SSL Let's Encrypt — automatyczna instalacja i odnawianie

Ostatnia aktualizacja: kwiecień 2026

TL;DR: Let's Encrypt to darmowy, automatyczny urząd certyfikacji. Na VPS instaluj Certbot: sudo apt install certbot, potem certbot --nginx -d domena.pl. Certyfikat ważny 90 dni, Certbot odnawia go automatycznie przez cron. Na hostingu współdzielonym zazwyczaj wystarczy kliknąć "SSL" w panelu DirectAdmin/cPanel — bez Certbota.

Czym jest Let's Encrypt?

Let's Encrypt to bezpłatny, otwarty urząd certyfikacji (CA) prowadzony przez Internet Security Research Group (ISRG). Działa od 2015 roku i wydał ponad 3 miliardy certyfikatów. Certyfikaty DV (Domain Validation) od Let's Encrypt są w pełni akceptowane przez wszystkie nowoczesne przeglądarki.

Główna zaleta: pełna automatyzacja przez protokół ACME (Automatic Certificate Management Environment). Narzędzie Certbot automatycznie pobiera, instaluje i odnawia certyfikaty.

Let's Encrypt vs płatne certyfikaty SSL:

Cecha	Let's Encrypt (DV)	Płatny DV	Płatny EV
Cena	Darmowy	~100-500 zł/rok	~500-3000 zł/rok
Szyfrowanie	256-bit AES	256-bit AES	256-bit AES
Ważność	90 dni (auto-renew)	1-2 lata	1-2 lata
Weryfikacja firmy	Nie (tylko domena)	Nie	Tak
Wildcard	Tak (DNS Challenge)	Tak	Tak

Instalacja Certbot na VPS (Ubuntu/Debian)

1. Instalacja Certbota

# Ubuntu 22.04 / Debian 12
sudo apt update
sudo apt install certbot python3-certbot-nginx   # dla Nginx
# lub
sudo apt install certbot python3-certbot-apache  # dla Apache

2. Wystawienie certyfikatu z Nginx

# Nginx automatycznie zmieni konfigurację (doda HTTPS, przekierowanie 80→443)
sudo certbot --nginx -d twoja-domena.pl -d www.twoja-domena.pl

# Podaj email dla powiadomień o wygaśnięciu
# Zaakceptuj warunki Let's Encrypt
# Certbot edytuje /etc/nginx/sites-available/ automatycznie

3. Wystawienie certyfikatu z Apache

sudo certbot --apache -d twoja-domena.pl -d www.twoja-domena.pl

4. Weryfikacja certyfikatu

# Lista certyfikatów
sudo certbot certificates

# Test odnowienia (bez faktycznego odnowienia)
sudo certbot renew --dry-run

Automatyczne odnawianie certyfikatu

Certbot automatycznie konfiguruje systemd timer (lub cron) przy instalacji na Ubuntu/Debian. Sprawdź czy timer działa:

# Sprawdź timer systemd
sudo systemctl status certbot.timer
sudo systemctl list-timers | grep certbot

# Lub ręcznie dodaj cron (jeśli nie ma systemd timer):
sudo crontab -e
# Dodaj linię:
0 12 * * * /usr/bin/certbot renew --quiet

Certbot sprawdza certyfikaty dwa razy dziennie. Odnawia je automatycznie gdy zostało mniej niż 30 dni do wygaśnięcia. Po odnowieniu automatycznie przeładowuje Nginx/Apache.

Wildcard SSL z DNS Challenge

Certyfikat wildcard *.domena.pl wymaga potwierdzenia przez DNS. Możesz to zrobić ręcznie lub przez plugin API dla twojego rejestratora.

# Wildcard — ręczna weryfikacja DNS
sudo certbot certonly \
  --manual \
  --preferred-challenges dns \
  -d "*.twoja-domena.pl" \
  -d "twoja-domena.pl"

# Certbot poprosi o dodanie rekordu TXT do DNS:
# _acme-challenge.twoja-domena.pl  TXT  "..."
# Dodaj rekord w panelu rejestratora, poczekaj ~60s, kontynuuj

Uwaga: Ręczna weryfikacja DNS nie obsługuje automatycznego odnawiania. Do w pełni automatycznego wildcard SSL użyj pluginu DNS dla swojego rejestratora (np. certbot-dns-cloudflare, certbot-dns-ovh).

SSL na hostingu współdzielonym

Na hostingu współdzielonym (LH.pl, CyberFolks, home.pl, zenbox.pl, SmartHost.pl) nie konfigurujesz Certbota samodzielnie. SSL instalujesz przez panel:

DirectAdmin

Account Manager → SSL Certificates → Free & automatic certificate [ACME / Let's Encrypt] → zaznacz domenę → Save

cPanel

Security → SSL/TLS → Manage SSL Sites → lub AutoSSL (automatyczna instalacja dla wszystkich domen na koncie)

Plesk

Websites & Domains → SSL/TLS Certificates → Install Free Basic Certificate (Let's Encrypt)

Rozwiązywanie problemów z SSL

Błąd: "Too many certificates already issued" +

Let's Encrypt limit: 50 certyfikatów na domenę tygodniowo. Rozwiązanie: użyj staging environment do testów: certbot --nginx --staging -d domena.pl. Certyfikaty staging nie są ważne produkcyjnie, ale pozwalają testować bez limitów.

Błąd: "Connection refused" podczas weryfikacji HTTP +

Certbot musi odpowiedzieć na wyzwanie HTTP na porcie 80. Sprawdź: (1) czy Nginx/Apache działa, (2) czy port 80 jest otwarty w firewallu (ufw allow 80), (3) czy DNS domeny wskazuje na właściwy serwer.

Strona nadal pokazuje "Połączenie niezabezpieczone" po instalacji SSL +

Możliwe przyczyny: (1) mixed content — strona ładuje zasoby przez HTTP (sprawdź konsolę przeglądarki), (2) WordPress: zmień siteurl i home na https:// w wp-config.php lub bazie danych, (3) przeładuj konfigurację serwera: sudo nginx -t && sudo systemctl reload nginx

Najczęstsze pytania

Czy Let's Encrypt jest naprawdę darmowy i bezpieczny? +

Tak, Let's Encrypt jest w pełni darmowy, automatyczny i otwarty. To projekt non-profit wspierany przez EFF, Mozilla, Google, Cisco i inne organizacje. Certyfikaty DV (Domain Validation) od Let's Encrypt są technicznie równoważne płatnym certyfikatom DV — szyfrowanie 256-bit AES, TLS 1.2/1.3, akceptowane przez wszystkie nowoczesne przeglądarki. Ograniczenie: brak certyfikatów OV/EV (Extended Validation z zielonym paskiem firmowym) — te wymagają ręcznej weryfikacji tożsamości firmy.

Jak długo ważny jest certyfikat Let's Encrypt? +

Certyfikaty Let's Encrypt są ważne 90 dni (celowo krótko dla bezpieczeństwa). Certbot automatycznie odnawia je co 60 dni (30 dni przed wygaśnięciem). Przy prawidłowej konfiguracji crona odnowienie jest w pełni automatyczne — nie trzeba nic robić ręcznie. Certbot wysyła też email z ostrzeżeniem na 20 i 10 dni przed wygaśnięciem jeśli automatyczne odnowienie nie działa.

Czy Let's Encrypt działa na hostingu współdzielonym? +

Tak, większość polskich hostingów (LH.pl, CyberFolks, home.pl, zenbox.pl i inne) oferuje SSL Let's Encrypt przez panel (cPanel/DirectAdmin) — zazwyczaj jednym kliknięciem bez konfiguracji Certbota. Na VPS konfigurujesz Certbot samodzielnie. Jeśli hosting nie obsługuje Let's Encrypt automatycznie, możesz użyć metody DNS Challenge przez API rejestratora domeny.

Co to jest wildcard SSL i kiedy go potrzebuję? +

Wildcard SSL (*.example.com) chroni główną domenę i wszystkie subdomeny jednym certyfikatem. Potrzebujesz go gdy masz wiele subdomen: sklep.firma.pl, blog.firma.pl, api.firma.pl. Let's Encrypt obsługuje wildcard przez DNS Challenge (certbot --manual --preferred-challenges dns). Na hostingach z DirectAdmin/cPanel wildcard SSL zazwyczaj jest dostępny przez panel. Bez wildcard musisz wystawiać oddzielny certyfikat dla każdej subdomeny.

Szybkie przejście do ofert związanych z tym tematem

Wybraliśmy oferty i strony z kodami rabatowymi, które najczęściej pasują do tego scenariusza użycia.

LH.pl

Hosting z darmowym SSL i prostą automatyzacją.

SSL

Aktywuj rabat →

#Reklama · link partnerski

Zobacz kod rabatowy →

CyberFolks

WordPress i hosting z Let’s Encrypt.

WordPress

Aktywuj rabat →

#Reklama · link partnerski

Zobacz kod rabatowy →

SmartHost

Shared hosting z darmowym certyfikatem SSL.

Start

Aktywuj rabat →

#Reklama · link partnerski

Zobacz kod rabatowy →