Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 14 reacties

Amazon Web Services heeft maandag bij Mozilla en het Android Open Source Project een aanvraag ingediend om een certificaatautoriteit te worden. Hierdoor kan Amazon ssl-certificaten gaan verkopen aan ontwikkelaars.

aws amazon web servicesDat schrijft GeekWire aan de hand van de ingediende aanvragen bij Mozilla en Android. Het is onduidelijk wat de winst voor Amazon zal zijn en hoe agressief het bedrijf de certificaten op de markt zal brengen, maar het lijkt een logische toevoeging aan het portfolio van Amazon Web Services, AWS. Met een eigen certificaatautoriteit hoeven ontwikkelaars niet meer via een andere aanbieder een ssl-certificaat aan te vragen.

Uit de publiek zichtbare aanvragen bij Mozilla en Android blijkt dat Amazon zowel een standaard als een uitgebreid pakket wil gaan bieden aan gebruikers. Ook hoeven aanvragers van certificaten van Amazon geen gebruik te maken van domeinregistratie via Amazon of andere diensten van het bedrijf om de certificaten te kunnen toepassen. Dit jaar komt ook een consortium van het EFF, Mozilla en Akamai met een eigen certificaatautoriteit: Let's Encrypt.

Eind juli 2014 startte Amazon met het aanbieden van domeinnaamregistratie. Daarbij moet wel gebruikgemaakt worden van de webconsole van AWS. Hoe dat precies gaat werken met de ssl-certificaten, is nog niet bekend.

Moderatie-faq Wijzig weergave

Reacties (14)

Een logische zet in combinatie met hun webhosting tak, maar de adoptie van een nieuwe CA is altijd lastig. Het duurt vele jaren en vergt veel onderhandelingen voordat een nieuwe CA op een acceptabel niveau zit qua ondersteuning. En tot de tijd dat de CA breed ondersteund wordt zal de massa een beetje wegblijven om de hoge uitvalspercentages. Voorlopig hebben we hier dus nog niet zo veel aan.
Dat valt volgens mij goed mee. CAs worden regelmatig genoeg geupdate, zeker in geval van problemen en een CA niet meer te vertrouwen is word op enkele dagen zo goed als alle stores aangepast om het certificaat eruit te gooien.
De CRL (certificate revocation list) wordt inderdaad snel aangepast bij veiligheidsproblemen. Maar welke CA's wel en niet vertrouwd worden zit vaak hardcoded ingebakken. Zeker bij de wat oudere smartphones en OS versies die geen updates meer ontvangen.
Des te meer reden er niet mee te wachten en het nu aan te vragen. Eigenlijk hadden ze dit dus al vorig jaar of vijf jaar geleden moeten doen. Maar dit is een logische stap voor Amazon, en ook voor bv Google. Ze zijn groot genoeg, hebben voldoende bereik.

In dit licht vraag ik me af in hoeverre Let's Encrypt kan slagen. Wordt dat een nieuwe CA, of draait dat op bestaande CA's? Ik ben benieuwd wanneer dat live gaat, want dat lijkt me ideaal. Twee keer sudo apt-get, en je bent er, hoewel ik me afvraag of dat ook opgaat bij complexe vhost configuraties.
De intermediate CA certs van Let's Encrypt zijn cross-signed door een bestaande CA (IdentTrust) zodat de certificaten die ze uitgeven aanvaard worden door bestaande browsers e.d. Dit zolang tot ze zelf voldoende vertrouwen gewonnen hebben en overal toegevoegd worden.

Zie ook: https://letsencrypt.org/2015/06/04/isrg-ca-certs.html
Ze zullen allicht hun root certificaat laten cross-signen door een reeds bestaande CA om precies dat probleem tegen te gaan.
Is het wel zo aantrekkelijk om de hostingpartij ook als CA te hebben voor de SSL certificaten van hun eigen servers? Zou het daardoor niet makkelijker worden om ook de certificaatverificatie te ondermijnen als er al bij hetzelfde bedrijf toegang is verschaft door een hacker?

Mijn gevoel zegt dat je dit juist zou willen scheiden.
Terechte vraag! Ons AWS account is een keer gehackt dmv social engineering bij AWS support, terwijl we two-factor login hadden. Tegelijkertijd hadden ze ook onze DNS-provider gehackt en zodoende mail naar het beheer-account overgenomen. Waarschijnlijk was hack 1 het gevolg van hack2, hoewel het ook omgekeerd kan zijn. Scheiding van accounts is dus geen garantie, maar maakt het vast lastiger.

Je zou trouwens een tweede account aan kunnen maken bij AWS. Zo kun je ook scheiden.
Als de server/hosting zelf gehackt wordt maakt het niet welke CA je hebt, de prive sleutel ligt dan op straat.

Uiteraard is ook Amazone verplicht om bepaalde maatregelen te nemen zoals een intermediair certificaat (Root CA (geheel afgescheiden op een niet internet verbonden systeem, certificaat geldig voor 10 jaar) tekent intermediair CA certificaat (geldig voor 5 jaar) en dat intermediair certificaat word dan weer gebruikt voor het ondertekenen van certificaten van klanten).
Want we willen immers niet een Diginotar 2.0 :X

Wat ik me wel afvraag is of het dan eindelijk mogelijk word om direct SSL te gebruiken bij S3?
O.a. het Symfony project gebruikt Amazone S3 voor het aanbieden van downloads maar kan momenteel geen TLS gebruiken (tegen connection tempering) omdat Amazone dit niet native ondersteund.
Overigens lopen de domeinen geregistreerd via Amazon gewoon via Gandi.net . AWS is gewoon een reseller
https://www.youtube.com/watch?v=OZyXx8Ie4pA

toelichting op "let's encrypt" op CCC conference 2015
Amazon wil zich wel overal in mengen, eerst een game, nu dit..

Overigens denk ik dat het in combinatie met hun server hosting best een handige optie is.

[Reactie gewijzigd door Luukwa op 9 juni 2015 10:51]

diverse lijntjes uitwerpen, en dan hopen dat je ergens beet hebt
Overigens denk ik dat het in combinatie met hun server hosting best een handige optie is.
Waarschijnlijk is de integratie met hun bestaande portfolio de belangrijkste reden waarom zij dit doen. Je neemt als bestaande klant diensten af van Amazon en kan daar met een druk op de knop (1 click buy!) een SSL certificaat bij kopen en mogelijk geautomatiseerd laten beheren.
Ook hoeven aanvragers van certificaten van Amazon geen gebruik te maken van domeinregistratie via Amazon of andere diensten van het bedrijf om de certificaten te kunnen toepassen.
Amazon kan het natuurlijk in hun producten integreren zonder externe aanvragers uit te sluiten. Waarom zouden zij die kans niet pakken? Geld is geld. ;)

[Reactie gewijzigd door The Zep Man op 9 juni 2015 11:17]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True