HTTPS via Let's Encrypt

Wie of wat is Let's Encrypt?

Let's Encrypt is een gratis te gebruiken, open en geautomatiseerde Certificate Authority (CA) die wordt beheerd door de Internet Security Research Group (ISRG). De ISRG is een Amerikaanse non-profit organisatie.

Voor meer informatie over Let's Encrypt kijk u op www.letsencrypt.org.

Hoe gaat Let's Encrypt om met mijn gegevens?

Als NederHost een certificaat voor uw domein aanvraagt dan ontvangt Let's Encrypt geen persoonsgegevens van u. De enige gegevens die NederHost uitwisselt met Let's Encrypt zijn de domeinnamen waarop het certificaat komt te draaien en de door NederHost gegenereerde publieke sleutel. Er worden geen e-mailadressen of andere gegevens van u doorgegeven. NederHost treedt op als contactpersoon voor uw domeinnamen, maar zelfs van NederHost heeft Let's Encrypt alleen een e-mailadres en een publieke sleutel in bezit.

Welke domeinnamen komen in het certificaat te staan?

Als u uw website beveiligt met een Let's Encrypt-certificaat dan worden in principe alle domeinnamen die aan uw website zijn verbonden, inclusief domeinaliassen, in het certificaat vermeld.

Voor een website die is geconfigureerd op een wildcard-hostnaam (waarvan de naam begint met eem asterisk '*') wordt het certificaat standaard gekoppeld aan de domeinnaam zonder voorvoegsel en de domeinnaam met als subdomein 'www'. Als u extra subdomeinen wilt laten vermelden in het certificaat dan kunt u deze opgeven na het inschakelen van de 'expert'-modus in Mijn NederHost.

NederHost beperkt het totaal aantal namen dat kan worden gekoppeld aan een certificaat tot vijftig, en adviseert u niet meer dan twintig namen te koppelen om te voorkomen dat het opzetten van de HTTPS-verbinding onnodig lang duurt.

Kan ik zelf het Let's Encrypt-certificaat aanvragen?

Het staat u uiteraard vrij om voor uw eigen server ook gebruik te maken van Let's Encrypt. U moet in dat geval echter wel zelf het certificaat aanvragen, NederHost kan dit niet voor u doen. Voor het aanvragen van een certificaat is het noodzakelijk dat u zelf rechtstreeks communiceert met de API van Let's Encrypt. De redenen hiervoor zijn:

  • Voor het genereren van een verzoek voor een certificaat is de geheime sleutel nodig; het is echter veiliger als u deze geheime sleutel alleen gebruikt op de server vanaf waar u de door het certificaat beveiligde gegevens gaat verwerken.
  • De door Let's Encrypt uitgegeven certificaten zijn slechts drie maanden geldig en worden daarom geautomatiseerd via de API verlengd. Het uitgeven van een nieuw certificaat dat steeds binnen drie maanden door u moet worden vervangen is simpelweg niet praktisch.

Merk op dat u de verificatie van uw domeinnaam bij Let's Encrypt slechts eenmalig hoeft uit te voeren, waarna u met behulp van uw geheime accountsleutel de benodigde certificaten kunt aanvragen.

Als u een certificaat wilt aanvragen via NederHost dat u eenvoudig zelf kunt downloaden dan kunt u een commercieel certificaat aanvragen.

Wat zijn de voordelen van een commercieel certificaat boven Let's Encrypt?

Bij NederHost kunt u ook een commercieel certificaat aanvragen, de zogenaamde DV-, OV- en EV-certificaten. Deze certificaten bieden dezelfde veiligheid als een Let's Encrypt-certificaat, maar bieden een aantal voordelen:

  • DV- en OV-certifcaten zijn ook aan te vragen voor een wildcard, zoals *.uwdomein.nl. Let's Encrypt-certificaten zijn altijd gekoppeld aan specifieke hostnames.
  • EV-certificaten zijn maximaal twee jaar geldig, en DV- en OV-certificaten zelfs maximaal drie jaar. Deze certificaten hoeven dus veel minder vaak te worden vervangen dan Let's Encrypt-certificaten die maximaal drie maanden geldig zijn.
  • Commerciële certificaten kunnen desgewenst ook worden gedownload in Mijn NederHost om te installeren op uw eigen server of applicatie.
  • In een OV- of EV-certificaat wordt de naam van uw organisatie vermeld zodat bezoekers van uw website weten met wie ze te maken hebben.
  • EV-certificaten geven uw organisatienaam weer in het groen of in een groene balk in de browser van uw bezoekers.

Als u twijfelt dan weerhoudt niets u er natuurlijk van om eerst Let's Encrypt te proberen en later alsnog over te stappen naar een commercieel certificaat.