Let’s Encrypt deelt gratis certificaten uit aan de bezitters van een domein. Wie al eens met certificaten heeft gewerkt weet hoe lastig het de aanvraag, installatie en configuratie kan zijn. Let’s Encrypt neemt die klus vrijwel volledig uit handen. Zo installeer je het op je server.

Lees ook:Je website beveiligen met https - Hoe en waarom

Een geautomatiseerd proces kan het aanmaken van de certificaten en zelfs de configuratie daarvan in Apache voor je uit handen nemen. Maar waarom kiezen voor Let's Encrypt? Er zijn meer partijen die gratis certificaten verstrekken, zoals StartSSL van het Israëlische StartCom alsmede het Chinese WoSign, maar die worden door enkele misstanden minder vertrouwd. Bovendien wordt commercieel gebruik bij StartSSL uitgesloten. Het aanvraagproces is ook gecompliceerder.

Let’s Encrypt lijkt zijn zaken beter voor elkaar te hebben. Het proces van aanvragen is eenvoudig en laat geen ruimte voor geknoei. Als er al bugs zijn worden ze dankzij de transparante bedrijfscultuur openlijk gecommuniceerd.

Let's Encrypt-client

Bij Let’s Encrypt installeer je een client op de server die werkt volgens het open-source acme-protocol (Automated Certificate Management Environment). Wij gebruiken de officiële client Certbot, maar op deze pagina vind je ook veel alternatieven. De client vraagt een certificaat aan bij de servers van Let’s Encrypt. De server stuurt daarna een opdracht door om te bewijzen dat je de eigenaar van het bewuste domein bent. Dat kan een dns-record zijn of een bestand dat via een url op je server beschikbaar moet worden gemaakt.

Na verificatie wordt het certificaat opgehaald, geïnstalleerd en wordt Apache geconfigureerd. Ook het vernieuwen kun je gemakkelijk automatiseren zoals we in de vierde workshop laten zien. Dat is belangrijk omdat de certificaten van Let’s Encrypt maar drie maanden geldig zijn. In de praktijk biedt het vooral voordelen, ook wat veiligheid betreft. Je kunt het zien als een wachtwoord dat je regelmatig moet veranderen.

Subdomeinen

Let’s Encrypt verstrekt alleen Domain Validated (dv) certificaten. Heel praktisch is dat één certificaat voor meerdere domeinnamen kan worden gebruikt. Dit heet ook wel Subject Alternative Name (san). In de workshop profiteren we hiervan door zowel mijndomein.nl als www.mijndomein.nl in het certificaat op te nemen. Een wildcard (*.mijndomein) waarmee je direct alle subdomeinen afvangt is helaas niet mogelijk. Wel is de limiet erg ruim: een certificaat kan tot 100 domeinen bevatten. Er zijn wel enkele limieten, die je op deze pagina kunt nalezen, maar die zijn over het algemeen dusdanig ruim dat je je hier geen zorgen over hoeft te maken.

Wat heb je nodig?

De belangrijkste vereiste om Let’s Encrypt te installeren op je server is dat je als root kunt inloggen en het Python-programma kunt uitvoeren. Prettig om te weten is dat je voor het domein dat je achter https gaat zetten geen uniek ip-adres nodig hebt. Bij andere certificaten is dat soms wel een vereiste. Voor de autorisatie heeft Let’s Encrypt wel van buitenaf toegang tot de server nodig. De poorten 80 (http) en 443 (https) moeten openstaan, maar die heb je sowieso nodig voor het onbeveiligde en beveiligde webserververkeer.

Je kunt de installatie ook op een server in je eigen netwerk testen, maar dan moet je wel die twee poorten doorsturen van buitenaf via je router, met port forwarding. Verder is het bij de configuratie handig als je wat ervaring met Apache hebt. In deze workshop geven we ook veel tips voor deze populaire webserver. We nemen ook meteen de configuratie van http/2 mee, een belangrijke technologie om websites te versnellen. Daarmee hoeft de overgang naar https geen tragere performance te geven.

Heb je geen eigen server? Steeds meer webhostingpartijen bieden ssl voor weinig of niets als extraatje. Zo is ssl op basis van Let’s Encrypt sinds april dit jaar gratis actief voor alle accounts bij hostingprovider Antagonist dat ook meteen overstapte naar http/2.

HTTP/2

Het versleutelen van een website kan vertraging geven, maar dat hoeft niet. Google ontwikkelde als onderzoeksproject het verbeterde internetprotocol SPDY dat inmiddels de basis vormt voor versie 2 van http, bekend als http/2. Ongeveer 80 procent van de browsers ondersteunt de nieuwe standaard reeds. Het grootste voordeel is multiplexing. De bestanden die nodig zijn voor een webpagina, zoals afbeeldingen, css en javascript, kunnen via een veel kleiner aantal verzoeken opgehaald worden. Dat dit heel veel snelheidswinst kan geven zie je als je achtereenvolgens httpvshttps.com en httpvshttps.com bezoekt.

Dat is wel een extreem voorbeeld, maar de praktijk laat ook zien dat er veel winst mee valt te behalen. Hoewel het protocol ook voor gewoon http-verkeer geschikt is, blijkt dat in de praktijk geen optie: hedendaagse browsers accepteren alleen https-verkeer via het protocol.

©PXimport

Dns-instellingen

Nog een vereiste voor de validatie is dat de dns-instellingen voor je website correct zijn, maar dat verschilt niet van een gewone situatie. Het betekent concreet dat voor alle domeinen die je in het certificaat wilt opnemen het A-record naar het ipv4-adres van de server verwijst. Heb je ipv6 geconfigureerd op je server met een verwijzend AAAA-record, zorg dan dat dit correct is. Bij de validatie geeft Let’s Encrypt vaak de voorkeur aan ipv6 als het beschikbaar is. Je kunt testen of de server bereikbaar is met bijvoorbeeld

Of vervang de 4 voor een 6 bij ipv6. Een alternatief is een website als ip6.nl. Het is ook een goede controle als je Let’s Encrypt op een server in je eigen netwerk wilt testen. Hoewel we het in deze workshop buiten beschouwing laten, kun je bij Let’s Encrypt ook gebruikmaken van dns-validatie.

Hierbij kun je door het toevoegen van een txt-record aan de dns-instellingen bewijzen dat je de eigenaar van dat domein bent. Dat klinkt eenvoudig als je vertrouwd bent met dns, maar er zitten wel wat haken en ogen aan. Je zult nog altijd het aanvraagproces via je server moeten doen. Dat is met de dns-validatie gecompliceerder. En als je naast je hoofddomein ook extra domeinen aan een certificaat wilt toevoegen moet je voor die extra domeinen ook een txt-record aanmaken, om te bewijzen dat je ook daar de eigenaar van bent.

Wil jij een slimme woning waarin alles gewoon werkt? Met de komst van Matter behoort de wirwar aan verschillende apps en protocollen definitief tot het verleden. Deze universele standaard zorgt ervoor dat al je apparaten naadloos met elkaar communiceren. We leggen uit hoe deze techniek jouw slimme huis naar een hoger niveau tilt zonder ingewikkelde installaties.

Je herkent het vast: je koopt een slimme lamp die vervolgens niet samenwerkt met je favoriete app. De nieuwe smarthome-standaard genaamd Matter maakt daar voorgoed een eind aan. In dit artikel leggen we uit wat deze techniek precies inhoudt en waarom het de manier waarop je jouw huis automatiseert fundamenteel verandert. Het draait namelijk allemaal om eenvoud en universele samenwerking tussen apparaten.

Universele taal voor al je apparaten

Matter is in de basis een communicatieprotocol dat ervoor zorgt dat apparaten van verschillende fabrikanten dezelfde taal spreken. Voorheen zat je vaak vast aan een specifiek ecosysteem zoals Apple HomeKit, Google Home of Amazon Alexa. Met de komst van Matter maakt het merk van de hardware niet langer uit voor de app die je gebruikt om alles te bedienen. Het is een softwarematige laag die boven op je bestaande wifi-netwerk of het nieuwe Thread-netwerk draait om verbindingen betrouwbaar en snel te maken. Hierdoor hoef je bij de aanschaf van een nieuwe sensor of schakelaar alleen nog maar te letten op het kenmerkende logo.

©Matter

Waarom Matter, eh, matters...

De grootste winst voor jou als gebruiker zit 'm in de eenvoud van het installatieproces en de betrouwbaarheid van het systeem. Elk product dat over de officiële ondersteuning beschikt, kun je simpelweg scannen met een QR-code, waarna het direct wordt toegevoegd aan je netwerk. Omdat grote techreuzen de handen ineen hebben geslagen, hoef je niet meer bang te zijn dat een nieuwe aankoop onbruikbaar blijkt in je huidige setup. Bovendien werkt Matter lokaal in plaats van via de cloud. Dat heeft als grote voordeel dat je privacy beter gewaarborgd is en dat je lampen ook gewoon aangaan als je internetverbinding er onverhoopt een keer uitligt.

De rol van Thread en lokale snelheid

Hoewel Matter de taal is die gesproken wordt, hebben de apparaten ook een manier nodig om die signalen fysiek te versturen. Veel moderne apparatuur maakt hiervoor gebruik van Thread, een energiezuinig protocol dat een zogenaamd mesh-netwerk vormt. Hierdoor versterken apparaten elkaar en wordt het bereik in je hele woning vergroot zonder dat je extra steunpunten hoeft te plaatsen. De combinatie van deze technieken zorgt voor een razendsnelle reactietijd. Je merkt dit direct in de praktijk omdat de vertraging tussen het indrukken van een knop in je app en de daadwerkelijke actie van het apparaat vrijwel nihil is.

©ER | ID.nl

En de toekomst...?

Hoewel de techniek nog volop in ontwikkeling is, breidt de ondersteuning zich razendsnel uit naar nieuwe productgroepen zoals robotstofzuigers, slimme sloten en zelfs huishoudelijke apparaten. Fabrikanten brengen regelmatig software-updates uit voor oudere apparatuur om deze alsnog compatibel te maken met de nieuwe standaard. Dat zorgt voor een duurzamere benadering van elektronica, omdat je niet direct al je hardware hoeft te vervangen om te profiteren van de nieuwste mogelijkheden. Het bouwen van een slim huis wordt hiermee eindelijk een overzichtelijke ervaring waarbij de techniek volledig in dienst staat van jouw gemak.

Alles wat je op Facebook doet, wordt automatisch op de achtergrond opgeslagen. Iedere video die je bekijkt en iedere reactie die je achterlaat, belandt achter de schermen in een archief. Voel je je daar niet prettig bij? Geen paniek: je kunt die geschiedenis bekijken en zelf wissen.

Activiteitenlogboek

Om je Facebook-geschiedenis te wissen, open je de app in een internetbrowser en klik je rechtsboven op je profielfoto. Kies Instellingen en privacy in het keuzemenu en open vervolgens Instellingen. Scrol in de linkerkolom tot het onderdeel Je activiteit en toestemmingen en dubbelklik op Activiteitenlogboek.

Aan de rechterkant zie je een overzicht van je volledige geschiedenis: livevideo's, bekeken video's, zoekopdrachten, reacties, groepsberichten, opmerkingen, verhalen, pagina-likes, vrienden, inlogsessies en relaties. Al deze informatie vind je netjes in deze rubrieken terug. Blader door het logboek en verwijder wat je liever kwijt dan rijk bent.

Item per item of meteen de volledige categorie verwijderen

Het is niet mogelijk om al die geschiedenis in één keer te elimineren. Dat staat Facebook niet toe. Je moet dus elke sectie doorlopen en zien wat tot nu toe is verzameld en wat je wilt verwijderen. Bijvoorbeeld, in de sectie Video's die je hebt bekeken, zie je de lijst van alle filmpjes die je hebt bekeken sinds je je account hebt aangemaakt. Je kunt dus een reis terug in de tijd maken door in deze sectie de knop Weergeven te gebruiken.

Wil je één bepaald item uit de geschiedenis verwijderen, dan klik je op de drie puntjes aan de rechterkant van dat item en kies je de opdracht Verwijderen. Als je de volledige kijkgeschiedenis wilt zappen, scrol je omhoog en selecteer je in dit voorbeeld de knop Kijkgeschiedenis van video wissen.

Zoekgeschiedenis

Je zoekgeschiedenis kun je ook via een andere route wissen: ga naar Instellingen / Accountcentrum / Je gegevens en toestemmingen / Zoekgeschiedenis. Klik op het pijltje rechts en vervolgens op de blauwe knop Alle zoekopdrachten wissen.

Wil je nog dieper gaan? Open opnieuw het Activiteitenlogboek en klik op Je Facebook-activiteit. Daar verschijnt weer een menu met reacties, berichten, groepen, pagina's, polls en meer. Doorloop elke categorie en verwijder alles wat je definitief kwijt wilt.