Let's Encrypt en Certbot: gratis SSL automatiseren
SSL-certificaten waren vroeger duur en omslachtig aan te vragen. Let's Encrypt veranderde dat: gratis certificaten, automatisch verlengd. Met Certbot is de installatie een kwestie van een paar commando's.
Wat is Let's Encrypt?
Let's Encrypt is een gratis, automatische en open Certificate Authority. Het wordt beheerd door de Internet Security Research Group (ISRG) en wordt ondersteund door grote organisaties als Mozilla, Google en de Linux Foundation. Certificaten zijn geldig voor 90 dagen en worden automatisch verlengd.
Wat is Certbot?
Certbot is de officiële client van Let's Encrypt. Het vraagt het certificaat aan, installeert het in je webserverconfiguratie en zorgt voor automatische verlenging via een cron-job of systemd-timer.
Certbot installeren
Op Ubuntu of Debian via snap:
snap install --classic certbot
ln -s /snap/bin/certbot /usr/bin/certbot
Certificaat aanvragen voor Nginx
Certbot detecteert automatisch je Nginx-configuratie en past die aan:
Certbot vraagt om een e-mailadres (voor verlengingsherinneringen) en vraagt of je wilt afdwingen dat HTTP wordt omgeleid naar HTTPS.
Certificaat aanvragen voor Apache
Automatische verlenging
Certbot installeert automatisch een systemd-timer of cron-job die elke dag controleert of het certificaat binnenkort verloopt en het zo nodig verlengt. Controleer of dit werkt:
Wildcard-certificaten
Met Let's Encrypt kun je ook wildcard-certificaten aanvragen (voor *.voorbeeld.nl). Dat vereist een DNS-challenge: je plaatst een tijdelijk TXT-record in je DNS. Dit kan niet volledig automatisch tenzij je DNS-provider een API heeft die Certbot ondersteunt.
Zie ook
Na installatie begint het beheer
Na het aanvragen van een certificaat is het verstandig om ook redirectregels, HSTS-instellingen en mixed-content meldingen te controleren. Een geldig certificaat is de basis, maar de rest van de HTTPS-configuratie bepaalt of bezoekers en browsers de site ook echt als veilig en consistent ervaren.
Controleer daarnaast of vernieuwing goed blijft werken na serverupdates of wijzigingen in je webserverconfiguratie. Automatisering is pas echt waardevol als je ook vertrouwt op de controle eromheen.