Let’s Encrypt

Let's Encrypt hat gerade sein einmillionstes Zertifikat ausgestellt. Ist erstaunlich einfach einzurichten, vor allem mit Apache auf Debian/Ubuntu:

$ git clone https://github.com/letsencrypt/letsencrypt
$ cd letsencrypt/
$ ./letsencrypt-auto --help
$ ./letsencrypt-auto --apache -d robsite.net

Dann Mailadresse eingeben, ToS zustimmen, HTTP/HTTPS oder HTTPS-only wählen, fertig.

Bildschirmfoto 2016-03-08 um 08. März | 17.38.06

Wenn HTTP komplett verboten ist und man noch irgendwo hardcodierte HTTP-Links drin hat, mault der Browser über unsichere Verbindungen. Also alle URLs wenn möglich zu https://bla... ändern und in Zukunft lieber gleich das flexiblere //bla... nehmen.

Das Zertifikat ist 90 Tage gültig, wobei Let's Encrypt in der Beta-Phase noch kein Auto-Renewal bietet. Stattdessen dann gelegentlich
./letsencrypt-auto certonly --apache --renew-by-default -d robsite.net -d zweitedomain.de
ausführen. Oder einfacher, do.co/le-renew per Cron laufen lassen:

$ sudo vim /usr/local/sbin/le-renew # Script reinkopieren, vorher lesen
$ sudo crontab -e
0 0 * * 1 /usr/local/sbin/le-renew robsite.net >> /var/log/le-renew.log

Prüft jeden Montag um 00:00, ob die Certs in den nächsten 30 Tagen ablaufen und erneuert sie dann.

Mit nginx auch nicht viel komplizierter.

discuss!