Let's Encrypt e-mailt gebruikers vanaf juni niet meer over verlopen certificaten

Let's Encrypt gaat gebruikers vanaf 4 juni niet meer e-mailen als certificaten bijna verlopen. De dienst noemt daarvoor meerdere redenen. Zo maken steeds meer mensen gebruik van automatische vernieuwing van certificaten.

Abonnees die hun e-mailadres invullen bij Let's Encrypt krijgen tot nu toe automatisch een e-mail als een certificaat bijna verloopt. Om dat mogelijk te maken, moeten miljoenen e-mailadressen gekoppeld worden aan de uitgiftegegevens van een certificaat. "Als organisatie die waarde hecht aan privacy, is het verwijderen van deze vereiste belangrijk voor ons", zegt Let's Encrypt nu.

De dienst kost Let's Encrypt bovendien duizenden dollars per jaar. "Geld waarvan wij denken dat we het beter kunnen uitgeven aan andere delen van onze infrastructuur." Tot slot voegt de e-maildienst extra complexiteit toe aan de infrastructuur, waardoor er meer tijd en aandacht naar het beheer daarvan moet en de kans groter wordt dat er fouten worden gemaakt, zegt Let's Encrypt. "Op de lange termijn, vooral als we ondersteuning voor nieuwe servicecomponenten toevoegen, moeten we de algehele complexiteit beheersen door systeemcomponenten die niet langer gerechtvaardigd zijn, geleidelijk af te schaffen."

Wie nog wel automatisch e-mails wil ontvangen als een certificaat bijna verloopt, kan gebruikmaken van diensten van derde partijen. Let's Encrypt noemt bijvoorbeeld die van Red Sift Certificates Lite. Let's Encrypt blijft wel e-mails naar geïnteresseerden versturen over technische updates en ander nieuws over de organisatie en moederbedrijf ISRG.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 23-01-2025 08:53
77 • submitter: Fox

23-01-2025 • 08:53

77

Submitter: Fox

Lees meer

Let's Encrypt is gestopt met aanbieden van OCSP in certificaten
Let's Encrypt is gestopt met aanbieden van OCSP in certificaten Nieuws van 8 augustus 2025
Let's Encrypt heeft voor het eerst TLS-certificaat van zes dagen uitgegeven
Let's Encrypt heeft voor het eerst TLS-certificaat van zes dagen uitgegeven Nieuws van 21 februari 2025
Nederlandse overheid peilt meningen over verplicht gebruik ACME-standaard
Nederlandse overheid peilt meningen over verplicht gebruik ACME-standaard Nieuws van 21 februari 2025
Kortdurende Let's Encrypt-certificaten komen dit jaar, met IP-ondersteuning
Kortdurende Let's Encrypt-certificaten komen dit jaar, met IP-ondersteuning Nieuws van 17 januari 2025
Hackers lekken configuraties en vpn-inloggegevens van 15.000 FortiGate-apparaten
Hackers lekken configuraties en vpn-inloggegevens van 15.000 FortiGate-apparaten Nieuws van 16 januari 2025
Let's Encrypt biedt vanaf volgend jaar kortdurende certificaten aan
Let's Encrypt biedt vanaf volgend jaar kortdurende certificaten aan Nieuws van 12 december 2024
Microsoft waarschuwt voor spearphishingcampagne via rdp-bestand
Microsoft waarschuwt voor spearphishingcampagne via rdp-bestand Nieuws van 31 oktober 2024
Let's Encrypt-medeoprichter Peter Eckersley overleden op 43-jarige leeftijd
Let's Encrypt-medeoprichter Peter Eckersley overleden op 43-jarige leeftijd Nieuws van 5 september 2022
Meer producten en artikelen
Bedrijfsnieuws Let's Encrypt Ssl certificaat

Reacties (77)

-Moderatie-faq
77
77
38
0
0
32
Wijzig sortering
bluecupra 23 januari 2025 09:32
Heb op mijn (Synology) NAS ook een Cert van LE, echter voor vernieuwen moet poort 80 en 443 openstaan naar de NAS. Vernieuwen is anders niet mogelijk. Iemand hier een oplossing voor?
Centauriprime @bluecupra23 januari 2025 09:45
Een tunnel via cloudflare.

https://developers.cloudf...ections/connect-networks/
ymoona @Centauriprime23 januari 2025 10:59
Slecht antwoord. Beter is om zoals ook hier onder staat een DNS challenge te doen. Zoals beschreven hier: https://letsencrypt.org/d...e-types/#dns-01-challenge

Dan hoef je voor je certificaten helemaal geen poorten meer open te zetten, en kan je zelfs certificaten aanmaken voor lokale adressen.
BliXem @ymoona23 januari 2025 11:09
Of nog makkelijker: https://github.com/JessTh...ncrypt?tab=readme-ov-file.
Muna34 @Centauriprime23 januari 2025 11:23
Dit is eigenlijk een best goed antwoord. N.l. SSL hoeft niet perse op het eindpunt resolved te worden. Je kan ook een Nginx ergens hebben draaien met een Certbot die op een ander punt in je chain de SSL terminate zoals een Cloudflare dat zou doen.

Persoonlijk koppel ik dat altijd los omdat het makkelijker is om op een centrale proxy SSL te regelen dan alle individuele apparaten.

Even los van welke challenge methode je gebruikt uiteraard. Ik zou inderdaad ook gewoon lekker de DNS challenge gebruiken. Vele male makkelijker.

[Reactie gewijzigd door Muna34 op 23 januari 2025 11:25]

Room42 @bluecupra23 januari 2025 10:10
Zoals anderen al melden; Gebruik een DNS challenge. Je moet dan wel een DNS-provider hebben die een API ondersteunt. De meeste grote doen dat wel. Anders zou je de nameservers van, bijvoorbeeld, Cloudflare kunnen gebruiken. En voor de duidelijkheid; je hoeft dus niet je domein te verhuizen hiervoor. Je moet de "NS"-records aan kunnen passen naar die van Cloudflare.
pennywiser @Room4223 januari 2025 11:04
Idd zonefile naar Cloudflare zetten.
Calypso @Room4223 januari 2025 11:10
Tip: ook dat kan nog zonder API bij je eigen DNS provider kwam ik achter.

Ik heb het gedaan via https://github.com/joohoi/acme-dns-certbot-joohoi - wat je daarmee doet is een statische DNS CNAME entry maken naar een extra DNS provider (in dit geval acme-dns.io, maar de broncode hiervoor is ook beschikbaar) waarop je met credentials op die API de challenge kunt regelen.

Is een workaround voor als je DNS provider geen (ondersteunde) API heeft.
AddictIT @Calypso24 januari 2025 10:46
Dit !!

Gewoon een delegation inrichten, bv subdomein acme.jouwdomein.nl en die elders hosten (zoals CloudFlare). ACME ondersteunt prima challenges via een CNAME.
wica @bluecupra23 januari 2025 11:54
Als je DNS provider het ondersteund, kan je de DNS-01 challenge gebruiken. Dan zet certbot een key in je DNS als verificatie.
Je kan met certbot -pre-hook and --post-hook gebruiken. Waarmee je via een script de poorten tijdelijk openzet of vrij maakt door de dienst die er op draait te stoppen. certbot zijn ding te laten doen en dan of de poorten weer dicht te zetten of je dienst weer op te starten. Het vernieuwen duurt minder dan 5min.
RobVI @bluecupra23 januari 2025 15:59
https://desec.io/ gebruiken, Nginx Proxy Manager (NPM) biedt er ondersteuning voor, geen idee of Synology DeSEC ondersteunt.
Synology heeft toch ook een eigen hack om een LE SSL certificaat te krijgen zonder poorten open te hoeven zetten?
Misschien heeft mariushosting een passend artikel voor jouw probleem.
pennywiser @bluecupra23 januari 2025 09:54
DNS challenge?
Teun! @bluecupra23 januari 2025 09:57
of via DNS.
Onoffon 23 januari 2025 09:01
Ik vind het een goed besluit. Mensen worden hiervoor meer gedwongen om goed te kijken naar het renewal mechanisme, wat 1 van de USP's is van Let's Encrypt.
RobertMe @Onoffon23 januari 2025 09:12
Ik vind het een slecht besluit. Heb gewoon automatische renewal. Maar in de afgelopen 5 jaar of zo toch wel incidenteel (1 of 2 keer) een mail gehad v.w.b. het bijna verlopen van een certificaat. Wat mij dan toch triggert om de boel na te lopen en te fixen (kan uiteraard bv een verlopen API token zijn voor DNS met een DNS challenge of wat dan ook).

Sure, daarvoor kun je zelf monitoring op zetten of een oplossing van een derde partij gebruiken. Maar die derde partij wil dan natuurlijk ook een mailadres hebben om een notificatie te sturen. En zelf opzetten kost ook tijd, vereist onderhoud, ... en zal dus vaker niet dan wel worden gedaan.
Oon @RobertMe23 januari 2025 09:29
Ik vraag me dan ook af of LE (of certbot) in dat geval netjes de juiste exit code hanteert, want daar zou je wel iets mee kunnen..
De cron die draait kun je een script tussen zetten dat jou een mailtje stuurt als er iets is misgegaan.
mcDavid @Oon23 januari 2025 09:35
Dat doet die ja. Maar alleen als je certbot ook daadwerkelijk draait natuurlijk, wat best eens niet het geval zou kunnen zijn als er iets mis gaat met het renewen.

Beter is waarschijnlijk gewoon periodiek het betreffende domein te querien en de geldigheid van het certificaat te bekijken.
laurxp @mcDavid23 januari 2025 10:22
Hetzelfde probleem heb je met backups, en automatische software-updates. Eigenlijk wil je een soort "dead man's switch" die aan het einde van de taak een trap krijgt. Twee dagen lang geen meldpoging? Dan gaat er een mailtje / sms / pushnotificatie naar de beheerder.
ThinkCreative @laurxp23 januari 2025 10:56
Maar wie monitort dan dat de dead man's switch werkt? :D
jeroen79 @ThinkCreative23 januari 2025 11:14
Nog een dead man's switch natuurlijk.
FrankHe @jeroen7923 januari 2025 15:42
Of we installeren een watchdog.
Speleding @mcDavid23 januari 2025 15:37
Wat mij overkwam: het certificaat was correct vernieuwd, maar de oude was nog gecached door apache en die had nog even een graceful reload nodig die niet was uitgevoerd. Dan is een periodieke query toch beter dan een mailtje.
RobertMe @Oon23 januari 2025 09:39
Dat kan werken bij een losse tool. Maar er zijn natuurlijk ook voldoende systemen waar LE / ACME in geïntegreerd zit. Zelf gebruik ik "alleen" Traefik, een HTTP reverse proxy, die ook LE / ACME support heeft ingebouwd. Die houdt dus zelf bij wanneer een certificaat dreigt te verlopen en doet dan vernieuwen. Als dat vernieuwen mislukt heb je natuurlijk niks met een exit code. Dat is puur een regeltje in de log. Als die al logt, want een failure kan natuurlijk ook tijdelijk zijn en niet belangrijk om meteen te loggen. Als die met 30 dagen resterend gaat verniewen is het pas interessant om te weten dat die mislukt met 20 of 25 dagen resterend, dan is er blijkbaar echt iets aan de hand en mislukt het vernieuwen veelvuldig.
FrankHe @RobertMe23 januari 2025 16:28
Ze gaan nu ook zesdagen certificaten aanbieden. Het is aannemelijk dat dit binnen enkele jaren de standaard gaat worden en de 90-dagen certificaten op een gegeven moment worden uitgefaseerd. Zover is het nog lang niet maar het werpt wel de vraag op hoe je de certificaten gaat monitoren en hoe je de monitoring gaat monitoren. Je wilt immers niet dat na een lang weekend op maandagochtend al je sites onbereikbaar zijn omdat er een technische fout is opgetreden tijden de automatische vernieuwing.
mcDavid @RobertMe23 januari 2025 09:30
Dat is idd hoe je zou willen dat het werkt, maar ik denk niet dat je ze de kost zou willen geven die helemaal geen certbot draaien en iedere 3 maanden wachten tot de laatste mail voordat ze handmatig hun certificaat vernieuwen. Sterker nog wij hebben zakelijke api-koppelingen waarbij we gewoon zien dat dat gebeurt.

Dan krijg je al gauw te maken met mail stromen die niet echt leuk meer zijn om te managen. En met de aanstaande introductie van kortdurende certificaten, verbaast het me niets dat let's encrypt er nu een beetje klaar mee is.
Onoffon @RobertMe23 januari 2025 09:36
Eens, maar dan zouden ze het mechanisme moeten aanpassen dat er alleen een e-mail wordt verstuurd bij het mislukken van het vernieuwen. Maar ja, dan hebben ze alsnog je e-mail adres nodig.
wica @RobertMe23 januari 2025 10:35
Als je dienst belangrijk genoeg is, zet je monitoring op. En als het niet belangrijk genoeg is. Dan gebruik je, je gebruikers als monitoring.

Je leverancier, die je een gratis product geeft. Is niet verplicht je te informeren dat iets verloopt. Het was aardig van ze dat ze dit deden.
Kriske11 @RobertMe23 januari 2025 09:49
Dit ja, toevallig vorige week gehad, maar ik bedenk me net dat Uptime Kuma de functie heeft om de certif geldigheid in de gaten te houden
DataGhost @RobertMe23 januari 2025 09:55
Daar heb je dus gewoon monitoring voor lijkt me? Het certificaat is slechts een klein deel in het geheel van zaken wat kaduuk kan zijn waardoor je website niet bereikbaar is. Lijkt me dat je daar ook monitoring op hebt. Dan is het controleren van de verloopdatum van het gepresenteerde certificaat niet zo'n issue. Ik zeg trouwens het gepresenteerde certificaat, ik heb ook wel eens gezien dat het certificaat prima vernieuwd werd, maar vervolgens een configuratiefout voorkwam dat de webserver herladen (niet herstart) werd, waardoor deze dus bleef draaien met het oude certificaat. In dat geval zal je sowieso geen mail gehad hebben van LE.
aadje93 @RobertMe23 januari 2025 12:06
tjsa, als je dan dus blijkbaar op een gratis service leunt om TLS certificaten te regelen die mission critical zijn moet je misschien overwegen niet van lets encrypt gebruik te maken maar gewoon een provider die deze service wel levert voor je ;)
Keypunchie @RobertMe23 januari 2025 12:06
Zelf monitoring lijkt me voor bijna elke serieuze toepassing een must. Wat als je vernieuwing niet meer goed werkt om wat voor reden dan ook?
GertMenkel @Onoffon23 januari 2025 09:36
Ik heb een of twee keer zo'n mail gehad nadat certbot kapot ging op mijn persoonlijke server. Op zich wel handig.

Het lijkt me sterk dat bij belangrijke servers mensen pas actie ondernemen na zo'n email. Misschien eenmalig, maar zoiets maak je niet procedure, dan is een herhaalde Outlook-afspraak toch een stuk praktischer.
pennywiser @GertMenkel23 januari 2025 11:06
Daar hebben we toch monitoring en alerting voor.
GertMenkel @pennywiser23 januari 2025 11:41
Ik heb geen zin om een hele monitoringinfrastructuur op te zetten voor een VPS van vijf euro in de maand die een klein webservertje draait, maar mooi meegenomen als het blijft draaien :)

Ik ga het niet per se missen en iedereen die van deze mails afhankelijk is doet certificaten gewoon verkeerd, maar ik vond het wel een handige service. Aan de andere kant is het natuurlijk onzin om hier duizenden dollars aan nonprofit-geld in te stouwen, dus ik snap wel waarom ze het niet willen aanbieden.
- peter - 23 januari 2025 08:59
Deels jammer, maar recent certificaten nu aan t monitoren met Telegraf en Grafana. Zullen vast heel veel opties voor monitoring zijn. Maar goed, moet je dat wel instellen weer.
leonmast @- peter -23 januari 2025 09:08
Mee eens, was wel handig voor privé domeinen, al gaat het automatisch renewen 99% goed. Wij bewaken zakelijk de certificaten mbv zabbix (alarming naar een mattermost kanaal), dat werkt ook prima.
Strebor @leonmast23 januari 2025 09:14
Voor bewaking van certificaten van onze domeinen gebruiken we eigen scripts die dagelijks een rapport uitbrengen.

Maar voor onze algemene server en netwerk monitoring gebruiken we Zabbix. Dat rapporteert nog steeds via e-mail naar een alarm e-mail adres. Is alarmering naar een Mattermost kanaal (relatief) eenvoudig in te stellen en is het betrouwbaar?
leonmast @Strebor23 januari 2025 09:42
alarmering naar mattermost werkt feilloos en is makkelijk instelbaar. Zabbix heeft daar standaard templates voor, ook voor certificaat bewaking, dus ik zou het niet met scripts doen eigenlijk De certificaat meldingen zijn voor ons geen high prio, die gaan naar een minor alert mattermost kanaal, die buiten kantoor tijden gemute staat. High prio alerts gaan ook nog eens naar SMS (pagerduty).
Mike2k @leonmast23 januari 2025 11:29
Zeker met de Zabbix agent2 zit de web certificate check er standaard in inderdaad. Als je naar Media Types in zabbix gaat zie je daar een hoop scripts waaronder mattermost. Kan je gewoon enablen, paar variabelen invullen en het werkt. 15 minuten max?
webhalla @- peter -23 januari 2025 12:55
Heeft mss ook wel te maken dat ze de geldigheidsduur van de certificaten willen verkorten naar 6 dagen.https://www.security.nl/p...die+zes+dagen+geldig+zijn
tweakkjoost 23 januari 2025 09:39
Ik vind het belachelijk, een e-mail reminder is gewoon 'basic-stuff' voor een dienst als deze..jammer
SPee @tweakkjoost23 januari 2025 10:05
Je kan het ook zien als een 'premium' dienst.
Je levert het certificaten dienst gratis. Waarom dan niet een handigheidje betaald maken?
johnny2000 @tweakkjoost23 januari 2025 09:46
Gast het is een gratis dienst. Ga dan naar een commerciële CA als je notificaties wilt.
Zer0 @johnny200023 januari 2025 09:54
Het zou wellicht een verdienmodel voor LE kunnen zijn, abbonement voor dit soort notificaties :)
tweakkjoost @johnny200023 januari 2025 10:05
Die zijn veel te duur voor 99% van wordpress websites..het redsift alternatief ligt al plat :)
renecl 23 januari 2025 09:00
Wierd, was voor mij altijd een trigger om nog even dubbel te checken ;-)
Jerie @renecl23 januari 2025 09:12
Als je op tijd renewed (en dat hoor je automatisch te doen vanuit client kant) dan kreeg je deze emails nooit. Behalve als dat fout ging.
markg85 @Jerie23 januari 2025 17:33
Dat "automatische" argument werkt alleen als je ook daadwerkelijk de optie heb voor automatisch. Niet elke host provider heeft hier een optie voor. In dat geval is die mail toch verrekte handig!
Jerie @markg8523 januari 2025 18:04
Nou, dan vind ik dat niet bijster goede hosting providers. Je moet af en toe cron jobs af kunnen vuren. Al is het maar voor backups, darabase cleanup, enz.

Je kunt ook na refresh de datum in je agenda zetten. Er zijn ook tooltjes die je op allerlei manieren notificatie geven.
markg85 @Jerie23 januari 2025 18:11
Dat is niet het probleem. Sorry voor mijn beknopte antwoord, ik snap dat je daardoor het verkeerde denkt :)

Waar het staat (de server/data, etc..) is volledig aan mij. Cronjobs, geen probleem.
Het probleem is een wildcard certificaat (vereist DNS ACMA via een txt record) en Argeweb die geen API toegang bied tot hun DNS. Dan zit je dus - voor zover ik weet - redelijk vast aan handmatig.
Jerie @markg8523 januari 2025 18:41
Dat is behoorlijk balen, mogen ze wel oplossen. Dan zou ik een CNAME maken naar een DNS hostname die dat wel kan.
sus 23 januari 2025 09:10
Hmm, ik heb de mail juist graag als extra trigger, zodat ik door 2 systemen geholpen wordt om te zorgen dat de - inderdaad, automatische - verlenging ook daadwerkelijk gedaan wordt.
Scriptkid @sus23 januari 2025 09:15
Dst word dus een automation scriptje.

Tip txt record aan maken met verloop data en dan script dat op laten halen voor al je domains en mailen als datum x-7.

Zo doen wij het voor honderden dkim certs.
ds1786 @sus23 januari 2025 10:57
Maak je lekker zelf een script die dit voor je checkt. Zal wel 5-10 regels python code zijn. Met ntfy kan je dan jezelf notifyen bijv via e-mail of whatever webhook
Martinspire @ds178624 januari 2025 08:11
Of het veel code is, is irrelevant. Je moet weer extra werk verschaffen voor iets wat al automatisch ging.
ds1786 @Martinspire30 januari 2025 15:15
Het kost hun geld, dat begrijp je wel toch?
The Zep Man
23 januari 2025 08:59
Certbot noemt:
Email address for important account notifications
Betreffen die important account notifications enkel het verlopen van certificaten die niet verlengd zijn, of gaat het ook om andere soorten berichten?
Martinspire @The Zep Man24 januari 2025 08:09
Gezien het artikel vermeld dat certificaten ook automatisch verlengd kunnen worden, ga ik er vanuit dat het naar iedereen gestuurd wordt, ongeacht automatisch verlengen. Wellicht als instructie om te kijken of je nieuwe certificaat wel werkt.
3raser 23 januari 2025 09:20
Ik vind die e-mails juist erg vervelend. Voor een hostingprovider die nog wel eens wat domeinen verhuist loop ik regelmatig tegen mails aan die helemaal niet kloppen. Dit zou te maken hebben met Let's Encrypt die niet weet welke certificaten er nog in gebruik zijn terwijl er op de nieuwe server al nieuwe certificaten zijn aangevraagd.
bigtree 23 januari 2025 09:24
Voor mij geen probleem als ze die mails afschaffen. Ik heb het al een paar keer meegemaakt dat een certificaat vanuit het oogpunt van LE niet werd verlengd maar in praktijk was het vervangen door een ander certificaat (bijvoorbeeld met een extra domein). Dan schrik je toch wanneer je zo'n mail krijgt terwijl je gewoon een actueel certificaat hebt. Monitoring van certificaten doen we sowieso zelf al. Eén keer per week per mail een overzicht van alle domeinen en de datum waarop het certificaat verloopt. Met speciale melding als het binnen 30 dagen is.
kodak
23 januari 2025 10:27
De verklaring gaat eigenlijk alleen in op een duidelijke grens aan kosten. Maar op alle andere punten is hun grens zo vaag dat onduidelijk is waarom ze de grenzen verleggen redelijker vinden dan de nadelen die gebruikers gaan ondervinden.

Dat steeds meer certificaten automatisch vernieuwd worden geeft niet aan dat er genoeg certificaathouders zijn die zonder de waarschuwingen kunnen. Meer automatiseren is niet zomaar een vervanging voor informeren.

Ze verwerken al jaren email adressen voor een legitiem doel. Waarom ze privacy nu plotseling belangrijker vinden om geen emailadressen voor informeren te willen verwerken is onduidelijk. Het is ook krom, aangezien het informeren jusit ook bedoeld is om privacy te waarborgen.

Informeren heeft altijd al moeite gekost met kans op fouten. Ze leggen niet uit of er werkelijk meer complexiteit of kans op fouten is dan voorheen. Dat men het in de toekomst mogelijk complexer maakt lijkt me ook geen doel op zich. Dus dat is ook niet zomaar een verantwoord argument, laat staan belangrijker dan de andere vage argukenten en onduidelijke afwegingen.

Zoala ik het lees is men bij letsencrypt eigenlijk geen duidelijk rekening aan het houden met waarom certificaathouders gebruik maken van het informeren via mail. Het gaat er zelfs niet op in wat de behoeftes van miljoenen certificaathouders zijn. Terwijl die zeer belangrijk zijn om het gebruik van certificaten veilig te houden. Een veilig systeem kan zelfs niet zonder daar duidelijk rekening mee te willen houden. Het is namelijk een samenwerking. Geen dictatuur waarbij een van de partijen wel even beter weet wat anderen nog nodig hebben en moeten accepteren om het veilig te houden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq