Door Dimitri Reijerman, woensdag 13 maart 2013 17:48, views: 8.829 •

GlobalSign heeft aangekondigd dat het naar eigen zeggen als eerste certificaatverstrekker al zijn ssl-dienstverlening ook volledig op ipv6 zal gaan aanbieden. Daarmee kunnen talloze certificaten ook op servers met ipv6-adressen worden gebruikt.

Volgens GlobalSign zijn nu ook zijn revocation status services geheel compatibel met het ipv6-protocol. Daarmee zouden alle basisdiensten die de certificaatverstrekker verkoopt aan met name bedrijven en overheden via ipv6 benaderbaar zijn. GlobalSign claimt bovendien dat het de eerste grote certificaatverstrekker is die deze mogelijkheid biedt.

De beschikbaarheid van ssl-dienstverleners via ipv6 is een belangrijke stap in de adoptie van het protocol nu het aantal beschikbare ipv4-adressen verder uitgeput raakt. Steeds meer websites bieden uit veiligheids- en privacyoverwegingen informatie aan via ssl-verbindingen. Daarvoor is een geldig certificaat noodzakelijk.

Naast het feit dat ipv6 128bit-adressering gebruikt, en daarmee de schaarste aan ip-adressen voorlopig sterk vermindert, voegt het routeringsprotocol ook extra beveiligingslagen toe. Zo biedt het protocol op de network layer ondersteuning voor encryptie en authenticatie op de niveaus host-naar-host, host-naar-subnet en subnet-naar-subnet.

Reacties (18)

Reactiefilter:-118016+114+23+31
Platte weergaveSorteer aflopendFaq
0 Simyager
13 maart 2013 17:50
En nu nog de wereld overzetten van ipv4 naar ipv6, dan zijn we klaar denk ik :P .
+1 ADQ
@Simyager13 maart 2013 18:55
Voorlopig.
Op het moment worden IPv6 adressen niet per vaasje, maar per oerwoud uitgedeeld. Ik heb als XS4ALL klant bijvoorbeeld een /48 blok. Daar kan ik wel eventjes mee vooruit denk ik. :)
Op de totale hoeveelheid beschikbare adressen is dat nog niet eens een nanodeeltje, Maar de techniek staat niet stil, en steeds meer apparaten krijgen netwerkverbindingen.

Maar goed, er is weer een bescheiden stapje gezet naar een IPv6 only netwerk, en dat kan ik alleen maar toejuichen.
IPv6 is used by 2.9% of all the websites. (Deze maand, zie hier.) Nog bitter weinig, maar de wereld is er eigenlijk ook nog niet klaar voor. Zelfs een land als het onze heeft nog maar weinig providers die het aanbieden.
+1 freaky
@ADQ13 maart 2013 19:22
Bij een /48 heb je 80 van de 128 bits tot je beschikking. Dat zou ik toch niet af willen doen als nano deeltje...
+1 markusclaas
@freaky13 maart 2013 20:10
Er zijn 2^48 van dat soort blokken, dus wat betreft is het wel weer een heel klein deel :-) Geeft maar te kennen hoe absurd veel ipv6 adressen er zijn, en maar goed ook ;-) Maarja, die lange adressen geven wel weer extra overhead op elk pakketje..
+1 TvdW
@markusclaas13 maart 2013 20:37
Correct me if I'm wrong, maar vziw is het bij IPv6 de 'bedoeling' (lees: ideale situatie) dat een thuismodem een /64-adres krijgt, waarna de laatste 64 bits gekozen worden door het apparaat zelf. Het weggeven van /48-blokken lijkt me gewoon verspilling van de adressen (we hòeven ze niet allemaal weg te geven in de komende jaren!).
+1 Herko_ter_Horst
@TvdW13 maart 2013 21:15
Niet helemaal, volgens RFC 3177:
This document provides recommendations to the addressing registries
(APNIC, ARIN and RIPE-NCC) on policies for assigning IPv6 address
blocks to end sites. In particular, it recommends the assignment of
/48 in the general case, /64 when it is known that one and only one
subnet is needed and /128 when it is absolutely known that one and
only one device is connecting.
Zelfs met deze "ruimhartige" uitdeelstrategie, zijn er in de nu beschikbare IPV6-adresspace genoeg /48's om 8 miljard sites (personen + bedrijven) er 4000 te geven. En dan nog heeft IANA eenzelfde hoeveelheid achter de hand.

[Reactie gewijzigd door Herko_ter_Horst op 13 maart 2013 21:18]

+1 Maasluip
@Herko_ter_Horst14 maart 2013 08:46
Om het anders te zeggen: IPv4 heeft 4 miljard IP-adressen.
IPv6 heeft 281.474 miljard /48 subnetten.
+1 Maasluip
@ADQ14 maart 2013 08:39
Ik heb al mijn tweede /48 van XS4ALL gekregen. Geen idee wanneer dat eerste teruggepakt wordt, dat hangt nog altijd aan mijn ADSL verbinding. :)
+2 Digihans
@ADQ14 maart 2013 08:51
Dat verschijnsel is bekend als "remmende voorsprong".
Andere landen zijn veel verder (Cuba, China, Thailand, ...)
In eerste instantie zullen bestaande organisaties hun diensten dmv dual stack aanbieden. Als je zelf al V6 hebt zul je ongemerkt overschakelen: universiteiten, rijksoverheid.nl en google.nl benader je dan automatisch via v6 ipv v4. Pas later zul je IPv6-only sites en diensten tegen komen. Wanneer? Dat hangt af hoe snel de economie aantrekt.

Maar dat staat geheel lost van het oorspronkelijke artikel.
Het komt neer op dat (met name) controle op de geldigheid van certificaten (Certificate Revocation List, OCSP), en aanvragen van certificaten OOK via IPv6 kan plaatsvinden.
+1 djiwie
13 maart 2013 17:59
Zo spannend is het dus niet: GlobalSign heeft zijn crl-service via ipv6 bereikbaar gemaakt. SSL-certificaten kon je altijd al over IPv6 gebruiken, die zijn niet speciaal voor IPv4 of IPv6 geconfigureerd.

Desalniettemin goed nieuws, hoe sneller de wereld over is op IPv6 hoe beter. :)
+3 Daenney
@djiwie13 maart 2013 18:52
Zo spannend is het dus niet: GlobalSign heeft zijn crl-service via ipv6 bereikbaar gemaakt. SSL-certificaten kon je altijd al over IPv6 gebruiken, die zijn niet speciaal voor IPv4 of IPv6 geconfigureerd.

Desalniettemin goed nieuws, hoe sneller de wereld over is op IPv6 hoe beter.
Inderdaad.
Daarmee kunnen talloze certificaten ook op servers met ipv6-adressen worden gebruikt.
Dat is echt de meest ongelukkige woordkeuze hoewel het hele artikel een vrij ongelukkige interpretatie van het origineel is..

Waar het om gaat is het volgende; een partij als GlobalSign geeft wereldwijd certificaten uit die de authenticiteit van een site/dienst/entiteit bevestigen. Dit certificaat wordt uitgegeven aan de partij die het aanvraagt en afhankelijk van welk 'level' (lees 'meer geld overmaakt') certificaat je aanvraagt wordt er bepaalde validatie uitgevoerd om te controleren of jij wel echt een certificaat voor deze site/dienst/entiteit mag aanvragen. De meeste goedkope certificaten doen amper aan validatie, die certificaten waar je een groene balk voor terug krijgt (EV/Extended Validation) vereisen als het goed is heel wat formuliertjes en een paar telefoontjes.

Het probleem is echter, dat certificaat wordt uitgegeven met een bepaalde houdbaarheidsdatum, meestal 1 tot 2 jaar, soms 5 (dit geldt niet voor de Certificate Authority zelf, diens certificaat is meestal een decennium of meer geldig). In dat tijdsbestek kan je certificaat echter ongeldig worden, je server is bijvoorbeeld gehackt en iemand heeft de 'private key' van je certificaat bemachtigd en kan zich nu als jouw server voort doen / man-in-the-middle spelen.

Om dit tegen te gaan kun je bij de Authority aangeven dat je certificaat als ongeldig moet worden gezien en wordt het serienummer er van opgenomen in de CRL. Het is vervolgens aan de client die verbinding met jou opzet om in die CRL te controleren of je certificaat nog echt geldig is. Dit is meestal een bestand wat je via HTTP kunt ophalen (die CRL is zelf vaak ook weer cryptografisch getekend zodat je kunt valideren dat je wel echt de lijst van GlobalSign hebt).

Er is ook nog een ander protocol genaamd OCSP (online certificate status protocol) die effectief hetzelfde doet alleen daar vraag je aan de andere kant of dit specifieke certificaat nog geldig is. Je hoeft dan zelf weer niet de CRL te downloaden, valideren, parsen en het certificaat er mee te checken.

Die CRL/OCSP is waar het om gaat. De server(s) die de CRL/OCSP-dienst hosten namens GlobalSign zijn nu ook via IPv6 te benaderen waardoor een IPv6-only client nu wel bij GlobalSign kan nagaan of je certificaat nog echt geldig is.

Het kunnen gebruiken van een certificaat om jezelf als client of server te identificeren heeft helemaal niks met IPv6 te maken noch zijn er speciale IPv6-SSL certificaten nodig.

[Reactie gewijzigd door Daenney op 13 maart 2013 19:13]

+2 freaky
@Daenney13 maart 2013 19:21
Nagenoeg helemaal goed en betwijfel dat wat ik ga zeggen hier relevant is, maar je kunt ook certificaten op IP krijgen. FQDNs zijn wel veel handiger en dan boeit het idd (behalve de crl/ocsp) niet of fqdn ipv4, ipv6 of beiden is
+1 markusclaas
@freaky13 maart 2013 20:13
Ik ben blij dat er ook gasten zoals jullie twee op tweakers ronddwalen en dan ook nog eens de moeite nemen een mooie comment te tikken.
+1 Sharky
@freaky13 maart 2013 22:33
Vanaf 2015 kun je geen certificaten op IP meer krijgen afaik.
0 VisionMaster
13 maart 2013 18:11
Mooi werk. Hoe simpel het ook lijkt qua infra.
+1 iMars
@S7YX13 maart 2013 18:57
*kuch* Google *kuch*

@markusclaas: lekker bijdehand ;) maar goed, google op IPv6 en de eerste hit is bovenstaand link (bij mij dan)

[Reactie gewijzigd door iMars op 13 maart 2013 21:55]

Op dit item kan niet meer gereageerd worden.

Onderwerpen

Gerelateerde content

Alle gerelateerde content (9)