сLet’s Encrypt — центр сертификации, начавший работу в бета-режиме с 3 декабря 2015 года, предоставляющий бесплатные криптографические сертификаты X.509 для TLS шифрования (HTTPS). Процесс выдачи сертификатов полностью автоматизирован.

Проект Let’s Encrypt создан для того, чтобы большая часть интернет-сайтов смогла перейти к шифрованным подключениям (HTTPS). В отличие от коммерческих центров сертификации, в данном проекте не требуется оплата, переконфигурация веб-серверов, использование электронной почты, обработка просроченных сертификатов, что делает процесс установки и настройки TLS-шифрования значительно более простым. Например, на типичном веб-сервере на базе Linux, требуется исполнить две команды, которые настроят HTTPS шифрование, получат и установят сертификат примерно за 20-30 секунд.

Пакет с утилитами автонастройки и получения сертификата планируется включить в официальные репозитарии дистрибутива Debian. Разработчики популярных браузеров, Mozilla и Google намерены постепенно отказаться от поддержки незашифрованного протокола HTTP путём отказа от поддержки новых веб-стандартов для http-сайтов. Проект Let’s Encrypt имеет потенциал по переводу большей части Интернета на шифрованные соединения.

Центр сертификации Let’s Encrypt выдает сертификаты «domain validation» со сроком действия в 90 дней. Не планируется предложение более надежных сертификатов Organization Validation и Extended Validation Certificate.

Проект публикует множество информации с целью защиты от атак и попыток манипуляции. Ведется публичный лог всех транзакций ACME, используются открытые стандарты и программы с открытыми исходными кодами.

Центр сертификации использует сервер ACME-протокола «Boulder», написанный на языке программирования Go (доступен в исходных текстах под лицензией Mozilla Public License 2). Сервер предоставляет RESTful-протокол, работающий через канал с шифрованием TLS.

Клиент протокола ACME, letsencrypt, открыт под лицензией Apache и написан на языке Python. Этот клиент устанавливается на конечном сервере и используется для запроса сертификата, проведения валидации домена, инсталляции сертификата и настройке HTTPS шифрования в веб-сервере. В дальнейшем этот клиент используется для регулярного перевыпуска сертификата по мере окончания срока действия. 

После установки и принятия лицензии достаточно выполнить одну команду для получения сертификата. Дополнительно могут быть включены опции OCSP stapling и HTTP Strict Transport Security (HSTS, принудительное переключение с HTTP на HTTPS). Автоматическая настройка https-сервера изначально доступна для веб-серверов Apache и nginx.