Let’s Encrypt kun je prima gebruiken om kosteloos certificaten voor websites aan te vragen. Het nadeel van een dergelijk certificaat is dat deze slechts 90 dagen geldig is. Je moet ze dus regelmatig vernieuwen. Een organisatie die veel Let’s Encrypt certificaten wilde gaan gebruiken voor interne websites nam contact met mij op met twee uidagingen.
Punt één: Dat Let’s Encrypt vereist dat een certificaat regelmatig vernieuwd wordt is een prima beveiliging, omdat tijdens het vernieuwen opnieuw wordt bekeken of de aanvrager van het certificaat ook de eigenaar van de website is. Maar als het je lukt de handmatige handeling voor het vernieuwen en het vernieuwen zelf te automatiseren, dan is daar een grote efficiencyslag te maken.
Punt twee: Doordat het interne websites betreft die bewust niet vanaf het internet te benaderen zijn, kan Let’s Encrypt de websites ook niet benaderen om de noodzakelijke controle uit te voeren.
De oplossing die ik maakte was even puzzelen, maar werkt uiteindelijk prima. De DNS voor de interne domeinnamen is wel via openbaar via het internet te benaderen. Dat kan geen kwaad. Punt twee kon daarom opgelost worden door de beveiligingscontrole via DNS uit te voeren. De partij waar de DNS is ondergebracht biedt middels een API de mogelijkheid om de DNS geautomatiseerd aan te passen.
Punt één loste ik op door een linux-script te schrijven dat automatisch iedere nacht controleert of certificaten tegen hun houdbaarheidsdatum aanlopen, en als dat zo is automatisch te laten vernieuwen.