Let's Encrypt

Ограничения

Последнее обновление: | Вся документация

Внимание! Английская версия сайта была обновлена, перевод неактуален () Просмотреть на английском

Let’s Encrypt использует ограничения на использование ресурсов, чтобы обеспечить справедливое использование сервиса как можно большим числом пользователей. Мы считаем, что данные ограничения, в общем случае, не должны помешать работе пользователей. Ограничение на обновление сертификатов спроектировано так, что вряд ли будет превышено, поэтому большие организации могут постепенно увеличивать число выпущенных сертификатов, без необходимости вмешательства со стороны Let’s Encrypt.

Если вы ведёте активную разработку или тестирование ACME-клиента, пожалуйста, используйте наше Staging-окружение, вместо Production-окружения. Если вы представляете компанию-хостера со множеством сайтов, и занимаетесь вопросами интеграции с Let’s Encrypt, пожалуйста, ознакомьтесь с нашим Руководством по интеграции.

Основное ограничение - это Число сертификатов на зарегистрированный домен (50 в неделю). Зарегистрированный домен, это, другими словами, часть доменного имени, приобретённого вами у регистратора доменных имён. Например, для доменного имени www.example.com, зарегистрированным доменом будет example.com, для имени new.blog.example.co.uk - example.co.uk, и т.д. Для вычисления зарегистрированного домена мы используем Public Suffix List.

Если у вас много поддоменов, возможно, вам будет удобнее поместить их в один сертификат, с ограничением не более 100 Имён на сертификат. Учитывая предыдущее ограничение, это означает, что вы можете выпустить сертификаты с 5000 уникальными субдоменами в неделю. Сертификаты, содержащие несколько доменных имён, обычно называются SAN- или, иногда, UCC-сертификатами. Важное замечание: с точки зрения производительности и надёжности, лучше использовать как можно меньше доменных имён внутри одного сертификата.

Обновления сертификатов обрабатываются по другой логике: их число учитывается не в ограничении на Число сертификатов на зарегистрированный домен, а в ограничении на Дубли сертификатов - не более 5 в неделю. Важное замечание: обновления учитывались в ограничении на Число сертификатов на зарегистрированный домен до марта 2019, но более не учитываются.

Сертификат считается обновлённым (или продублированным), если он содержит в точности тот же набор доменных имён, без учёта регистра написания и порядка указания. Например, если вы выпустили сертификат для доменных имён [www.example.com, example.com], вы можете выпустить ещё четыре сертификата для этих имён в течение недели. Если вы измените набор доменных имён, добавив к ним [blog.example.com], вы можете выпустить дополнительные сертификаты, и т.д.

Обработчик запроса на обновление сертификата проигнорирует предоставленный открытый ключ и расширения. Выдача сертификата будет считаться обновлением, даже если вы используете новый ключ.

Отзыв сертификата не сбрасывает счётчик ограничений, т.к. ресурсы на выпуск сертификата уже были использованы.

Существует ограничение на Число неудачных валидаций - не более 5 неудачных попыток, для одного аккаунта, для одного доменного имени, в течение часа. Это ограничение увеличено в нашем Staging-окружении,таким образом, вы можете использовать это окружение для поиска причин проблем со связью.

На вызов методов “new-reg”, “new-authz” и “new-cert” существует ограничение Число общих запросов - не более 20 вызовов в секунду. На вызов методов из папок “/directory”, “acme” и вложенных папок ограничение Число общих запросов составляет 40 вызовов в секунду.

Также существуют ещё два ограничения, с которыми вы вряд ли столкнётесь.

Возможно создать не более 10 Аккаунтов на IP-адрес в течение 3 часов. Возможно создать не более 500 Аккаунтов на диапазон IP-адресов внутри подсети IPv6 /48 в течение 3 часов. Вероятность достижения этих ограничений достаточно мала, но мы рекомендуем компаниям-интеграторам использовать один аккаунт для множества клиентов.

Для одного аккаунта допускается не более 300 Запросов на авторизацию, ожидающих ответа. Достижение этого ограничения маловероятно, и как правило, возникает при разработке ACME-клиента. Обычно это означает, что ваш клиент создаёт запросы на авторизацию, но не завершает их. Пожалуйста, используйте наше Staging-окружение при разработке ACME-клиента.

При использовании ACME v2 API, вы можете создать не более 300 Новых заказов для одного аккаунта в течение 3 часов.

Переопределение ограничений

Если вы достигли какого-либо ограничения, мы не сможем отменить его действие. Вам придётся ждать неделю, пока действие ограничения не будет отменено автоматически. Мы используем “скользящее окно” для определения периода, поэтому, если вы выпустили 25 сертификатов в понедельник, и 25 сертификатов в пятницу - вы сможете вновь выпускать сертификаты, начиная со следующего понедельника. Список выпущенных сертификатов для доменного имени вы можете получить, с помощью сервиса, который использует в своей работе открытые данные из Certificate Transparency

Если ваша организация предоставляет услуги доступа в Интернет, или вы работаете над проектом интеграции с Let’s Encrypt, у нас есть форма запроса на изменение размеров ограничений. Вы можете использовать её для подачи запроса на пересмотр ограничений, применямых к вашим аккаунтам. Процесс рассмотрения заявки занимает несколько недель, таким образом, вы не можете отменить с её помощью превышенные ограничения быстрее, чем они отменятся автоматически, спустя неделю.

Обратите внимание, что большинству компаний-провайдеров не требуется изменение ограничений, т.к. нет ограничения на число уникальных доменных имён для выпуска сертификатов. До тех пор, пока большая часть ваших клиентов не поддерживает более 2000 поддоменов на зарегистрированный домен, вам, скорее всего, не потребуется пересмотр ограничений. Обратитесь нашему Руководству по интеграции за дополнительной информацией.

Отмена запросов на авторизацию

Если у вас накопилось большое число запросов на авторизацию, и вы получили ошибку превышения ограничения по ним, вы можете принудительно запустить проверку этих запросов. Для этого, отправьте POST-запрос с JWS подписью, согласно спецификации ACME. Запросы на авторизацию, представляющие собой URL вида https://acme-v02.api.letsencrypt.org/acme/authz/XYZ, должны быть в логах вашего ACME-клиента. Обратите внимание, что результат проверки тут неважен. Любой результат уберёт признак “ожидание” у запроса. Если же у вас нет логов, вам придётся ждать, пока ограничение не будет снято. Как было сказано выше, мы используем “скользящее окно”, таким образом, ожидание займёт меньше недели, в зависимости от интенсивности выпуска вами сертификатов.

Обратите внимание, что большое число запросов на авторизацию обычно свидетельствует о проблемах в ACME-клиенте. Если вы часто упираетесь в это ограничение, возможно, вам следует перепроверить исходный код ACME-клиента.