IT ENCYKLOPEDIE

  Oficiální web: [[https://letsencrypt.org/|letsencrypt.org]]
  Licence: Bezplatná, open-source.
  Cíl: Vytvořit „HTTPS pro všechny“ – snížit bariéry pro nasazení TLS/SSL certifikátů.
  Podpora: Certifikáty jsou důvěryhodné všemi hlavními webovými prohlížeči a operačními systémy.

  Typ certifikátu: Pouze Domain Validation (DV) – ověřuje vlastnictví domény, nikoli identity organizace.
  Platnost certifikátu: Od 1. září 2020 je maximální doba platnosti 90 dní (dříve 90 dní i předtím, ale nyní je to striktně vynucováno).
  Obnovení: Certifikáty je třeba pravidelně obnovovat – doporučuje se automatizace.
  Podporované domény:
      Jednoduché domény (např. example.com)
      Subdomény (např. www.example.com, mail.example.com)
      Wildcard domény (od roku 2018, např. *.example.com) – vyžadují ověření přes DNS-01 challenge.

Let’s Encrypt používá protokol ACME (Automated Certificate Management Environment), který umožňuje automatizované:

  žádosti o certifikát,
  ověření vlastnictví domény,
  instalaci a obnovu certifikátu.

  Certbot je nejznámější open-source klient pro ACME protokol.
  Automatizuje získání i obnovu certifikátů.
  Podporuje mnoho webových serverů (Apache, Nginx atd.) a operačních systémů (Linux, BSD...).
  Web: [[https://certbot.eff.org/|certbot.eff.org]]

Kromě Certbotu existuje řada jiných ACME klientů:

  acme.sh – lehký shell skript
  Traefik – reverse proxy s vestavěnou podporou Let's Encrypt
  Caddy – webový server, který automaticky získává a obnovuje certifikáty
  Pebble – testovací CA pro vývojáře (od ISRG)

Let’s Encrypt ověřuje, že žadatel ovládá doménu, pomocí tzv. challenges:

  HTTP-01: Server musí běžet na portu 80 a umět vystavit specifický soubor na adrese http://<doména>/.well-known/acme-challenge/...
  DNS-01: Vyžaduje nastavení specifického TXT záznamu v DNS. Nutné pro wildcard certifikáty.
  TLS-ALPN-01: Alternativa k HTTP-01, používá port 443 (méně běžná).

Let’s Encrypt aplikuje různé limity, aby zamezil zneužití:

  50 certifikátů za týden na stejnou doménu (tzv. „Duplicate Certificate limit“)
  300 nových domén za certifikát
  Rychlostní limity na počet selhání ověření
  Podrobnosti: [[https://letsencrypt.org/docs/rate-limits/|Rate
   Limits – Let’s Encrypt]]

  Certifikáty Let’s Encrypt jsou důvěryhodné všemi moderními prohlížeči a OS.
  Používá kryptografii na bázi RSA (2048/4096b) nebo ECDSA (P-256, P-384).
  Nepodporuje rozšířené (EV) certifikáty.

  Mnoho hostingových služeb (např. Cloudflare, Netlify, Vercel) nyní automaticky spravuje Let’s Encrypt certifikáty.
  Vlastní servery: doporučuje se nastavit cron job nebo systemd timer pro automatickou obnovu.

  [[https://letsencrypt.org/|Oficiální
   web Let’s Encrypt]]
  [[https://certbot.eff.org/|Certbot
   – oficiální klient]]
  [[https://github.com/letsencrypt/|GitHub
   Let’s Encrypt]]
  [[https://letsencrypt.org/docs/|Dokumentace
   Let’s Encrypt]]

Let’s Encrypt revolučně zjednodušil nasazení HTTPS na webu. Díky automatizaci, bezplatnosti a open-source přístupu se stal de facto standardem pro bezpečné webové servery všech velikostí – od jednoúčelových blogů po rozsáhlé cloudové aplikace.