CityCat4

Бесплатных сертификатов на год не бывает. Бесплатные сертификаты либо так или иначе крутятся вокруг LE (sslforfree, zerossl), либо даются при соблюдении кучи условий, которыми обычно является либо "купите у нас что-то" (reg.ru) либо "перейдите к нам и отдайте нам свои данные" (cloudflare, у него еще и сертификат будет с кучей SAN на посторонние домены).

Кому Вы нужны - давать Вам сертификат на год бесплатно?

Ну, Ярославище, американские законы далеко не всегда можно найти в открытом доступе - хайли лайкли знаете... А вот CRL - можно проверить, у нас не так уж и много крупных CA - thawte, comodo, globalsign... Вряд ли там был сертификат от LE :)

UPD: Нифига не получится. В CRL есть только серийник и код отзыва :) Чел, у которого сертификат, конечно сможет проверить - а другие скорее всего нет :)

UPD2 (большое):
Ну, меня вопрос заинтересовал, и вот какие у меня соображения.

Статья, разумеется, фуфел. У сайта fsb.ru, как и у kremlin.ru никогда не было сертификатов, проверить это можно у всезнающего гугла - сервис проверки. Сервис не находит ничего - то есть ничего не было. То есть, я так полагаю, все эти "35 отозванных сертификатов" на самом деле никогда не существовали, а упомянутые сайты никогда не имели сертификатов.
То есть, получается, что американец пиZDит... как и полагается сейчас настоящему американцу :) Но тем не менее, он как ни странно - прав!

Потому что проблема реально существует. Берем, например, яндекс.

Сертификат выдан внутренним CA Yandex:

CN = Yandex CA
OU = Yandex Certification Authority
O = Yandex LLC
C = RU

...которое ессно не корневой СA, а его сертификат выдан:

CN = Certum Trusted Network CA
OU = Certum Certification Authority
O = Unizeto Technologies S.A.
C = PL

... которое - внезапно - находится (тут музыка, туш, чернила и клей) - в Польше!

Issuer:
    CN=Certum CA,O=U­nizeto Sp. z o.o­.,C=PL
    CN=Certum Truste­d Network CA,OU=­Certum Certifica­tion Authority,O­=Unizeto Technol­ogies S.A.,C=PL
Serial:
    1961572933532405­2664386507102252­1293608
    279744
    4772842536756395­3368335862826026­879003
    9458922105397704­9342468936609165­78283
Not valid before:
    2008-10-22 12:07­:37 UTC
Not valid after:
    2027-06-10 10:46­:39 UTC
    2029-12-31 12:07­:37 UTC
    2025-12-30 23:59­:59 UTC
Key size:
    2048
Signature Algorithm:
    sha256WithRSAEnc­ryption
    sha1WithRSAEncry­ption

basicConstraints:
    CA:TRUE
subjectKeyIdentifier:
    08:76:CD:CB:07:F­F:24:F6:C5:CD:ED­:BB:90:BC:E2:84:­37:46:75:F7
authorityKeyIdentifier:
    DirName:/C=PL/O=­Unizeto Sp. z o.­o./CN=Certum CA­serial:01:00:20
keyUsage:
    Certificate Sign­, CRL Sign
crlDistributionPoints:
    Full Name:­ URI:http://crl­.certum.pl/ca.cr­l
authorityInfoAccess:
    OCSP - URI:http:­//subca.ocsp-cer­tum.com­CA Issuers - URI­:http://reposito­ry.certum.pl/ca.­cer
certificatePolicies:
    Policy: X509v3 A­ny Policy­ CPS: http://ww­w.certum.pl/CPS
    Policy: X509v3 A­ny Policy­ CPS: https://w­ww.certum.pl/CPS

(пруф - вот)

То есть, одним движением мышки Certum отзывает сертификат субцентра яндекса - и все сертификаты, выпущенные им, превращаются... в тыкву!

Есть от чего с ума сойти...

Ну и еще момент. Имея сертификат сайта - можно достаточно просто проверить факт его отозванности. Вот статья на хабре, она короткая, но полезные команды там есть.

Никак. Протокол DNS не имеет для этого технических возможностей - это по сути большая распределенная база данных.
Для установки сертификата нужен либо PKCS#12, либо сертификат и ключ (но ключ таскать через незащищенные подключения опасно)

Технически вообще все сертификаты одинаковы :) Это просто личный и общий ключи для шифрования-расшифровывания, вопрос разницы между ними исключительно в доверии к издателю.
- Локальные сертификаты. Издаются корпоративным CA, доверие к которому абсолютно в пределах конторы и равно нулю за ее пределами, доверие возникает только если две конторы обмениваются корневыми сертификатами (но мне такие случаи неизвестны). Выпускаются бесплатно, ставятся ответственными лицами, иногда ты конкретно знаешь, кто именно отвечает за выпуск.
- LE. Издаются бесплатным CA, на три месяца, требуют настройки скриптов обновления. Доверие минимально, поскольку для подтверждения права на выпуск сертификата нужно только подтверждение права владения доменом. Тем не менее применяются широко - для отладки, тестирования, для личных сайтов, для всех, кто не слишком заботится о своей репутации и не переживает за возможность подмены сертификата. Например для личного сайта, блога, для сайта с низкой посещаемостью LE - лучший выбор.
(JFYI: Я никогда ничего не куплю в Интернет-магазине с сертификатом от LE - чел, который не нашел в бюджете пары тысяч на DV-сертификат - это пародия на бизнесмена или же просто кидала)
- DV с общеизвестного CA. Издаются платно, за небольшие деньги (от нескольких сот до нескольких тысяч рублей), обычно на год. Доверие чуть выше, хотя издаются как правило автоматами, для выпуска достаточно подтвердить право владения доменом. Сфера применения - практически та же, плюс небольшие Интернет-магазины, СМИ, персональные сайты популярных людей (поскольку DV выдается физику), сайты организации.
- OV с общеизвестного CA. Издаются платно, за бОльшие деньги (от нескольких тысяч до нескольких десятков тысяч), обычно на год. Доверие заметно выше, чем к DV, потому что издаются не автоматом, а только после ручной проверки - CA самостоятельно по третьим источникам находит контактный номер (именно поэтому при формировании заявки рекомендуют дать ссылку на 2gis, Yellow Pages и т.д) и делает обратный контрольный звонок. В некоторых CA (но не во всех) есть русскоязычный персонал. Также запрашивают основные документы, подтверждающие регистрацию организации. Работать с CA за рубежом довольно сложно, лучше всего найти компанию-прокси в РФ (например, ярославское ЭМАРО) - они дадут все бухгалтерские документы по стандартам РФ. Сфера применения - СМИ, Интернет-магазины, почтовые сервера (мы, например заказываем для OWA)
- EV c общеизвестного CA. Издаются платно, за приличные деньги (десятки тысяч), обычно на год. Самая высокая степень доверия, самая долгая и сложная проверка. Сфера применения - банки, крупные Интернет-магазины, крупные СМИ, вообще все "крупное".

Мммм... сделать корневым доверенным? Если да, то:

- скопировать в /etc/ssl/certs (или куда хочет openssl - смотрится в параметрах сборки openssl)
- cоздать линк на этот файл со специфичным именем, которое формируется вот так:

ln -s filename.cer `openssl x509 -hash -noout -in filename.cer`.0

Если файл с таким именем уже есть, создать файл .1, .2 и т.д.

Никто не проверяет :)

Потому что хостинг-провайдеры не выдают сертификаты. Это делают удостоверяющие центры, а там конторы серьезные и проверяют всегда.

Но Вам сгодится бесплатный LE самого низшего уровня - DV (Domain Validated). Это когда достаточно автоматически подтвердить право владения доменом. Мы например для регистрации DV-сертификатов получаем письмо направленное на ящик типа postmaster@нужный_домен.ru в котором есть ссылка, на которую нужно ткнуть. Все, подтверждение есть.