Let’s Encrypt!



Som för alla säkra tjänster på Internet behöver SSL certifikat emellanåt förnyas. Så även för Mike Henry’s sajter och tjänster på nätet. Detta är en ibland tidsödande men också kostsam process då säkerhetsföretagen tar bra betalt för att ställa ut certifikat och administrerar man många domäner kan det bi dyrt. Nu signerar vi ofta våra egna certifikat själva för internt bruk men när det var dags för oss att uppdatera våra certifikat för extern domänvalidering bestämde vi oss för att se om vi kunde effektivisera denna hantering och samtidigt kapa kostnaderna.

Nya möjligheter

Efter en del research föll valet på Certbot och Let’s Encrypt. Certbot är ett program tillhandahållet av Electronic Frontier Foundation (EFF) som automatiserar begäran, verifiering och installation av TLS certifikat. Let’s Encrypt är ett ideellt företag som validerar och ställer ut TLS certifikat. De tillhandahåller godkända rot-certifikat som stöds av alla webbläsare av nyare snitt.

Eftersom Let’s Encrypt TLS certifikat gäller i högst 90 dagar och måste därförinnan förnyas, är det viktigt att uppdateringen går snabbt och smidigt. Det är här Certbot’s automatiska hantering kommer in i bilden.

Teknisk lösning

Kortfattat så installerade vi Certbot på våra servrar och anpassade vår DNS server för att ta emot begäran från Let’s Encrypt. Certbot kan uppdatera webbserverinställningarna automatiskt, vilket bara behövs göras en gång. Vi valde dock att göra detta manuellt då vi gärna vill hålla koll själva på hur våra webbtjänster är konfigurerade.

Sista steget i installationen var att verifiera att certifikatsförnyelse kunde göras med Certbot och lägga till ett cron-jobb som regelbundet kör Certbot. Förnyelsen görs då helt automatiskt när tiden för certifikatsbytet är inne, helt utan mänsklig inblandning!

Samtidigt passade vi på att se över säkerhetsinställningarna för våra tjänster och avaktivera äldre SSL/TLS protokoll, krypteringsalgoritmer och chiffer. Vill du också kolla om dina webbtjänster är så säkra som de kan vara? Vi rekommenderar Qualys SSL Labs SSL Test för det ändamålet.

Slutligen

Vi tycker att Let’s Encrypt är en bra lösning för webbsidor och -tjänster som bara behöver domänvalidering (DV). Om ens verksamhet kräver organisationsvalidering (OV) eller utökad validering (EV) så räcker inte Let’s Encrypt till för att göra detta. För sådana behov är man generellt hänvisad till de traditionella lösningarna och företagen för certifikatshantering.

Detta är ett område där det händer mycket. Har du tips på bra certifikatslösningar så skriv i kommentarsfältet nedan och tipsa oss gärna!