сертификатов без простоев. В нем также есть экспертные режимы для тех, кому не нужна автоконфигурация. Certbot прост в использовании, работает во многих операционных системах и имеет отличную документацию.
Certbot предназначен для запуска непосредственно на вашем веб-сервере, а не на вашем персональном компьютере.

Certbot - это полнофункциональный расширяемый клиент для CA Let's Encrypt (или любого другого CA, использующего протокол ACME ), который может автоматизировать задачи получения сертификатов и настройки веб-серверов для их использования. Этот клиент работает в операционных системах на базе Unix.

Нажмите на ссылку - Visit the Certbot site

Certbot автоматизируют процесс установки сертификатов для многих распространенных операционных систем и веб-серверов.

Посетите сайт Certbot, 👈

Укажите на каком программном обеспечении - версии сервера

и операционной системе работает ваш сайт.

И получите индивидуальные инструкции по установке для вашей операционной системы и веб-сервера

Snap - это пакеты приложений для настольных компьютеров, облака и IoT (Интернета вещей), которые просты в установке, безопасны, кроссплатформенны и не имеют зависимостей.
IoT (Internet of Things, Интернет вещей) — технологическая концепция подключения всех вещей в мире к интернету для удалённого управления ими через программное обеспечение и обмена данными в режиме реального времени через сервер или напрямую.

Поддержка Snap

Certbot snap поддерживает архитектуры x86_64, ARMv7 и ARMv8.

  • 1 SSH клиент — программа для управления сервером

    Подключитесь к виртуальному серверу VDS/VPS, на котором запущен ваш HTTP-сайт, по протоколу SSH как пользователь с привилегиями sudo.

  • 2 Установить snapd. Вам нужно будет установить snapd и убедиться, что вы следуете всем инструкциям, чтобы включить поддержку классической привязки.
    Следуйте этим инструкциям на сайте snapcraft, чтобы установить snapd .

    установить snapd

  • 3 Убедитесь, что ваша версия snapd актуальна. Выполните следующие инструкции в командной строке на компьютере, чтобы убедиться, что у вас установлена последняя версия snapd

    sudo snap install core
    sudo snap refresh core

  • 4 Удалите все пакеты Certbot OS. Если у вас есть какие-либо пакеты Certbot, установленные с помощью диспетчера пакетов ОС, такого как apt, dnf или yum, вы должны удалить их перед установкой оснастки Certbot,
    чтобы гарантировать, что при запуске команды certbot используется оснастка, а не установка пакета из установленного у вас диспетчера пакетов ОС.
    Точная команда для этого зависит от вашей ОС, но распространенными примерами являются

    sudo apt-get remove certbot

    sudo dnf remove certbot

    или

    sudo yum remove certbot

  • 5 Установить Certbot.
    Выполните эту команду в командной строке на компьютере, чтобы установить Certbot.

    sudo snap install --classic certbot

  • 6 Подготовьте команду Certbot. Выполните следующую инструкцию в командной строке на компьютере, чтобы убедиться, что команда certbot может быть запущена.

    sudo ln -s /snap/bin/certbot /usr/bin/certbot

  • 7 Выберите, как вы хотите запустить Certbot Либо получите и установите свои сертификаты ...

    Выполните эту команду, чтобы получить сертификат, и Certbot автоматически изменит вашу конфигурацию Apache для обслуживания, включив доступ HTTPS за один шаг.

    sudo certbot --apache

  • Или просто получите сертификат

    Если вы настроены более консервативно и хотели бы внести изменения в конфигурацию Apache вручную, выполните эту команду.

    sudo certbot certonly --apache

  • 8 Проверить автоматическое продление. Пакеты Certbot в вашей системе поставляются с заданием cron или системным таймером, которые автоматически обновят ваши сертификаты до истечения срока их действия. Вам не нужно будет снова запускать Certbot, если вы не измените свою конфигурацию. Вы можете протестировать автоматическое продление своих сертификатов, выполнив эту команду:

    sudo certbot renew --dry-run

    Команда для обновления certbot установлена в одном из следующих мест:

    • /etc/crontab/
    • /etc/cron.*/*
    • systemctl list-timers

  • 9 Подтвердите, что Certbot работал

    Чтобы убедиться, что ваш сайт настроен правильно, зайдите на https://yourwebsite.com/ в своем браузере и найдите значок замка в строке URL. Если вы хотите убедиться, что у вас самая лучшая установка, вы можете перейти на https://www.ssllabs.com/ssltest/ .

    проверьте    https://своего сайта в SSL Labs.




1SSH на сервер
SSH на сервер, на котором запущен ваш HTTP-сайт, как пользователь с привилегиями sudo.
2Установить Certbot
Выполните эту команду в командной строке на компьютере, чтобы установить Certbot. sudo apt-get install certbot python-certbot-apache
2Выберите, как вы хотите запустить Certbot
Выполните эту команду, чтобы получить сертификат, и Certbot автоматически изменит вашу конфигурацию Apache для обслуживания, включив доступ HTTPS за один шаг. sudo certbot --apache Или просто получите сертификат Если вы настроены более консервативно и хотели бы внести изменения в конфигурацию Apache вручную, запустите эту команду. sudo certbot certonly --apache

Командная строка - это способ взаимодействия с компьютером путем ввода ему текстовых команд и получения текстовых ответов. Certbot запускается из интерфейса командной строки, обычно на Unix-подобном сервере. Чтобы использовать Certbot для большинства целей, вам необходимо иметь возможность установить и запустить его в командной строке вашего веб-сервера, доступ к которому обычно осуществляется через SSH.
HTTP (протокол передачи гипертекста) - это традиционный, но небезопасный метод запроса веб-браузерами содержимого веб-страниц и других онлайн-ресурсов с веб-серверов. Это стандарт Интернета и обычно используется с TCP-портом 80. Почти все веб-сайты в мире поддерживают HTTP, но веб-сайты, настроенные с помощью Certbot или каким-либо другим методом настройки HTTPS, могут автоматически перенаправлять пользователей с HTTP-версии сайта на версия HTTPS.
Веб-сайт, который уже работает
Certbot обычно предназначен для переключения существующего HTTP-сайта на работу в HTTPS (а затем для продолжения обновления сертификатов HTTPS сайта, когда это необходимо). Некоторая документация Certbot предполагает или рекомендует наличие работающего веб-сайта, к которому уже можно получить доступ с помощью HTTP через порт 80. Это означает, например, что если вы используете веб-браузер для перехода в свой домен с помощью http: //, ваш веб-сайт сервер отвечает, и появляется какой-то контент (даже если это просто приветственная страница по умолчанию, а не окончательная версия вашего сайта). Некоторые методы использования Certbot имеют это в качестве предварительного условия, поэтому у вас будет более плавная работа, если у вас уже есть сайт, настроенный с использованием HTTP. (Если в соответствии с политикой ваш сайт не может быть доступен таким образом, вам, вероятно, потребуется использовать проверку DNS, чтобы получить сертификат с помощью Certbot.)
Порт 80 Различные интернет-службы отличаются использованием разных номеров портов TCP. Незашифрованный HTTP обычно использует TCP-порт 80, в то время как зашифрованный HTTPS обычно использует TCP-порт 443. Чтобы использовать certbot –webroot, certbot –apache или certbot –nginx, у вас должен быть существующий веб-сайт HTTP, который уже размещен на сервере, на котором вы находитесь. собираюсь использовать Certbot. Этот сайт должен быть доступен для остальной части Интернета через порт 80. Чтобы использовать certbot –standalone, вам не нужен существующий сайт, но вы должны убедиться, что подключения к порту 80 на вашем сервере не заблокированы брандмауэром, включая брандмауэр, который может быть запущен вашим интернет-провайдером или провайдером веб-хостинга. Если вы не уверены, обратитесь к своему интернет-провайдеру или хостинг-провайдеру. (Использование проверки DNS не требует от Let's Encrypt каких-либо входящих подключений к вашему серверу,
Сервер - это компьютер в Интернете, который предоставляет услугу, например веб-сайт или службу электронной почты. Большинство владельцев веб-сайтов платят хостинг-провайдеру за использование сервера, расположенного в центре обработки данных и администрируемого через Интернет. Это может быть физический выделенный сервер, виртуальный частный сервер (VPS) или общий сервер. Другие серверы предоставляют другие части инфраструктуры Интернета, например DNS-серверы.
SSH (что означает «защищенная оболочка») - это технология для подключения к удаленному серверу и доступа к командной строке на этом сервере, часто для ее администрирования. Администратор сервера может предоставлять доступ по SSH другим пользователям, а также может использовать доступ по SSH напрямую для удаленного администрирования сервера. SSH обычно используется для доступа к серверам под управлением Unix-подобных операционных систем, но на вашем собственном компьютере не обязательно должна быть установлена Unix, чтобы использовать SSH. Обычно вы используете SSH из командной строки вашего компьютера в терминале, вводя такую команду, как ssh username@example.com, особенно если ваш собственный компьютер работает под управлением Linux или macOS. После входа в систему у вас будет доступ к командной строке сервера. Если вы используете Windows на своем компьютере, вы также можете использовать специальное приложение SSH, такое как PuTTY.
Sudo - это наиболее распространенная команда в Unix-подобных операционных системах для запуска определенной команды от имени пользователя root (системного администратора). Если вы вошли на свой сервер как пользователь, отличный от root, вам, вероятно, потребуется поместить sudo перед вашими командами Certbot, чтобы они запускались как root (например, sudo certbot вместо просто certbot), особенно если вы: re использует интеграцию Certbot с веб-сервером, таким как Apache или Nginx. (Сценарий certbot-auto автоматически запускает sudo, если это необходимо, и вы не указали его.)
Сертификат Wildcard Подстановочный сертификат - это сертификат, который охватывает одно или несколько имен, начинающихся с *. и это будет принято веб-браузером для любого имени поддомена с любой меткой вместо символа *. Например, сертификат для * .example.com будет действителен для www.example.com, mail.example.com, hello.example.com или goodbye.example.com, но не для example.com.

Let's Debug

Let's Debug - это диагностический инструмент / веб-сайт, который поможет выяснить, почему вы не можете выпустить сертификат для Let's Encrypt ™ .
Используя набор тестов, разработанных специально для Let's Encrypt, он может выявить множество проблем , в том числе: проблемы с базовой настройкой DNS, проблемы с серверами имен, ограничение скорости, сетевые проблемы, проблемы с политикой CA и распространенные неправильные конфигурации веб-сайтов.
Введите домен и метод проверки, с которым у вас возникли проблемы с выдачей сертификата. (Если не уверены, выберите HTTP-01) .

https://github.com/certbot/certbot/

Выполните эту команду в командной строке на компьютере, чтобы установить Certbot.

sudo apt-get install certbot python-certbot-apache
или
apt-get install certbot python-certbot-apache

root@avege ~ PuTTY

Using username "root".
root@95.213.139.92's password:
Send automatic password
Linux u35316 4.9.0-13-amd64 #1 SMP Debian 4.9.228-1 (2020-07-05) x86_64

root@u35316:~#  apt-get install certbot python-certbot-apache

Reading package lists... Done
Building dependency tree
Reading state information... Done
The following additional packages will be installed:
  augeas-lenses libaugeas0 python3-acme python3-augeas python3-certbot
  python3-certbot-apache python3-cffi-backend python3-configargparse
  python3-configobj python3-cryptography python3-idna python3-josepy
  python3-mock python3-openssl python3-parsedatetime python3-pbr
  python3-pyasn1 python3-requests-toolbelt python3-rfc3339 python3-setuptools
Suggested packages:
  augeas-doc python3-certbot-nginx python-certbot-doc augeas-tools
  python-acme-doc python-certbot-apache-doc python-configobj-doc
  python-cryptography-doc python3-cryptography-vectors python-mock-doc
  python-openssl-doc python3-openssl-dbg doc-base python-setuptools-doc
Recommended packages:
  python3-pyicu
The following NEW packages will be installed:
  augeas-lenses certbot libaugeas0 python-certbot-apache python3-acme
  python3-augeas python3-certbot python3-certbot-apache python3-cffi-backend
  python3-configargparse python3-configobj python3-cryptography python3-idna
  python3-josepy python3-mock python3-openssl python3-parsedatetime
  python3-pbr python3-pyasn1 python3-requests-toolbelt python3-rfc3339
  python3-setuptools python3-tz python3-zope.component python3-zope.event
0 upgraded, 27 newly installed, 0 to remove and 0 not upgraded.
1 not fully installed or removed.
Need to get 2,164 kB of archives.
After this operation, 10.4 MB of additional disk space will be used.
Do you want to continue? [Y/n] y
Get:1 http://mirror.yandex.ru/debian stretch/main amd64
augeas-lenses all 1.8.0-1+deb9u1 [420 kB]
Get:2 http://mirror.yandex.ru/debian stretch/main amd64
libaugeas0 amd64 1.8.0-1+deb9u1 [288 kB]
Get:3 http://mirror.yandex.ru/debian stretch/main amd64
python3-cffi-backend amd64 1.9.1-2 [70.1 kB]
Get:4 http://mirror.yandex.ru/debian stretch/main amd64
python3-idna all 2.2-1 [32.7 kB]
Get:5 http://mirror.yandex.ru/debian stretch/main amd64
python3-pyasn1 all 0.1.9-2 [34.5 kB]
Get:6 http://mirror.yandex.ru/debian stretch/main amd64
python3-setuptools all 33.1.1-1 [215 kB]
...
...
Get:27 http://mirror.yandex.ru/debian stretch/main amd64
python-certbot-apache all 0.28.0-1~deb9u1 [4,022 B]
Fetched 2,164 kB in 0s (3,909 kB/s)
Selecting previously unselected package augeas-lenses.
(Reading database ... 30214 files and directories currently installed.)
...
...
Selecting previously unselected package python3-certbot-apache.
Preparing to unpack .../25-python3-certbot-apache_0.28.0-1~deb9u1_all.deb ...
Unpacking python3-certbot-apache (0.28.0-1~deb9u1) ...
Selecting previously unselected package python-certbot-apache.
Preparing to unpack .../26-python-certbot-apache_0.28.0-1~deb9u1_all.deb ...
Unpacking python-certbot-apache (0.28.0-1~deb9u1) ...
Setting up python3-requests-toolbelt (0.7.0-1) ...
Setting up python3-pbr (1.10.0-1) ...
update-alternatives: using /usr/bin/python3-pbr to provide /usr/bin/pbr (pbr)
in auto mode Setting up python3-cffi-backend (1.9.1-2) ...
Setting up python3-mock (2.0.0-3) ...
Setting up libapache2-mod-php7.0 (7.0.33-0+deb9u8) ...
dpkg: error processing package libapache2-mod-php7.0 (--configure):
 subprocess installed post-installation script returned error exit status 1
Setting up python3-zope.event (4.2.0-1) ...
Setting up python3-idna (2.2-1) ...
Setting up python3-zope.interface (4.3.2-1) ...
...
...
Setting up python3-acme (0.28.0-1~deb9u2) ...
Setting up python3-certbot (0.28.0-1~deb9u2) ...
Setting up certbot (0.28.0-1~deb9u2) ...
Created symlink /etc/systemd/system/timers.target.wants/certbot.timer >
/lib/systemd/system/certbot.timer.
Setting up python3-certbot-apache (0.28.0-1~deb9u1) ...
Setting up python-certbot-apache (0.28.0-1~deb9u1) ...
Processing triggers for libc-bin (2.24-11+deb9u4) ...
Errors were encountered while processing:
 libapache2-mod-php7.0
E: Sub-process /usr/bin/dpkg returned an error code (1)
root@u35316:~#

Выберите, как вы хотите запустить Certbot

Либо получите и установите свои сертификаты ...

Выполните эту команду, чтобы получить сертификат, и Certbot автоматически изменит вашу конфигурацию Apache для обслуживания, включив доступ HTTPS за один шаг.

sudo certbot --apache

root@avege ~ PuTTY

Using username "root".
root@95.213.139.92's password:
Send automatic password
Linux u35316 4.9.0-13-amd64 #1 SMP Debian 4.9.228-1 (2020-07-05) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Thu Oct  1 06:54:41 2020 from 95.105.38.200

root@u35316:~#  certbot --apache
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator apache, Installer apache
Введите адрес электронной почты (используется для срочного обновления
и уведомлений о безопасности) (введите "c", чтобы отменить)
Enter email address (used for urgent renewal and security notices)
(Enter 'c' to cancel): vl@ya.ru

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Please read the Terms of Service at
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must
agree in order to register with the ACME server at
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(A)gree/(C)ancel: A

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Would you be willing to share your email address with the Electronic Frontier
Foundation, a founding partner of the Let's Encrypt project and the non-profit
organization that develops Certbot? We'd like to send you email about our work
encrypting the web, EFF news, campaigns, and ways to support digital freedom.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(Y)es/(N)o: y

Для каких имен вы хотите активировать HTTPS?
Which names would you like to activate HTTPS for?
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: avege.ru
2: www.avege.ru
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Выберите соответствующие числа, разделенные запятыми или пробелами,
или оставьте поле ввода пустым, чтобы выбрать все показанные параметры
(для отмены введите 'c'):
Select the appropriate numbers separated by commas and/or spaces,
or leave input blank to select all options shown (Enter 'c' to cancel):

Obtaining a new certificate
Performing the following challenges:
http-01 challenge for avege.ru
http-01 challenge for www.avege.ru
Waiting for verification...
Cleaning up challenges
Deploying Certificate to VirtualHost /etc/apache2/sites-enabled/avege.ru.conf
Deploying Certificate to VirtualHost /etc/apache2/sites-enabled/avege.ru.conf

Выберите, следует ли перенаправлять HTTP-трафик на HTTPS, удаляя HTTP-доступ.
Please choose whether or not to redirect HTTP traffic to HTTPS,
removing HTTP access.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1: No redirect - Make no further changes to the webserver configuration.
Без перенаправления - больше не вносите изменений в конфигурацию веб-сервера.
2: Redirect - Make all requests redirect to secure HTTPS access.
Choose this for new sites, or if you're confident your site works on HTTPS.
You can undo this
change by editing your web server's configuration.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations! You have successfully enabled https://avege.ru and
https://www.avege.ru
Поздравляю! Вы успешно включили https://avege.ru и
https://www.avege.ru


You should test your configuration at:
https://www.ssllabs.com/ssltest/analyze.html?d=avege.ru
https://www.ssllabs.com/ssltest/analyze.html?d=www.avege.ru
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /etc/letsencrypt/live/avege.ru/fullchain.pem
   Your key file has been saved at:
   /etc/letsencrypt/live/avege.ru/privkey.pem
   Your cert will expire on 2020-12-31. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot again
   with the "certonly" option. To non-interactively renew *all* of
   your certificates, run "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:

   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le

root@u35316:~#	

Проверить автоматическое продление

Пакеты Certbot в вашей системе поставляются с заданием cron или таймером systemd, которые автоматически обновят ваши сертификаты до истечения срока их действия. Вам не нужно будет снова запускать Certbot, если вы не измените свою конфигурацию. Вы можете протестировать автоматическое продление своих сертификатов, выполнив эту команду:

certbot renew --dry-run

root@avege ~ PuTTY

Using username "root".
root@95.213.139.92's password:
Send automatic password
Linux u35316 4.9.0-13-amd64 #1 SMP Debian 4.9.228-1 (2020-07-05) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Sat Oct  3 13:28:25 2020 from 46.191.174.151
root@u31326:~#  certbot renew --dry-run 
Saving debug log to /var/log/letsencrypt/letsencrypt.log

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Processing /etc/letsencrypt/renewal/avege.ru.conf
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Cert not due for renewal, but simulating renewal for dry run
Plugins selected: Authenticator apache, Installer apache
Renewing an existing certificate
Performing the following challenges:
http-01 challenge for avege.ru
http-01 challenge for www.avege.ru
Waiting for verification...
Cleaning up challenges

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
new certificate deployed with reload of apache server; fullchain is
/etc/letsencrypt/live/avege.ru/fullchain.pem
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates below have not been saved.)

Congratulations, all renewals succeeded. The following certs have been renewed:
  /etc/letsencrypt/live/avege.ru/fullchain.pem (success)
** DRY RUN: simulating 'certbot renew' close to cert expiry
**          (The test certificates above have not been saved.)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

IMPORTANT NOTES:
 - Your account credentials have been saved in your Certbot
   configuration directory at /etc/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
root@u35316:~#	

В каталоге - etc\apache2\sites-enabled\ в файле конфгурации Apache - avege.ru.conf

SSLEngine on

Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/avege.ru/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/avege.ru/privkey.pem

<VirtualHost *:80>
	# The ServerName directive sets the request scheme, hostname and port that
	# the server uses to identify itself. This is used when creating
	# redirection URLs. In the context of virtual hosts, the ServerName
	# specifies what hostname must appear in the request's Host: header to
	# match this virtual host. For the default virtual host (this file) this
	# value is not decisive as it is used as a last resort host regardless.
	# However, you must set it for any further virtual host explicitly.
	
	ServerName avege.ru
	ServerAdmin webmaster@avege.ru
	ServerAlias www.avege.ru
	DocumentRoot /var/www/avege.ru
RewriteEngine On
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]

	# Available loglevels: trace8, ..., trace1, debug, info, notice, warn,
	# error, crit, alert, emerg.
	# It is also possible to configure the loglevel for particular
	# modules, e.g.
	#LogLevel info ssl:warn

	ErrorLog ${APACHE_LOG_DIR}/avege.ru.error.log
	CustomLog ${APACHE_LOG_DIR}/avege.ru.access.log combined
	
  <Directory /var/www/avege.ru>
    Options +SymLinksIfOwnerMatch
    Options Indexes MultiViews ExecCGI FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all
    
    AddType text/html .shtml
    AddOutputFilter INCLUDES .shtml
    Options +Includes    
   </Directory>

ScriptAlias /cgi-bin/ /var/www/avege.ru/cgi-bin/
		<Directory "/var/www/avege.ru/cgi-bin">
			AllowOverride None
			Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
			Require all granted
		</Directory>

<Directory "/var/www/avege.ru/cgi-bin">
     Options -Indexes +Includes +ExecCGI +SymLinksIfOwnerMatch
     Options all 
     AllowOverride All 
     Require all granted
     AddHandler cgi-script .pl .cgi
</Directory>  

	# For most configuration files from conf-available/, which are
	# enabled or disabled at a global level, it is possible to
	# include a line for only one particular virtual host. For example the
	# following line enables the CGI configuration for this host only
	# after it has been globally disabled with "a2disconf".
	#Include conf-available/serve-cgi-bin.conf
</VirtualHost>

<VirtualHost *:443>
ServerAdmin webmaster@avege.ru
DocumentRoot /var/www/avege.ru
ServerName avege.ru
ServerAlias www.avege.ru

ErrorLog ${APACHE_LOG_DIR}/avege.ru.error.log
SSLEngine on

<Directory /var/www/avege.ru>
    Options +SymLinksIfOwnerMatch
    Options Indexes MultiViews ExecCGI FollowSymLinks
    AllowOverride None
    Order allow,deny
    Allow from all

    AddType text/html .shtml .html
    AddOutputFilter INCLUDES .shtml .html
    Options +Includes    
</Directory>
ScriptAlias /cgi-bin/ /var/www/avege.ru/cgi-bin/
		<Directory "/var/www/avege.ru/cgi-bin">
			AllowOverride None
			Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
			Require all granted
		</Directory>
   <Directory "/var/www/avege.ru/cgi-bin">
     Options -Indexes +Includes +ExecCGI +SymLinksIfOwnerMatch
     Options all 
     AllowOverride All 
     Require all granted
     AddHandler cgi-script .pl .cgi
   </Directory> 
   
Include /etc/letsencrypt/options-ssl-apache.conf
SSLCertificateFile /etc/letsencrypt/live/avege.ru/fullchain.pem
SSLCertificateKeyFile /etc/letsencrypt/live/avege.ru/privkey.pem
</VirtualHost>

#<filesMatch "\.(pl|cgi)$">
#Order Allow,Deny
#Deny from all
#</filesMatch>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet 	



SSL Server Test
https://www.ssllabs.com/ssltest/
SSL Server Test

  Бесплатные SSL-сертификаты и бесплатные инструменты SSL для вашего сайта.

 ZeroSSL: БЕСПЛАТНЫЙ SSL

Let’s Encrypt - это глобальный Центр Сертификации (ЦС), или Удостоверяющий Центр (УЦ).

Let’s Encrypt - это бесплатный, автоматизированный и открытый Центр Сертификации, созданный для вас некоммерческой организацией Internet Security Research Group (ISRG).

Бесплатные SSL-сертификаты ZeroSSL, которым доверяют все основные браузеры, выдаются за считанные минуты.

  Установка сертификатов SSL на веб-серверы Apache и Nginx

Для получение сертификата не требуется каких-либо особых технических знаний, для установки немного этого. Обычно вам нужно найти файлы конфигурации вашего веб-сервера и внести в них несколько небольших изменений. Обычно файлы конфигурации содержат закомментированные примеры конфигураций, которые вы можете использовать в качестве шаблона. Двумя наиболее распространенными веб-серверами являются Apache и Nginx.

  Установка сертификатов на веб-сервер Apache

Узнать версию CentOS - команда:

grep PRETTY_NAME /etc/os-release

$ grep PRETTY_NAME /etc/os-release
PRETTY_NAME="CentOS Linux 8 (Core)"

Узнать версию OpenSSL в CentOS 8 - команда:

openssl version

$ openssl version
OpenSSL 1.1.1c FIPS  28 May 2019 

Узнать версию Apache в CentOS 8 - команда:

httpd -v

$ httpd -v
Server version: Apache/2.4.37 (centos)
Server built:   Dec 23 2019 20:45:34 

Чтобы проверить, включен-ли mod_ssl, выполните:

apachectl -M | grep ssl

$ apachectl -M | grep ssl
 ssl_module (shared)
 

ssl_module (общий доступ)

Включить / отключить службы для запуска во время загрузки

удалить из автозагрузки

  systemctl disable httpd.service

добавить в автозагрузку

  systemctl enable httpd.service

Apache будет запускаться автоматически при следующей загрузке CentOS.

iptables -I INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -I INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

Для проверки файлов конфигурации на синтаксические ошибки, используется команда

  httpd -t.

Проверить файл конфигурации виртуальных хостов можно с помощью команды —

  httpd -S.

httpd -t [Sun Mar 08 12:09:00.386531 2020] [alias:warn] [pid 13232] AH00671: The ScriptAlias directive in /etc/httpd/conf.d/avege.ru.conf at line 33 will probably never match because it overlaps an earlier ScriptAlias. Syntax OK

# generated 2020-04-08, Mozilla Guideline v5.4, Apache 2.4.37, OpenSSL 1.1.1с, modern configuration
# https://ssl-config.mozilla.org/#server=apache&version=2.4.37&config=modern&openssl=1.1.1с&guideline=5.4
# this configuration requires mod_ssl, mod_socache_shmcb, mod_rewrite, and mod_headers

<VirtualHost *:80>
    RewriteEngine On
    RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>

<VirtualHost *:443>
    SSLEngine on
    SSLCertificateFile      /path/to/signed_cert_and_intermediate_certs
    SSLCertificateKeyFile   /path/to/private_key

    # enable HTTP/2, if available
    Protocols h2 http/1.1

    # HTTP Strict Transport Security (mod_headers is required) (63072000 seconds)
    Header always set Strict-Transport-Security "max-age=63072000"
</VirtualHost>

# modern configuration
SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2
SSLHonorCipherOrder     off
SSLSessionTickets       off

SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

В файле виртуальных хостов сервера Apache.
Пример минимальной конфигурации:

# Listen 443
<VirtualHost *:443>
        ServerName www.mydomain.com
        ServerAlias mydomain.com
        SSLEngine on
        SSLCertificateFile "/path/to/mydomain.crt"
        SSLCertificateKeyFile "/path/to/mydomain.key"
        SSLCipherSuite HIGH:!aNULL:!MD5
        SSLProtocol All -SSLv2 -SSLv3
        SSLHonorCipherOrder on
</VirtualHost>

Промежуточная конфигурация для серверов Apache общего назначения
с множеством клиентов, рекомендуется почти для всех систем

# 2020-03-03, Apache 2.4.41, OpenSSL 1.1.1d, intermediate configuration

# this configuration requires mod_ssl, mod_socache_shmcb, mod_rewrite, and mod_headers
<VirtualHost *:80>
    RewriteEngine On
    RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>

<VirtualHost *:443>
    SSLEngine on

    # curl https://ssl-config.mozilla.org/ffdhe2048.txt >> /path/to/signed_cert_and_intermediate_certs_and_dhparams
    SSLCertificateFile      /path/to/signed_cert_and_intermediate_certs_and_dhparams
    SSLCertificateKeyFile   /path/to/private_key

    # enable HTTP/2, if available
    Protocols h2 http/1.1

    # HTTP Strict Transport Security (mod_headers is required) (63072000 seconds)
    Header always set Strict-Transport-Security "max-age=63072000"
</VirtualHost>

# intermediate configuration, tweak to your needs
SSLProtocol             all -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
SSLHonorCipherOrder     off
SSLSessionTickets       off

SSLUseStapling On
SSLStaplingCache "shmcb:logs/ssl_stapling(32768)"

systemctl restart httpd

root@avege ~

Using username "root".
root@88.212.253.127's password:
Send automatic password
[root@avege ~]# apachectl configtest               
[Tue Sep 10 06:56:20.799294 2019] [so:warn] [pid 3196] AH01574:
module ssl_module is already loaded, skipping
Syntax OK
[root@avege ~]#  systemctl restart httpd.service
[root@avege ~]#  iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT
[root@avege ~]#  iptables -I INPUT -p tcp -m tcp --dport 443 -j ACCEPT

   Установка сертификатов на веб-сервер Nginx

В файле mydomain.com.conf (каталог - /etc/nginx/conf.d/)
где, mydomain.com - имя вашего сайта.
Пример минимальной конфигурации:

server {
        listen       443 ssl;
        server_name  www.mydomain.com mydomain.com;
        ssl          on;
        ssl_certificate      /path/to/mydomain.crt;
        ssl_certificate_key  /path/to/mydomain.key;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers 'HIGH:!aNULL:!MD5:!kEDH';
}

Промежуточная конфигурация для серверов Nginx общего назначения
с множеством клиентов, рекомендуется почти для всех систем

# 2020-03-03, nginx 1.17.7, OpenSSL 1.1.1d, intermediate configuration
   server {
    listen 80 default_server;
    listen [::]:80 default_server;

    # redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
    # перенаправить все HTTP-запросы в HTTPS с ответом 301 Moved Permanently.
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
    # сертификаты, отправленные клиенту в SERVER HELLO, объединяются в ssl_certificate 
    ssl_certificate /path/to/signed_cert_plus_intermediates;
    ssl_certificate_key /path/to/private_key;
    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;  # about 40000 sessions
    ssl_session_tickets off;

    # curl https://ssl-config.mozilla.org/ffdhe2048.txt > /path/to/dhparam.pem
    ssl_dhparam /path/to/dhparam.pem;

    # intermediate configuration
    # промежуточная конфигурация 
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
    :ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384
    :ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305
    :DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
    ssl_prefer_server_ciphers off;

    # HSTS (ngx_http_headers_module is required) (63072000 seconds)
    # HSTS (требуется ngx_http_headers_module) (63072000 секунд) 
    add_header Strict-Transport-Security "max-age=63072000" always;

    # OCSP stapling
    # OCSP сшивание 
    ssl_stapling on;
    ssl_stapling_verify on;

    # verify chain of trust of OCSP response using Root CA and Intermediate certs
    # проверить цепочку доверия ответа OCSP с помощью Root CA и промежуточных сертификатов 
    ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;

    # replace with the IP address of your resolver
    # замена вашего IP-адреса
    resolver 127.0.0.1;
}

   SSL тест проверки сертификатов

SSL Labs — бесплатный онлайн-сервис выполняющий глубокий анализ конфигурации любого SSL-веб-сервера в общедоступном интернете.


Как продлить SSL сертификат?

Процесс обновления очень похож на первоначальный выпуск. Используйте тот же ключ учетной записи и CSR, которые использовали ранее на странице сведений. Обратите внимание, что вы должны использовать ключ учетной записи, а не ключ домена (обычно загружается на последнем шаге вместе с файлом сертификата, и его не нужно вводить где-либо на сайте ZeroSSL - ни для первоначальной выдачи, ни для для обновления). На последнем шаге загрузите обновленный файл сертификата, поместите его на свой сервер (заменив старый) и перезагрузите или перезапустите программное обеспечение веб-сервера.


Установка SSL сертификата в cPanel.

Установка SSL сертификата в ISPmanager.

SSL-сертификаты предоставляют простую и эффективную платформу для безопасного общения. Как клиент/посетитель любого веб-сайта, вы всегда хотите быть в безопасности, чтобы никакая третья не вмешивалась в конфиденциальную информацию, отправляемую вами. Для этого необходимо включить сертификаты TLS/SSL в вашем веб-браузере.


что такое OpenSSL

OpenSSL - это библиотека безопасности, включенная во все системы Linux. Её основная цель - обеспечить реализацию протоколов TLS и SSL с открытым исходным кодом, которые защищают и шифруют передачу данных по сети. Это действительно важно использовать, потому что если переданные данные попадут в руки третьих лиц, этот человек должен расшифровать их, чтобы получить информацию.

root@avege ~

Using username "root".
root@88.212.253.127's password:
Send automatic password
[root@avege ~]#  dnf install openssl-devel
CentOS-8 - AppStream                            9.1 kB/s | 4.3 kB     00:00
CentOS-8 - Base                                  11 kB/s | 3.8 kB     00:00
CentOS-8 - Extras                               4.0 kB/s | 1.5 kB     00:00
Extra Packages for Enterprise Linux Modular 8 -  50 kB/s |  33 kB     00:00
Extra Packages for Enterprise Linux 8 - x86_64   76 kB/s |  20 kB     00:00
Dependencies resolved.
================================================================================
 Package                   Architecture Version              Repository    Size
================================================================================
Installing:
 openssl-devel             x86_64       1:1.1.1c-2.el8       BaseOS       2.3 M
Installing dependencies:
 keyutils-libs-devel       x86_64       1.5.10-6.el8         BaseOS        48 k
 krb5-devel                x86_64       1.17-9.el8           BaseOS       548 k
 libcom_err-devel          x86_64       1.44.6-3.el8         BaseOS        38 k
 libkadm5                  x86_64       1.17-9.el8           BaseOS       184 k
 libselinux-devel          x86_64       2.9-2.1.el8          BaseOS       199 k
 libsepol-devel            x86_64       2.9-1.el8            BaseOS        86 k
 libverto-devel            x86_64       0.3.0-5.el8          BaseOS        18 k
 pcre2-devel               x86_64       10.32-1.el8          BaseOS       605 k
 pcre2-utf16               x86_64       10.32-1.el8          BaseOS       228 k
 pcre2-utf32               x86_64       10.32-1.el8          BaseOS       220 k
 zlib-devel                x86_64       1.2.11-10.el8        BaseOS        56 k

Transaction Summary
================================================================================
Install  12 Packages

Total download size: 4.5 M
Installed size: 8.2 M
Is this ok [y/N]: y
Downloading Packages:
(1/12): libcom_err-devel-1.44.6-3.el8.x86_64.rp 1.2 MB/s |  38 kB     00:00
(2/12): keyutils-libs-devel-1.5.10-6.el8.x86_64 1.3 MB/s |  48 kB     00:00
(3/12): libkadm5-1.17-9.el8.x86_64.rpm          9.5 MB/s | 184 kB     00:00
(4/12): libselinux-devel-2.9-2.1.el8.x86_64.rpm  10 MB/s | 199 kB     00:00
(5/12): libverto-devel-0.3.0-5.el8.x86_64.rpm   5.9 MB/s |  18 kB     00:00
(6/12): libsepol-devel-2.9-1.el8.x86_64.rpm      10 MB/s |  86 kB     00:00
(7/12): krb5-devel-1.17-9.el8.x86_64.rpm        7.6 MB/s | 548 kB     00:00
(8/12): pcre2-utf16-10.32-1.el8.x86_64.rpm       14 MB/s | 228 kB     00:00
(9/12): pcre2-utf32-10.32-1.el8.x86_64.rpm       16 MB/s | 220 kB     00:00
(10/12): pcre2-devel-10.32-1.el8.x86_64.rpm      13 MB/s | 605 kB     00:00
(11/12): zlib-devel-1.2.11-10.el8.x86_64.rpm    8.9 MB/s |  56 kB     00:00
(12/12): openssl-devel-1.1.1c-2.el8.x86_64.rpm   17 MB/s | 2.3 MB     00:00
--------------------------------------------------------------------------------
Total                                           3.7 MB/s | 4.5 MB     00:01
Running transaction check
Transaction check succeeded.
Running transaction test
Transaction test succeeded.
Running transaction
  Preparing        :                                                        1/1
  Installing       : zlib-devel-1.2.11-10.el8.x86_64                       1/12
  Installing       : pcre2-utf32-10.32-1.el8.x86_64                        2/12
  Installing       : pcre2-utf16-10.32-1.el8.x86_64                        3/12
  Installing       : pcre2-devel-10.32-1.el8.x86_64                        4/12
  Installing       : libverto-devel-0.3.0-5.el8.x86_64                     5/12
  Installing       : libsepol-devel-2.9-1.el8.x86_64                       6/12
  Installing       : libselinux-devel-2.9-2.1.el8.x86_64                   7/12
  Installing       : libkadm5-1.17-9.el8.x86_64                            8/12
  Installing       : libcom_err-devel-1.44.6-3.el8.x86_64                  9/12
  Installing       : keyutils-libs-devel-1.5.10-6.el8.x86_64              10/12
  Installing       : krb5-devel-1.17-9.el8.x86_64                         11/12
  Installing       : openssl-devel-1:1.1.1c-2.el8.x86_64                  12/12
  Running scriptlet: openssl-devel-1:1.1.1c-2.el8.x86_64                  12/12
  Verifying        : keyutils-libs-devel-1.5.10-6.el8.x86_64               1/12
  Verifying        : krb5-devel-1.17-9.el8.x86_64                          2/12
  Verifying        : libcom_err-devel-1.44.6-3.el8.x86_64                  3/12
  Verifying        : libkadm5-1.17-9.el8.x86_64                            4/12
  Verifying        : libselinux-devel-2.9-2.1.el8.x86_64                   5/12
  Verifying        : libsepol-devel-2.9-1.el8.x86_64                       6/12
  Verifying        : libverto-devel-0.3.0-5.el8.x86_64                     7/12
  Verifying        : openssl-devel-1:1.1.1c-2.el8.x86_64                   8/12
  Verifying        : pcre2-devel-10.32-1.el8.x86_64                        9/12
  Verifying        : pcre2-utf16-10.32-1.el8.x86_64                       10/12
  Verifying        : pcre2-utf32-10.32-1.el8.x86_64                       11/12
  Verifying        : zlib-devel-1.2.11-10.el8.x86_64                      12/12

Installed:
  openssl-devel-1:1.1.1c-2.el8.x86_64  keyutils-libs-devel-1.5.10-6.el8.x86_64
  krb5-devel-1.17-9.el8.x86_64         libcom_err-devel-1.44.6-3.el8.x86_64
  libkadm5-1.17-9.el8.x86_64           libselinux-devel-2.9-2.1.el8.x86_64
  libsepol-devel-2.9-1.el8.x86_64      libverto-devel-0.3.0-5.el8.x86_64
  pcre2-devel-10.32-1.el8.x86_64       pcre2-utf16-10.32-1.el8.x86_64
  pcre2-utf32-10.32-1.el8.x86_64       zlib-devel-1.2.11-10.el8.x86_64

Complete!
[root@avege ~]#

$ rpm -qa | grep openssl-devel
openssl-devel-1.1.1c-2.el8.x86_64

$ openssl version
OpenSSL 1.1.1c FIPS  28 May 2019
  
$ grep -r ssl_protocol /etc/nginx
/etc/nginx/conf.d/avege.ru.conf:    ssl_protocols       TLSv1 TLSv1.1 TLSv1.2;

Certbot создан Electronic Frontier Foundation (EFF), некоммерческой организацией расположенной в Сан-Франциско, Калифорния, которая защищает цифровую конфиденциальность, свободу слова и инновации.