ZeroSSL — публичный центр сертификации (Certificate Authority, CA), основанный компанией apilayer (Австрия). Предоставляет бесплатные DV (Domain Validation) SSL/TLS-сертификаты сроком 90 дней через ACME-протокол — аналогично Let's Encrypt. Дополнительно предлагает REST API и веб-интерфейс для управления сертификатами без CLI-инструментов.
Как работает
ZeroSSL поддерживает все три метода подтверждения владения доменом:
- HTTP-01 — файл проверки на сервере по пути
/.well-known/acme-challenge/TOKEN. - DNS-01 — TXT-запись в DNS (необходима для Wildcard-сертификатов).
- Email — письмо на стандартные адреса (admin@, webmaster@, hostmaster@).
ACME-клиенты (acme.sh, Certbot, caddy) поддерживают ZeroSSL как альтернативный CA. Для Certbot достаточно указать --server https://acme.zerossl.com/v2/DV90 и предварительно зарегистрировать EAB (External Account Binding) credentials в личном кабинете ZeroSSL.
ZeroSSL входит в программу Mozilla Root Store — сертификаты ZeroSSL доверяются всеми современными браузерами. Цепочка доверия: ZeroSSL RSA DV CA → Sectigo RSA Domain Validation → USERTrust RSA Certification Authority → ISRG Root X1 (Cross-signed) или собственный корень.
ZeroSSL vs Let's Encrypt
| Параметр | ZeroSSL | Let's Encrypt |
|---|---|---|
| Бесплатные сертификаты | Да (90 дней) | Да (90 дней) |
| ACME-поддержка | Да | Да |
| Веб-интерфейс | Да | Нет |
| REST API | Да (платно) | Только ACME |
| Платные OV/EV | Да | Нет |
| Wildcard | Да (через DNS-01) | Да (через DNS-01) |
История
ZeroSSL основана в 2019 году apilayer как коммерческая альтернатива Let's Encrypt с акцентом на удобный интерфейс. В 2020 году добавлена поддержка ACME. В 2021 году ZeroSSL стал вторым публичным CA (после Let's Encrypt), выпускающим бесплатные сертификаты через ACME в масштабе. Certbot с версии 1.18 (2021) включил ZeroSSL как официально поддерживаемый CA.
На что обращать внимание
ZeroSSL бесплатно выдаёт только до 3 сертификатов одновременно в бесплатном плане без API; для автоматизации через ACME ограничений нет. EAB-credentials нужно сгенерировать в личном кабинете до первого запроса через ACME-клиент. При использовании acme.sh: --eab-kid KEY_ID --eab-hmac-key HMAC_KEY. Для большинства задач на хостинге Let's Encrypt и ZeroSSL взаимозаменяемы — выбор зависит от предпочтений и инструментов автоматизации.
История ZeroSSL
ZeroSSL основан в 2019 году компанией apilayer (Австрия). Запустился как альтернатива Let's Encrypt и стал вторым в мире бесплатным публичным удостоверяющим центром. В 2021 году поглощён компанией Sectigo (ранее Comodo CA). ZeroSSL использует тот же стандарт ACME v2 (RFC 8555), что и Let's Encrypt, поэтому Certbot и acme.sh поддерживают оба CA.
Отличия от Let's Encrypt
ZeroSSL поддерживает Multi-Domain (SAN) сертификаты в бесплатном тарифе. Веб-интерфейс с dashboard для управления сертификатами — удобнее для неопытных пользователей. ACME-интеграция через EAB-ключи (External Account Binding). Коммерческие тарифы добавляют Wildcard, OV и EV сертификаты.