Let’s Encrypt och Certbot?

Att skapa en säker webbplats är idag lika viktigt som att låsa dörren till sitt hus. När du besöker en webbplats och ser ett litet hänglås i adressfältet betyder det att anslutningen är krypterad. Det gör att ingen kan läsa eller ändra informationen som skickas mellan dig och webbplatsen. För att få det där hänglåset behövs ett SSL‑certifikat (eller mer korrekt: TLS‑certifikat).

Förr var sådana certifikat dyra och krångliga att skaffa. Det var ofta något som bara större företag hade råd och tid att hantera. Men allt förändrades när Let’s Encrypt och Certbot kom. De gjorde det både gratis och enkelt att få certifikat, och därför används de idag av miljontals webbplatser världen över.

Let’s Encrypt är en ideell certifikatutfärdare (CA – Certificate Authority). Det betyder att de skapar och signerar SSL/TLS‑certifikat som webbläsare litar på.

Det finns flera fördelar med att använda Let’s Encrypt, det är gratis och alla kan få certifikat utan kostnad, kan kan automatisera hela processen utan manuell handpåläggning, de är öppna och projektet drivs av en stiftelse som stöds av många stora företag och inte minst, de är säkra då certifikaten fungerar i alla moderna webbläsare.

Let’s Encrypt startades för att göra internet säkrare. Målet var att kryptering skulle vara standard, inte ett dyrt tillval. Genom att ta bort kostnader och krångel har de gjort det möjligt för även små webbplatser, hobbyprojekt och privatpersoner att använda HTTPS, och som sagt helt utan kostnad.

Hur fungerar Let’s Encrypt i praktiken?

För att Let’s Encrypt ska kunna ge ut ett certifikat måste de först kontrollera att du verkligen äger domänen. Detta sker automatiskt genom ett protokoll som heter ACME (Automatic Certificate Management Environment).

Processen ser ut så här:

  1. Du ber om ett certifikat för din domän.
  2. Let’s Encrypt skickar en utmaning (challenge).
  3. Du måste bevisa att du kontrollerar domänen, t.ex. genom:
    • en fil på din webbserver (HTTP‑01),
    • en DNS‑post (DNS‑01).
  4. När Let’s Encrypt ser att allt stämmer utfärdas certifikatet.
  5. Certifikatet installeras på din server.
  6. Certifikatet förnyas automatiskt var 60–90 dag.

Det är här Certbot kommer in i bilden.

Varför behövs Certbot?

Tekniskt sett kan du använda Let’s Encrypt utan Certbot. Men då måste du själv skapa nycklar, skicka ACME‑förfrågningar, svara på utmaningar, installera certifikaten manuellt och sedan inte glömma att förnya dem varannan månad. Det är både tidskrävande och lätt att göra fel. Certbot gör allt detta åt dig med ett enda kommando. Det är därför de flesta som använder Let’s Encrypt också använder Certbot.

Hur Certbot fungerar steg för steg

1. Installation
Certbot finns för de flesta Linux‑distributioner, och även för Windows och macOS. På Linux installeras det ofta via pakethanteraren.

2. Begära certifikat
När Certbot körs första gången frågar det vilken webbserver du använder. Sedan kan du be om ett certifikat med ett enkelt kommando.

3. Verifiering
Certbot skapar automatiskt den fil eller DNS‑post som Let’s Encrypt behöver för att verifiera domänen.

4. Installation
När certifikatet är klart konfigurerar Certbot din webbserver så att HTTPS fungerar direkt.

5. Automatisk förnyelse
Certbot lägger in en schemalagd uppgift (cron eller systemd timer) som förnyar certifikatet innan det går ut.

Det betyder att du i princip kan installera Certbot en gång och sedan låta det sköta allt själv.

Vanliga missförstånd

“Gratis certifikat är mindre säkra”
Det stämmer inte. Let’s Encrypt använder samma krypteringsstandarder som kommersiella certifikat. Skillnaden är att de inte erbjuder organisationsvalidering (OV) eller utökad validering (EV), men för de flesta webbplatser behövs inte det.

“Certifikat som bara gäller 90 dagar är dåliga”
Tvärtom. Kortare giltighetstid är säkrare. Det minskar risken om en nyckel skulle läcka. Certbot förnyar automatiskt, så du märker inget.

“Det är svårt att använda”
Certbot är gjort för att vara så enkelt som möjligt. Många installationer tar bara några minuter.

När passar det inte?

Det finns några få fall där Let’s Encrypt inte är rätt:

  • Om du behöver EV‑certifikat (t.ex. banker)
  • Om du behöver certifikat som gäller längre än 90 dagar
  • Om du inte kan automatisera verifieringen
  • Om du behöver specialfunktioner som vissa kommersiella CA:er erbjuder

Men för majoriteten av användare är Let’s Encrypt mer än tillräckligt.

Let’s Encrypt och Certbot har förändrat hur vi arbetar med säkerhet på webben. De har gjort det möjligt för alla – oavsett budget eller teknisk nivå – att använda HTTPS.

Let’s Encrypt står för certifikaten.

Certbot sköter installation och automatisering.

Vill du bygga en modern webbplats är de två av de bästa verktygen du kan använda.

Senaste …

Sök

Kategorier

Nordh Tech
Powered by  GDPR Cookie Compliance
Privacy Overview

GDPR och kakor (cookies)

Den 25 maj 2018 började dataskyddsförordningen (GDPR) att gälla i Sverige och övriga EU.

Det innebär bland annat att inget företag eller organisation får spara personuppgifter som inte behövs för att leverera det du bett om och att du har rätt att ”bli glömd” så snart du ber om det.

För din kontakt med Nordh.Tech innebär det inte så mycket.

Vi sparar en kaka (cookie) vilket innebär en liten textfil med information om vad du gjort när du surfar hos oss, vi gör det för att kunna få statistik rörande vad du gjort när du besöker oss och för att vi skall kunna ge dig nytt innehåll och inte till exempel behöva fråga dig var gång du besöker oss om du godkänner våra GDPR-villkor eller att det sparas en ”kaka” på din dator.

Vi sparar också din epostadress för att kunna skicka dig vårt nyhetsbrev eller hantera din inloggning i vårt forum, om du bett om det vill säga. Då du prenumererar på nyhetsbrevet eller begär inloggning till vårt forum anger du också ditt förnamn eller inloggningsnamn men här kan du ange vilket namn som helst. Vissa anger även efternamn men dessa raderas så att endast förnamnet kommer att användas i hälsningsfrasen i varje nyhetsbrev.

Hoppas detta gör att du kan känna dig trygg med ditt besök hos mig här på Internet.