Let's Encrypt en Certbot: gratis SSL automatiseren

SSL-certificaten waren vroeger duur en omslachtig aan te vragen. Let's Encrypt veranderde dat: gratis certificaten, automatisch verlengd. Met Certbot is de installatie een kwestie van een paar commando's.

Wat is Let's Encrypt?

Let's Encrypt is een gratis, automatische en open Certificate Authority. Het wordt beheerd door de Internet Security Research Group (ISRG) en wordt ondersteund door grote organisaties als Mozilla, Google en de Linux Foundation. Certificaten zijn geldig voor 90 dagen en worden automatisch verlengd.

Wat is Certbot?

Certbot is de officiële client van Let's Encrypt. Het vraagt het certificaat aan, installeert het in je webserver­configuratie en zorgt voor automatische verlenging via een cron-job of systemd-timer.

Certbot installeren

Op Ubuntu of Debian via snap:

Certificaat aanvragen voor Nginx

Certbot detecteert automatisch je Nginx-configuratie en past die aan:

Certbot vraagt om een e-mailadres (voor verlengings­herinneringen) en vraagt of je wilt afdwingen dat HTTP wordt omgeleid naar HTTPS.

Certificaat aanvragen voor Apache

Automatische verlenging

Certbot installeert automatisch een systemd-timer of cron-job die elke dag controleert of het certificaat binnenkort verloopt en het zo nodig verlengt. Controleer of dit werkt:

Wildcard-certificaten

Met Let's Encrypt kun je ook wildcard-certificaten aanvragen (voor *.voorbeeld.nl). Dat vereist een DNS-challenge: je plaatst een tijdelijk TXT-record in je DNS. Dit kan niet volledig automatisch tenzij je DNS-provider een API heeft die Certbot ondersteunt.

Zie ook

• Wat is SSL en hoe werkt het?
• Nginx vs Apache: welke webserver kies je?
• De inrichting van een server: wat moet je regelen?
• Wat zijn DNS-records en hoe werken ze?