Amazon wil certificaatautoriteit worden

Amazon Web Services heeft maandag bij Mozilla en het Android Open Source Project een aanvraag ingediend om een certificaatautoriteit te worden. Hierdoor kan Amazon ssl-certificaten gaan verkopen aan ontwikkelaars.

aws amazon web servicesDat schrijft GeekWire aan de hand van de ingediende aanvragen bij Mozilla en Android. Het is onduidelijk wat de winst voor Amazon zal zijn en hoe agressief het bedrijf de certificaten op de markt zal brengen, maar het lijkt een logische toevoeging aan het portfolio van Amazon Web Services, AWS. Met een eigen certificaatautoriteit hoeven ontwikkelaars niet meer via een andere aanbieder een ssl-certificaat aan te vragen.

Uit de publiek zichtbare aanvragen bij Mozilla en Android blijkt dat Amazon zowel een standaard als een uitgebreid pakket wil gaan bieden aan gebruikers. Ook hoeven aanvragers van certificaten van Amazon geen gebruik te maken van domeinregistratie via Amazon of andere diensten van het bedrijf om de certificaten te kunnen toepassen. Dit jaar komt ook een consortium van het EFF, Mozilla en Akamai met een eigen certificaatautoriteit: Let's Encrypt.

Eind juli 2014 startte Amazon met het aanbieden van domeinnaamregistratie. Daarbij moet wel gebruikgemaakt worden van de webconsole van AWS. Hoe dat precies gaat werken met de ssl-certificaten, is nog niet bekend.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 09-06-2015 10:48 14

09-06-2015 • 10:48

14

Lees meer

Comodo probeert Let's Encrypt als handelsmerk vast te leggen - update
Comodo probeert Let's Encrypt als handelsmerk vast te leggen - update Nieuws van 24 juni 2016
Amazon gaat tls-certificaten uitgeven
Amazon gaat tls-certificaten uitgeven Nieuws van 22 januari 2016
Alle browsers ondersteunen nu de gratis ssl-certificaten van Let's Encrypt
Alle browsers ondersteunen nu de gratis ssl-certificaten van Let's Encrypt Nieuws van 20 oktober 2015
Let’s Encrypt-initiatief neemt eerste ssl-certificaat in gebruik
Let’s Encrypt-initiatief neemt eerste ssl-certificaat in gebruik Nieuws van 15 september 2015
Dienst voor gratis ssl-certificaten begint 14 september
Dienst voor gratis ssl-certificaten begint 14 september Nieuws van 17 juni 2015
Google heeft upgrade naar 2048bits ssl-certificaten afgerond
Google heeft upgrade naar 2048bits ssl-certificaten afgerond Nieuws van 19 november 2013
Microsoft gaat ondersteuning certificaten met sha-1-hashes uitfaseren
Microsoft gaat ondersteuning certificaten met sha-1-hashes uitfaseren Nieuws van 13 november 2013
Amazon voorziet AWS van crossplatform notificatiedienst voor mobiele apps
Amazon voorziet AWS van crossplatform notificatiedienst voor mobiele apps Nieuws van 13 augustus 2013
Meer producten en artikelen
Specialisaties Netwerk Amazon

Reacties (14)

-Moderatie-faq
14
14
13
0
0
0
Wijzig sortering

Sorteer op:

Weergave:
DexterDee 9 juni 2015 11:11
Een logische zet in combinatie met hun webhosting tak, maar de adoptie van een nieuwe CA is altijd lastig. Het duurt vele jaren en vergt veel onderhandelingen voordat een nieuwe CA op een acceptabel niveau zit qua ondersteuning. En tot de tijd dat de CA breed ondersteund wordt zal de massa een beetje wegblijven om de hoge uitvalspercentages. Voorlopig hebben we hier dus nog niet zo veel aan.
Blokker_1999
@DexterDee9 juni 2015 11:14
Dat valt volgens mij goed mee. CAs worden regelmatig genoeg geupdate, zeker in geval van problemen en een CA niet meer te vertrouwen is word op enkele dagen zo goed als alle stores aangepast om het certificaat eruit te gooien.
DexterDee @Blokker_19999 juni 2015 11:30
De CRL (certificate revocation list) wordt inderdaad snel aangepast bij veiligheidsproblemen. Maar welke CA's wel en niet vertrouwd worden zit vaak hardcoded ingebakken. Zeker bij de wat oudere smartphones en OS versies die geen updates meer ontvangen.
sumac @DexterDee9 juni 2015 11:51
Des te meer reden er niet mee te wachten en het nu aan te vragen. Eigenlijk hadden ze dit dus al vorig jaar of vijf jaar geleden moeten doen. Maar dit is een logische stap voor Amazon, en ook voor bv Google. Ze zijn groot genoeg, hebben voldoende bereik.

In dit licht vraag ik me af in hoeverre Let's Encrypt kan slagen. Wordt dat een nieuwe CA, of draait dat op bestaande CA's? Ik ben benieuwd wanneer dat live gaat, want dat lijkt me ideaal. Twee keer sudo apt-get, en je bent er, hoewel ik me afvraag of dat ook opgaat bij complexe vhost configuraties.
Doetje @sumac9 juni 2015 13:14
De intermediate CA certs van Let's Encrypt zijn cross-signed door een bestaande CA (IdentTrust) zodat de certificaten die ze uitgeven aanvaard worden door bestaande browsers e.d. Dit zolang tot ze zelf voldoende vertrouwen gewonnen hebben en overal toegevoegd worden.

Zie ook: https://letsencrypt.org/2015/06/04/isrg-ca-certs.html
CyBeR @DexterDee9 juni 2015 12:24
Ze zullen allicht hun root certificaat laten cross-signen door een reeds bestaande CA om precies dat probleem tegen te gaan.
My-life 9 juni 2015 11:18
Is het wel zo aantrekkelijk om de hostingpartij ook als CA te hebben voor de SSL certificaten van hun eigen servers? Zou het daardoor niet makkelijker worden om ook de certificaatverificatie te ondermijnen als er al bij hetzelfde bedrijf toegang is verschaft door een hacker?

Mijn gevoel zegt dat je dit juist zou willen scheiden.
sumac @My-life9 juni 2015 11:56
Terechte vraag! Ons AWS account is een keer gehackt dmv social engineering bij AWS support, terwijl we two-factor login hadden. Tegelijkertijd hadden ze ook onze DNS-provider gehackt en zodoende mail naar het beheer-account overgenomen. Waarschijnlijk was hack 1 het gevolg van hack2, hoewel het ook omgekeerd kan zijn. Scheiding van accounts is dus geen garantie, maar maakt het vast lastiger.

Je zou trouwens een tweede account aan kunnen maken bij AWS. Zo kun je ook scheiden.
s.stok @My-life9 juni 2015 12:43
Als de server/hosting zelf gehackt wordt maakt het niet welke CA je hebt, de prive sleutel ligt dan op straat.

Uiteraard is ook Amazone verplicht om bepaalde maatregelen te nemen zoals een intermediair certificaat (Root CA (geheel afgescheiden op een niet internet verbonden systeem, certificaat geldig voor 10 jaar) tekent intermediair CA certificaat (geldig voor 5 jaar) en dat intermediair certificaat word dan weer gebruikt voor het ondertekenen van certificaten van klanten).
Want we willen immers niet een Diginotar 2.0 :X

Wat ik me wel afvraag is of het dan eindelijk mogelijk word om direct SSL te gebruiken bij S3?
O.a. het Symfony project gebruikt Amazone S3 voor het aanbieden van downloads maar kan momenteel geen TLS gebruiken (tegen connection tempering) omdat Amazone dit niet native ondersteund.
GrooV 9 juni 2015 10:57
Overigens lopen de domeinen geregistreerd via Amazon gewoon via Gandi.net . AWS is gewoon een reseller
JB Zimmerman 9 juni 2015 21:31
https://www.youtube.com/watch?v=OZyXx8Ie4pA

toelichting op "let's encrypt" op CCC conference 2015
Luukwa 9 juni 2015 10:51
Amazon wil zich wel overal in mengen, eerst een game, nu dit..

Overigens denk ik dat het in combinatie met hun server hosting best een handige optie is.

[Reactie gewijzigd door Luukwa op 25 juli 2024 03:28]

himlims_ @Luukwa9 juni 2015 10:53
diverse lijntjes uitwerpen, en dan hopen dat je ergens beet hebt
The Zep Man
@Luukwa9 juni 2015 10:56
Overigens denk ik dat het in combinatie met hun server hosting best een handige optie is.
Waarschijnlijk is de integratie met hun bestaande portfolio de belangrijkste reden waarom zij dit doen. Je neemt als bestaande klant diensten af van Amazon en kan daar met een druk op de knop (1 click buy!) een SSL certificaat bij kopen en mogelijk geautomatiseerd laten beheren.
Ook hoeven aanvragers van certificaten van Amazon geen gebruik te maken van domeinregistratie via Amazon of andere diensten van het bedrijf om de certificaten te kunnen toepassen.
Amazon kan het natuurlijk in hun producten integreren zonder externe aanvragers uit te sluiten. Waarom zouden zij die kans niet pakken? Geld is geld. ;)

[Reactie gewijzigd door The Zep Man op 25 juli 2024 03:28]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq