Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties
Submitter: Rafe

Amazon Web Services heeft zijn Certificate Manager-dienst op AWS geÔntroduceerd. Tegelijkertijd heeft Microsoft in een update voor Windows Amazons root-certificaten als 'vertrouwd' aangemerkt. Daarmee is Amazon nu een vertrouwde certificaatautoriteit.

Amazon doet de mededeling op zijn eigen AWS-blog, waarop het ook uitlegt hoe een klant de nieuwe service kan gebruiken bij AWS-apps. Daarmee wordt het installeren van een ssl-certificaat op Amazons eigen platform een stuk eenvoudiger. Hoe Amazon zijn certificaten precies gaat promoten is nog niet duidelijk. Ook is nog niet bekend hoe actief het bedrijf de certificaten op de markt zal brengen.

Medio 2015 deed Amazon al een aanvraag bij Mozilla en het Android Open Source Project om certificaatautoriteit te worden. De certificaten van AWC Certificate Manager of ACM zijn geverifieerd door Amazons certificaatautoriteit en Amazon Trust Services. Ssl/tls-certificaten die via AWS Certificate Manager worden gebruikt, zijn gratis op Amazons Elastic Load Balancers en Amazon CloudFront.

Op dit moment is AWS Certificate Manager beschikbaar in het oosten van de Verenigde Staten, met nieuwe regio's in de planning. Geleidelijk zullen ook andere AWS-diensten gebruik kunnen maken van ACM en later ook andere domeinen. Wanneer dat precies mogelijk zal zijn en of er aan diensten buiten AWS extra kosten zijn verbonden, is niet bekend.

AWS certificate

Moderatie-faq Wijzig weergave

Reacties (59)

Waarom niet letsencrypt.org supporten en focussen op hun andere services ? Met gratis valt moeilijk te concurreren denk ik. Hoewel letsencrypt nu nog wat kinderziektes heeft zal het binnenkort gewoon deel uitmaken van iedere stack.
Amazon kan iets extra's bieden boven LetsEncrypt: integratie met AWS. Die integratie moet de klanten overtuigen om hier voor te betalen in plaats van gratis LetsEncrypt certificaten te gebruiken.
In principe zou Amazon zelfs LetsEncrypt als backend kunnen gebruiken.
Dat is maar 12 maanden, daarna niet meer.
Niet in de geval

Direct uit hun blogpost:
Even better, you can do all of this at no extra cost. SSL/TLS certificates provisioned through AWS Certificate Manager are free!
Wat hier vooral erg prettig aan is dat je niet meer elke x periode (12 maanden meestal) handmatig je certs hoeft te vernieuwen, dat doet de cert manager namelijk automatisch.

Daarnaast biedt dit de mogelijkheid om het aanvragen en koppelen van een cert aan een ELB zo volledig te automatiseren, waardoor je alles wat je uitrolt via AWS zonder uitzondering van een cert kunt voorzien.

[Reactie gewijzigd door aaahaaap op 23 januari 2016 09:40]

Niet hoeven vernieuwen lijkt prettig, maar is dat niet.
Vaak vernieuwen zorgt ervoor dat je certificaten veiliger zijn. Beetje zoals vaak wachtwoord vervangen.
In theorie leuk, maar als dat zo zou zijn zou het, om ongeveer even sterk te zijn, betekenen dat je iedere seconde je wachtwoord moet wijzigen: de zoekruimte voor wachtwoorden is een lachertje vergeleken met certificaten en die zijn meestal maar 1 tot 3 jaar geldig. Een ww een dag of 30 tot 60. Totaal scheef dus. Het vervangen na 1 tot 3 jaar van een certificaat is in het directe belang van de uitgevende partij omdat ze er geld voor krijgen.
De certs worden nog steeds vernieuwd, maar de cert manager doet dat volledig automatisch.

Heb t even verduidelijkt in m'n vorige reactie.
Gratis als in: bij een Mac krijg je geheel 'gratis' OSX cadeau?
... Ja? Het is gratis.
Waarmee hij bedoeld dat het dus in de prijs verwerkt zit...
Certificaten zijn gratis, maar alleen te gebruiken voor AWS. Kortom een super functie voor bestaande en potentiŽle nieuwe klanten. Zeker wildcard certificaten zijn erg duur, en ook die zijn gratis bij AWS :)
Wildcard cert kost geen drol. Tenminste, ik vind § 200,- voor een wildcard cert met een geldigheid van 3 jaar niet om over naar huis te schrijven.

[Reactie gewijzigd door RolfLobker op 22 januari 2016 22:21]

Voor een persoonlijke site is dat natuurlijk wel veel geld.
Maar dan is het ook niet zo moeilijk om een gratis gewoon certificaat per domein te regelen.

[Reactie gewijzigd door Soldaatje op 22 januari 2016 23:03]

Kinderziektes?
Enige wat ik tot dusver heb gemerkt zijn kunstmatige beperkingen zoals limieten op het aantal certificaten per domein.
Verder werkt LE m.i. uit de kunst.
Ondersteuning voor windows, oudere distro's, ... de automatisering. Niks die niet te om zeilen is, maar het is nog iets meer werk dan een "yum install letsencrypt" "service letsencrypt start"
Jij hebt een ander idee van wat kinderziektes zijn dan ik. :)
Automatiseren is een kwestie van een cronjob?
Normale certificaten heb je meer werk aan...

Support voor Windows webservers is allicht een dingetje inderdaad.
Centos 6 heeft nog wat tips en tricks nodig om vlotjes te werken, met python 2.6; Maar voor de basis gebruiker is het iets moeilijker. Het feit dat ze zelf nog een beta label erop plakken vind ik nog vatbaar voor kinderziektes :) Maar goed horen dat het vlot gaat voor jouw :)
Ik gebruik de letsencrypt extensie op Plesk. Super simpel.

Je gaat naar je domein, klikt op letsencryot, wacht 10 seconden en klaar is Kees. Certificaat wordt automatisch elke maand vernieuwd.
Geldt ook voor subdomeinen!
Nu ja, toch wel. letsencrypt levert gratis DV certificaten. OV (met organisatie gegevens in het certificaat) en EV (zelfde + groene adresbalk (meer verificaties)) leveren ze niet.

Prima voor mijn website en de meeste bedrijven, maar voor echte webshops en banken e.d. is DV echt een no-go.
De enige reden hiervoor is omdat het niet te automatiseren is en dus mensen werk blijft om alles te verifiŽren. In de toekomst zal hier vast wat voor gevonden worden en barst de strijd los ;)

Toch denk ik dat er altijd betaalde certificaten blijven, het is namelijk min of meer gebakken lucht. Je koopt min of meer vertrouwen :)
Bij EVs is dat een stuk minder waar dan bij DVs. Bij EVs word aanzienlijk veel doorgelicht en daarom zijn ze ook een stuk duurder. Voor de encryptie maakt het allemaal niet uit, het is met name authenticatie waar je voor betaald.
Precies, maar ook dat is juist gebaseerd op vertrouwen. Ik vertrouw een bedrijf als Symantec of Geotrust er op dat ze hun huiswerk goed doen en de boel goed op orde hebben. Vervolgens vertrouwen klanten mij omdat ik zo'n certificaat heb en tevens ook de CA. Ik kan nog een machtig mooi certificaat hebben maar als de CA niet vertrouwd wordt dan begin je niks.

Gebakken lucht is misschien wat zwaar, maar ik bedoel er mee dat je vertrouwen koopt.
Yep, als je puur kijkt naar security is een certificaat wat je door je eigen CA laat signen veiliger als een certificaat van een bekende authority, puur omdat je de zekerheid hebt dat niemand anders als jij dat certificaat uitgegeven kan hebben.

De bekende authorities leunen toch enigzins op vertrouwen. Als je daarbij kijkt dat overheden een vinger in de pap hebben en het grote bedrijven met veel mensen zijn waar een rotte appel tussen kan zitten, dat maakt het minder betrouwbaar.

Je ziet toch redelijk vaak dat grotere bedrijven hun eigen interne CA erop na houden om die reden en die via GPO toevoegen aan de certificate store in Windows.

[Reactie gewijzigd door mxcreep op 24 januari 2016 12:29]

Letsencrypt vereist rootrechten en vindt het fijn zichzelf automatisch te updaten.

Dat is een massive single point of failure.
Er wordt gewerkt aan non-root tool, zichzelf updaten is geen SPOF :? Je krijgt een mailtje van letsencrypt als je certificaat bijna gaat vervallen. Het is aan jouw om te zorgen dat de implementatie van her-certificering niet failt.
Niet alleen de certificaat maar ook de clientcode wordt vanuit 1 centrale plek gepushed. Als dit in de handen van hackers valt dan heb je een groot probleem.

Ik heb dus zelf een script geschreven die communiceert met de script(welke draait op een klein hermetisch gehardend vmetje).

Op een bedrijfsnetwerk zou ik het nevernooit gebruiken, te veel risico's en ik denk dat het een fout idee is om certificaatbeheer *te* gemakkelijk te maken. Een gui en een manual zou ook al voldoende geweest zijn voor de meesten.
Gewoon een simpele api waarmee je de vervaldatum per certificaat kunt ophalen en dan vervolgens een nieuw certificaat kunt laten signen is toch veel handiger. Dan kan ik de rest zelf wel regelen in Ansible of iets in die geest.
AWS bied dus ook de certificaten gratis aan, zelfs wildcard certificaten. Als ik het goed begrepen heb biedt letsencrypt die niet aan. ACM is dus heel erg fijn voor huidige en nieuwe klanten van AWS.
Let's Ecrypt biedt alleen domain validation certificaten aan. Gezien hun klantengroep is het niet ondenkbaar dat Amazon ook organisation en extended validation certificaten wil aanbieden.
Letsencrypt heeft allerlei beperkingen die het minder geschikt maken voor grote geautomatiseerde omgevingen.

Amazon zal hun klanten vast ook beperkingen opleggen maar ik kan me voorstellen dat ze die willen laten afhangen van hun eigen systemen en niet van een discussie met letsencrypt.
Is letsencrypt ook te gebruiken op ene Windows 2012 R2 Server? En zo nee, wat zijn dan gratis alternatieven.
Is dit iets om te gebruiken op je thuisserver en zo een veilige vpn verbinding te starten met je telefoon?
Dat is inderdaad een zeer legitieme toepassing voor Let's Encrypt-certificaten. Ik doe het zelf ook met mijn NAS ;)
Ja. Maar dan zou je ook je eigen root - of self signed certificaat kunnen maken die honderd jaar geldig is, en die gebruiken op je server en installeren op je telefoon.
Waarom zou het niet zijn ? :)
Ben benieuwd wat het gaat kosten als je geen klant bent bij Amazone
Ik denk dat deze certificaten helemaal niet aantrekkelijk zijn als je geen klant bent (ongeacht kosten). Het punt is juist dat dit integreert met alle Amazon tools, zodat je de cents makkelijk kunt toepassen om je Amazon cloud dingen.

Voor al je certs buiten Amazon zou ik sowieso naar Let's Encrypt kijken. Gratis en (ook) extra makkelijk omdat zo'n beetje alles automatisch gaat.

[Reactie gewijzigd door Peetz0r op 22 januari 2016 15:23]

De target is in eerste instantie bestaande klanten die al services afnemen.
Ondertussen is al wel aangekondigd dat de certificaten gratis zijn voor gebruik met hun load balancer en CDN services.

https://aws.amazon.com/bl...ssltls-based-apps-on-aws/
Ik denk niet dat dit beschikbaar zal zijn buiten AWS. De bedoeling van ACM is juist om te integeren met bestaande AWS diensten (CloudFront, ELB).

Hoop gewoon dat het snel in de eu-west-1 region beschikbaar is, zodat ik het zelf kan gaan gebruiken :-)
Ze zijn niet te downloaden en alleen maar te gebruiken binnen hun systeem dus je hebt er niks aan als je geen klant bent. Als je wel klant ben zijn ze met 5 klikken in te stellen voor een cloudfront distributie. Wil je gratis certificaten buiten AWS, gebruik dan Let's Encrypt zoals Peetz0r zegt.
"Ssl/tls-certificaten die via AWS Certificate Manager worden gebruikt, zijn gratis op Amazons Elastic Load Balancers en Amazon CloudFront"

Ik vraag me af of dit zomaar mag. Product is gratis wanneer je een dienst afneemt maar wellicht betaald daarbuiten?
Waarom zou dit niet mogen? ACM is zelfs niet beschikbaar buiten AWS, en Amazon levert al enkele PAAS diensten gratis (CloudFormation, Elastic Beanstalk). Het is een gratis dienst voor bestaande klanten, business as usual dus.
Als Amazon een voorsprong krijgt door zijn (nieuwe) certificaten business te gratis aan te bieden bij zijn cloud diensten, worden zijn cloud diensten daar voordeliger door (TCO gewijs).

Microsoft geeft geen publieke certificaten weg en verkoopt deze ook niet. Google hetzelfde. Amazon moet zijn certificaten overal goed laten keuren en trusted maken. Je kunt het daardoor zien als een dienst met semi-public interest, immers het loont niet alleen Amazon maar ook het hele internet dat certificaten gebruikt worden.

Mijn vraag blijft dan, mag je dat zomaar combineren?
Mijn vraag blijft dan, mag je dat zomaar combineren?
En mijn vraag is dezelfde als die van MMaster23: Waarom zou dit niet mogen?

Amazon doet iets anders dan de concurrentie door producten te combineren. Daar is niets mis mee. Het is een vrije markt, en Amazon heeft geen wettelijk erkend monopolie dat de vrije markt verstoord.

[Reactie gewijzigd door The Zep Man op 22 januari 2016 15:55]

Waarom zou dat niet mogen? Je ziet toch veel vaker dat je x of y gratis krijgt als je z afneemt? Dat heet in vaktermen volgens mij gewoon een "incentive".

[Reactie gewijzigd door Alpha Bootis op 22 januari 2016 15:42]

Of gewoon onderdeel van de propositie.
https://hexatomium.github.io/2016/01/21/amazon-roots/ meldt dat het nogal dubieus is dat Microsoft het niet expliciet gemeld heeft. Daarnaast hebben ze wel een aanvraag gedaan bij Mozilla en Google, maar die zijn nog niet afgerond.
Sowieso moet iemand de eerste zijn om ze op te nemen. En als de NSA echt zelf een vertrouwde CA wil zijn dan hebben ze kansen genoeg om dat te doen. Daar gaan ze echt geen nieuwe CA voor laten opzetten.
Ik las dat artikel ook en het verwees naar verschillende artikelen uit 2014 waar de cia met amazon dingen gedaan zou hebben, ik vond het een beetje stemmingmakerij, vandaar dat ik er uiteindelijk niks mee deed. Maar nu staat het gelukkig toch in de comments :)
Dit geeft hun een vrij machtige positie.
Ze bieden nu echt alles aan om te hosten: domain, servers, networking, loadbalancing en dan nu SSL
mjah, die hadden ze natuurlijk al. Ze zijn de voorloper op het gebied van cloudcomputing. In feite is een SSL certificaat natuurlijk maar een heel klein schakeltje in de keten. Ook de kosten van een certificaat zijn heel erg weinig vergeleken met de kosten van een compleet platform ;) Het lijkt me vooral heel erg gemakkelijk, omdat het mooi integreert met het hele AWS platform.
De certificaten van AWC Certificate Manager of ACM zijn geverifieerd door Amazons certificaatautoriteit en Amazon Trust Services.
He? Amazon verifieert Amazon?
Ja. Google verifieert ook Google en Microsoft verifieert Bing.

Hetzelfde geldt overigens ook voor andere commerciŽle Certificate Authorities zoals bijvoorbeeld Symantec, Comodo, IdenTrust of Geotrust.
Microsoft gebruikt gewoon Symantec certificaten hoor? https://portal.office.com bijv. www.outlook.com
Certificaten is een vorm van vertrouwen, vertrouwen wij Amazon, en vele anderen - uhhh. Diginotar is zo'n voorbeeld, dan de turken, en de chinese uitgevers van certificaten - nah - 'k denk er 't mijne over.
Ik ga liever iets meer uitgeven dan bij zo'n <censored> iets van belang af te nemen.
Dat maakt helemaal niks uit. Het hele certificaat-stelsel is toch corrupt.

Zolang je zelf netjes met je private key omgaat maakt het niet uit welke van de 600 'lowest bidders' je je certificaat laat ondertekenen. Het is allemaal net zo veilig en het betekend net zo weinig voor de eindgebruiker.
idd. het certificaatstelsel is een wassen neus, wat mij betreft. waarom zou ik $random_bedrijf meer vertrouwen dan $random_website?

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True