📌 خلاصه مطلب (TL;DR)
- Let's Encrypt چیست: مرجع صدور گواهی SSL رایگان و خودکار (بیش از ۳۰۰ میلیون سایت در ۲۰۲۵)
- اعتبار: گواهیها ۹۰ روزه هستند و باید تمدید شوند (Certbot خودکار انجام میدهد)
- نصب: با Certbot در کمتر از ۵ دقیقه روی Apache/Nginx
- مناسب برای: بلاگها، سایتهای شرکتی، پروژههای شخصی
- نامناسب برای: فروشگاههای بزرگ، بانکداری (نیاز به SSL پولی EV/OV)
Let's Encrypt یک مرجع صدور گواهی (Certificate Authority) غیرانتفاعی است که گواهیهای SSL/TLS رایگان ارائه میدهد. این پروژه توسط Internet Security Research Group (ISRG) مدیریت شده و از سال ۲۰۱۶ تا کنون بیش از ۳۰۰ میلیون وبسایت را ایمن کرده است.
در این راهنمای جامع، نحوه دریافت و نصب گواهی SSL رایگان Let's Encrypt با استفاده از Certbot را قدمبهقدم آموزش میدهیم.
Let's Encrypt چیست و چگونه کار میکند؟
Let's Encrypt یک Certificate Authority (CA) رایگان، خودکار و متنباز است که توسط شرکتهای بزرگی مانند:
- Mozilla - سازنده Firefox
- Google Chrome
- Cisco
- Meta (Facebook)
- Amazon Web Services
پشتیبانی و تأمین مالی میشود. این گواهیها از پروتکل ACME (Automatic Certificate Management Environment) برای صدور خودکار استفاده میکنند.
مقایسه SSL رایگان Let's Encrypt با SSL پولی
| ویژگی | Let's Encrypt (رایگان) | SSL پولی |
|---|---|---|
| قیمت | ✅ رایگان | 💰 ۵۰ تا ۵۰۰+ دلار/سال |
| نوع اعتبارسنجی | DV (Domain Validation) | DV, OV, EV |
| مدت اعتبار | ۹۰ روز (تمدید خودکار) | ۱ تا ۲ سال |
| Wildcard | ✅ پشتیبانی میشود | ✅ پشتیبانی میشود |
| ضمانت مالی | ❌ ندارد | ✅ تا ۱.۵ میلیون دلار |
| نوار سبز مرورگر | ❌ ندارد | ✅ فقط EV SSL |
| مناسب برای | بلاگ، سایت شرکتی | فروشگاه، بانکداری |
نصب Let's Encrypt با Certbot (راهنمای گامبهگام)
Certbot ابزار رسمی توصیهشده توسط Let's Encrypt برای دریافت و نصب خودکار گواهی SSL است.
پیشنیازها
- دسترسی SSH به سرور (root یا sudo)
- دامنه متصل به سرور (A Record تنظیم شده)
- وبسرور Apache یا Nginx نصب شده
- پورت ۸۰ و ۴۴۳ باز
مرحله ۱: نصب Certbot
Ubuntu/Debian با Snap (توصیهشده):
sudo snap install --classic certbot sudo ln -s /snap/bin/certbot /usr/bin/certbot
Ubuntu/Debian با APT:
# برای Apache sudo apt install certbot python3-certbot-apache # برای Nginx sudo apt install certbot python3-certbot-nginx
CentOS/RHEL:
sudo dnf install certbot python3-certbot-nginx
مرحله ۲: دریافت و نصب گواهی
برای Apache:
sudo certbot --apache -d example.com -d www.example.com
برای Nginx:
sudo certbot --nginx -d example.com -d www.example.com
فقط دریافت گواهی (بدون نصب خودکار):
sudo certbot certonly --webroot -w /var/www/html -d example.com
مرحله ۳: تأیید نصب
پس از نصب موفق، گواهیها در مسیر زیر ذخیره میشوند:
/etc/letsencrypt/live/example.com/ ├── cert.pem # گواهی دامنه ├── chain.pem # زنجیره گواهی ├── fullchain.pem # گواهی + زنجیره └── privkey.pem # کلید خصوصی
مرحله ۴: تمدید خودکار
Certbot به صورت خودکار یک cronjob برای تمدید ایجاد میکند. برای تست:
sudo certbot renew --dry-run
فعالسازی Let's Encrypt در کنترلپنلها
cPanel/WHM
- وارد cPanel شوید
- بخش Security → SSL/TLS Status
- دامنه را انتخاب و Run AutoSSL کلیک کنید
DirectAdmin
- وارد DirectAdmin شوید
- بخش SSL Certificates
- گزینه Free & Automatic Certificate from Let's Encrypt را فعال کنید
Plesk
- وارد Plesk شوید
- دامنه را انتخاب → SSL/TLS Certificates
- Install a free basic certificate کلیک کنید
مزایا و معایب Let's Encrypt
| ✅ مزایا | |
|---|---|
| کاملاً رایگان | بدون هیچ هزینهای |
| صدور و تمدید خودکار | با Certbot بدون دخالت دستی |
| پشتیبانی از Wildcard | برای *.example.com |
| پذیرش همه مرورگرها | مورد اعتماد Chrome, Firefox, Safari |
| ❌ معایب | |
|---|---|
| اعتبار ۹۰ روزه | نیاز به تمدید مکرر (البته خودکار) |
| فقط DV Validation | بدون OV یا EV |
| بدون ضمانت مالی | مناسب تجارت الکترونیک بزرگ نیست |
| پشتیبانی محدود | فقط از طریق فروم و مستندات |
چه زمانی به SSL پولی نیاز دارید؟
Let's Encrypt برای اکثر سایتها کافی است، اما در موارد زیر SSL پولی توصیه میشود:
- فروشگاههای آنلاین بزرگ: نیاز به ضمانت مالی و اعتبار بیشتر
- بانکداری و مالی: الزام قانونی EV SSL
- سازمانهای دولتی: نیاز به OV/EV برای تأیید هویت
- زمانی که نوار سبز مرورگر مهم است: فقط EV SSL این قابلیت را دارد
سوالات متداول (FAQ)
آیا Let's Encrypt امن است؟
بله، کاملاً امن است. Let's Encrypt از همان الگوریتمهای رمزنگاری SSL پولی استفاده میکند (RSA 2048-bit یا ECDSA). تفاوت فقط در نوع اعتبارسنجی (DV) و ضمانت مالی است.
چرا گواهی Let's Encrypt فقط ۹۰ روز اعتبار دارد؟
این طراحی عمدی برای افزایش امنیت است. اعتبار کوتاهتر یعنی اگر کلید خصوصی لو برود، مدت سوءاستفاده محدود میشود. با تمدید خودکار Certbot، این موضوع مشکلی ایجاد نمیکند.
آیا میتوانم Let's Encrypt روی هاست اشتراکی نصب کنم؟
بله، اکثر کنترلپنلها (cPanel, DirectAdmin, Plesk) از Let's Encrypt پشتیبانی میکنند. فقط کافی است از بخش SSL گواهی رایگان را فعال کنید. اگر هاست شما پشتیبانی نمیکند، با پشتیبانی تماس بگیرید.
تفاوت Wildcard SSL و SSL معمولی چیست؟
Wildcard SSL (مثل *.example.com) همه سابدامینهای یک دامنه را پوشش میدهد. SSL معمولی فقط دامنههای مشخص شده را شامل میشود. Let's Encrypt از هر دو نوع پشتیبانی میکند.
آیا Let's Encrypt روی SEO تأثیر دارد؟
بله، داشتن HTTPS یک فاکتور رتبهبندی گوگل است. از نظر SEO، تفاوتی بین SSL رایگان و پولی وجود ندارد - مهم این است که سایت شما HTTPS باشد.
🔒 SSL رایگان + هاست پرسرعت = سایت امن و سریع
هاستهای برتینا با پشتیبانی از Let's Encrypt، سایت شما را در کمتر از ۵ دقیقه ایمن میکنند.
جمعبندی
Let's Encrypt یک راهحل عالی برای ایمنسازی رایگان وبسایتها است. با ابزار Certbot، نصب و تمدید خودکار گواهی SSL به سادگی انجام میشود. برای اکثر وبسایتها (بلاگ، شرکتی، پورتفولیو)، Let's Encrypt کاملاً کافی است.
اگر فروشگاه آنلاین بزرگ یا سرویس مالی دارید، استفاده از SSL پولی با ضمانت مالی توصیه میشود.
منابع:
