Let's Encrypt

Om je website bij NederHost te beveiligen met HTTPS is een certificaat nodig. Je kunt een commercieel certificaat aanvragen maar als je dat niet doet dan vraagt NederHost een certificaat voor je aan bij Let's Encrypt. Dit gaat volautomatisch en je hoeft hier niets voor te doen.

Wat is Let's Encrypt?

Let's Encrypt is een gratis te gebruiken, volledig geautomatiseerde Certificate Authority (CA) die wordt beheerd door de Internet Security Research Group. De ISRG is een Amerikaanse non-profit organisatie.

Certificaten

Certificaten worden uitgegeven op basis van domeinvalidatie via DNS of HTTP. Hiermee controleert Let's Encrypt of de aanvrager ook daadwerkelijk de beheerder van de betreffende server is. Certificaten zijn drie maanden geldig; NederHost verlengt certificaten steeds ruim voor de vervaldatum via een geautomatiseerd proces.

In Let's Encrypt-certificaten staat geen informatie over de eigenaar van de website. Let's Encrypt ontvangt ook geen persoonsgegevens van NederHost, het enig wat wordt doorgegeven zijn de te beveiligen domeinnamen.

De certificaten van Let's Encrypt worden door alle gangbare browsers ondersteund.

Let's Encrypt versus een eigen (commercieel) certificaat

Het belangrijkste eerst: een website beveiligd met een Let's Encrypt-certificaat is net zo veilig als een website met een betaald, eigen certificaat. De gegevens worden via HTTPS op exact dezelfde manier versleuteld. De verschillen zijn vooral praktisch van aard:

  • Op dit moment kunnen Let's Encrypt-certificaten bij NederHost nog niet worden aangevraagd op een wilcard (*.example.com), hoewel het de bedoeling is dit binnenkort aan te passen door over te gaan op een nieuwe versie van het aanvraagprotocol ACME.
  • Eigen certificaten zijn één of twee jaar geldig, Let's Encrypt-certificaten hebben een vaste geldigheid van drie maanden. Dit betekent dat Let's Encrypt-certificaten veel vaker (ongeveer om de twee maanden) worden vervangen.
  • Eigen certificaten kunnen ook worden gedownload in Mijn NederHost om gebruikt te worden op een server die je zelf beheert. Voor Let's Encrypt wordt dit niet ondersteund omdat vanwege de korte geldigheid het niet zinvol is deze certificaten met de hand te installeren. Je kunt wel zelf een Let's Encrypt-certificaat aanvragen.
  • Bij een eigen certificaat kun je ervoor kiezen de organisatienaam in het certificaat te laten vermelden, of zelfs om een EV-certificaat te gebruiken (voor een 'groene balk' met de naam van je organisatie).