Ssl-dienst Let's Encrypt start 3 december met publieke bèta

Let's Encrypt begint met een publieke bèta op 3 december aanstaande. Als de publieke bèta start, kan iedereen die dat wil een ssl-certificaat aanvragen en is er niet langer een uitnodiging nodig om gebruik te kunnen maken van de dienst.

Sinds de start van de gesloten bèta heeft de organisatie meer dan 11.000 certificaten uitgegeven, meldt Let's Encrypt op zijn nieuwspagina. Omdat er zich in de tussentijd geen grote problemen hebben voorgedaan, acht de organisatie het systeem rijp voor een publieke-bètaperiode.

De voornaamste reden dat Let's Encrypt nog in bèta blijft, is dat er nog veel bij te schaven is aan het proces voor de eindgebruiker. Dat proces om ssl-certificaten te implementeren moet via Let's Encrypt zo min mogelijk tijd kosten en niet omslachtig zijn. Het bètalabel gaat er pas vanaf als de client zo soepel mogelijk werkt en betrouwbaar is op zo veel mogelijk platformen.

Met Let's Encrypt wil de burgerrechtenorganisatie EFF, een van de drijvende krachten achter Let's Encrypt, ervoor zorgen dat het gebruik van versleutelde verbindingen gemeengoed wordt. EFF kondigde de dienst een jaar geleden aan. Als doel werd gesteld dat een websitebeheerder binnen een minuut een certificaat voor een website moet kunnen installeren.

letsencrypt run

Door Krijn Soeteman

Freelanceredacteur

Feedback • 13-11-2015 10:44
74 • submitter: Rafe

13-11-2015 • 10:44

74

Submitter: Rafe

Lees meer

Let's Encrypt heeft problemen met uitgifte en vernieuwen certificaten
Let's Encrypt heeft problemen met uitgifte en vernieuwen certificaten Nieuws van 19 mei 2017
Let's Encrypt heeft tien miljoen gratis ssl-certificaten uitgegeven
Let's Encrypt heeft tien miljoen gratis ssl-certificaten uitgegeven Nieuws van 10 september 2016
Comodo probeert Let's Encrypt als handelsmerk vast te leggen - update
Comodo probeert Let's Encrypt als handelsmerk vast te leggen - update Nieuws van 24 juni 2016
Let's Encrypt heeft miljoen gratis ssl-certificaten uitgegeven
Let's Encrypt heeft miljoen gratis ssl-certificaten uitgegeven Nieuws van 8 maart 2016
Google gaat standaard https-pagina's indexeren
Google gaat standaard https-pagina's indexeren Nieuws van 17 december 2015
FBI: bedrijven die encryptie gebruiken moeten businessmodel heroverwegen
FBI: bedrijven die encryptie gebruiken moeten businessmodel heroverwegen Nieuws van 10 december 2015
Let's Encrypt beschikbaar in open beta
Let's Encrypt beschikbaar in open beta Nieuws van 3 december 2015
Alle browsers ondersteunen nu de gratis ssl-certificaten van Let's Encrypt
Alle browsers ondersteunen nu de gratis ssl-certificaten van Let's Encrypt Nieuws van 20 oktober 2015
EFF komt met extensie om trackers te blokkeren
EFF komt met extensie om trackers te blokkeren Nieuws van 7 augustus 2015
Dienst voor gratis ssl-certificaten begint 14 september
Dienst voor gratis ssl-certificaten begint 14 september Nieuws van 17 juni 2015
EFF wil gratis certificaten uitdelen via onafhankelijke certificaatautoriteit
EFF wil gratis certificaten uitdelen via onafhankelijke certificaatautoriteit Nieuws van 19 november 2014
Meer producten en artikelen
Netwerk en systeembeheer Encryptie Https

Reacties (74)

-Moderatie-faq
74
74
58
6
0
0
Wijzig sortering
CMD-Snake 13 november 2015 10:52
Goed idee om SSL certificaten zo laagdrempelig mogelijk te maken. Alleen jammer dat er nog nul ondersteuning is voor Windows met IIS als webserver vanuit dit project. Wat er tot op heden is richt zich enkel op Linux webservers.
aadje93 @CMD-Snake13 november 2015 10:59
Dit komt misschien omdat linux webservers veel algemener zijn (door lage resources voor het systeem) Een webserver via linux kan al met ~200mb ramm prima duizenden pageviews per dag verwerken, echter bij windows is dit pittig
ctrl-tab @aadje9313 november 2015 11:58
Dat lijkt me niet. Een paar honderd mb meer en je hebt een windows machine die ook prima content kan serveren. Wat kost geheugen vandaag de dag?

Belangrijkere reden is denk ik dat de meeste open source achtige platformen native/van origine op linux draaien en het daar ook beter op doen. (Php mysql , wordpress etc etc), èn het feit dat je een windows licentie nodig hebt om het te draaien op windows.

Windows webservers presteren prima, zo ook .NET applicaties, zolang er fatsoenlijk geprogrammeerd wordt (er bijvoorbeeld aan cache gedacht wordt)
Blokker_1999
@ctrl-tab13 november 2015 14:20
Elke MB aan HDD/RAM ruimte die je OS inneemt is een MB minder dat je applicaties kunnen innemen. De grotere overhead die je met Windows hebt telt dus wel zeker mee. Als je sites in ASP maakt dan kan je niet veel anders natuurlijk dan IIS gebruiken, zelfde als je andere MS only technologie gebruikt. Maar van zodra het om static content gaat of bijvoorbeeld PHP dan heeft het gebruik van Windows vooral nadelen. Je hebt een zwaarder OS (ook niet helemaal als je voor een Core editie gaat) dat met een licentiekost komt, dat je ook meer downtime zal geven door het installeren van beveiligingsupdates (hoewel dat dat al verbeterd is de laatste jaren).
Verwijderd @ctrl-tab13 november 2015 12:27
Ik draai zelf om die reden een kleine server op m'n glasvezelconnectie. Ik programmeer in .NET wat me prima bevalt, beter dan in PHP, maar het geheugengebruik loopt wel op. Voor een simpele webapplicatie is het ±60MB maar als er wat caching wordt gedaan (ik heb bv een RavenDB client die caching doet) dan kan het zo naar de 200-300MB of meer gaan voor een webapplicatie.

Ik hoop echter wel dat ik certificaten bij Let's Encrypt kan aanmaken voor Windows/IIS zonder dat er geconverteerd hoeft te worden. :)
aadje93 @ctrl-tab13 november 2015 12:17
geheugen kost dan niet veel, echter is het voor "kleine" websites via vps' nog steeds prijzig om richting de 1gb geheugen te gaan (zo 10-12/maand ~120-150/jr) terwijl "shared" hosting al voor 15-20 euro te vinden is, echter is dit vaak belabberd traag door veel te veel sites op 1 server.
morphje @aadje9313 november 2015 12:39
Dan zou ik nog een keer rondkijken. Voor 10E/mnd heb je bij een ISO 27000 certificeerde bedrijf een 4GB vps (linux, want windows licentie is al 6-8E/mnd)
En bij diverse niet-zo-heel-erg-certificeerde cloudboeren heb je al een 4GB VPS voor 7,50/mnd.
Startprijzen van 4E/mnd voor een 1GB VPS

Ik noem bewust geen namen, want reclame enzo. Maar beetje crea googlen kom je er vanzelf.
biglia @aadje9313 november 2015 11:16
Als je surft naar https://letsencrypt.org zie je rechtsbovenaan "Linux Foundation Collaborative Projects" staan. Dat lijkt me de enige reden waarom op dit moment vooral Linux webservers worden ondersteund. En je kan ze natuurlijk niet ongelijk geven, zeker niet wanneer het project nog in een closed beta fase zit.
drdelta @biglia13 november 2015 11:48
Dat lijkt mij nu juist niet de enige reden. De voornaamste reden waarom er waarschijnlijk samengewerkt wordt met de Linux Foundation Collaborative Projects lijkt mij omdat veel web servers op linux draaien[1]:
  • W3Techs - 67.8%
  • Security Space - <79.3%
  • W3Cook - 98.3%
Het lijkt mij dat er voornamelijk gekeken wordt om er voor te zorgen zo snel mogelijk zo veel mogelijk mensen hier toegang tot te geven, ik betwijfel dat de EFF een verborgen agenda zou hebben om het gebruik van bv IIS af te straffen.

Jij draait het om ;)

[Reactie gewijzigd door drdelta op 24 juli 2024 05:30]

Verwijderd @drdelta13 november 2015 13:23
De tools die ze gebruiken zijn al beschikbaar voor Nix systemen, daardoor was het voor hun heel makkelijk om een toolset met scripts inelkaar te zetten zodat iedereen zijn eigen certificaat kan genereren. De specs van hun ACME client zijn ook vrij en open beschikbaar:

https://letsencrypt.github.io/acme-spec/

Hierdoor is het heel makkelijk voor iemand die geintreseert is om een Windows client te maken, er is zelfs al een werkend project:

https://github.com/ebekker/letsencrypt-win

Zoals bij veel van dit soort projecten is het beter om een goede basis te leggen zodat de community er verder mee kan. Je kan zelf concentreren op de kern en de rest lost zichzelf wel op.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 05:30]

jaapzb @biglia13 november 2015 15:18
Letsencrypt zit alleen maar onder de paraplu van de Linux Foundation, omdat dat een goede open-source foundation is met genoeg resources, zodat er niet speciaal voor letsencrypt een aparte foundation opgezet hoeft te worden. Het heeft verder weinig met Linux te maken.

IIS support zijn ze gewoon mee bezig, en ze hopen dat ook bij de release van letsencrypt klaar te hebben.
CAPSLOCK2000
@biglia15 november 2015 14:33
Als je surft naar https://letsencrypt.org zie je rechtsbovenaan "Linux Foundation Collaborative Projects" staan. Dat lijkt me de enige reden waarom op dit moment vooral Linux webservers worden ondersteund. En je kan ze natuurlijk niet ongelijk geven, zeker niet wanneer het project nog in een closed beta fase zit.
Het is volgens mij vooral een kwestie van de handen uit de mouwen steken. In de Linux-wereld wordt er relatief veel waarde gehecht aan veiligheid en privacy. Daarom is er een grote bereidheid om aan dit soort projecten mee te werken en er voor te betalen. Blijkbaar was het moelijker om iemand te vinden die het werk wilde doen om Windows / IIS te ondersteunen.
Olaf van der Spek @aadje9313 november 2015 11:29
Bedoel je niet duizend per minuut of seconde? ;)
Martin.l @CMD-Snake13 november 2015 14:46
Dat is weer het mooie dat dit project open source is. Je kan het gewoon zelf voor windows bouwen. (Theoretisch gezien natuurlijk, niet iedereen kan programmeren xD)
CAPSLOCK2000
@Martin.l15 november 2015 14:39
Iedereen kan betalen om een programmeur in te huren :)

De Linux-wereld draait op collaboratief ontwikkelde open-source software. Als er iets ontwikkeld moet worden dan is dit het model wat voor hun natuurlijk is en er staan haast vanzelf programmeurs op om het werk te doen omdat ze die code nu eenmaal zelf nodig hebben en hem dan graag delen. In de Windows wereld heerst veel meer een uurtje-factuurtje mentaliteit en is het minder vanzelfsprekend dat er wel iemand komt aanwaaien die het werk doet en het dan gratis met anderen deelt. Het komt uiteindelijk wel goed maar het kan iets langer duren voor de juiste partij gevonden is.
DiedX @CMD-Snake13 november 2015 10:57
Uiteindelijk zit er wel ondersteuning in, maar moet je door zoveel hoepeltjes heen lopen dat het niet meer leuk is.

Je kán natuurlijk wel een key+cert laten genereren, ombouwen naar pem met OpenSSL, importeren en dan werkt het.

Maar laten we eerlijk zijn: de meeste Windows-beheerders hebben het niet zo op Linux, en bovenstaande 'handleiding' is in het echt gewoon een draak.

Maar ik denk wel dat Let's Encrypt dit nog gaat fixen.
Tijntje @CMD-Snake13 november 2015 12:17
Er zijn momenteel al wel initiative om het voor IIS geschikt te maken
https://github.com/ebekker/letsencrypt-win
https://github.com/Lone-Coder/letsencrypt-win-simple
svennd @CMD-Snake13 november 2015 12:36
Opensource protocol ... de service zelf maakt geen onderscheid! Sterker, je kunt aanvragen op Linux en overzetten naar windows.

Trouwens moet je voor de huidige client python2.7 hebben waardoor centos 6x niet zo easy is :)
r2504 @CMD-Snake13 november 2015 13:23
Het enige waar het zich moet op richten is het ontvangen van een CSR, en het genereren van het certificaat hiervoor. Het is aan de eigenaar/beheerder van een applicatie die een certificaat nodig heeft om te weten hoe hij daar verder mee omgaat.
FiXeR.nl 13 november 2015 10:50
Ik maak al gebruik van Lets Encrypt en moet zeggen dat het proces al erg simpel is gemaakt. Met slechts 1 comando kan het een certificaat vernieuwen, aanmaken, installeren of verwijderen. Ze ondersteunen nu out-of-the box al Apache, en aan Nginx wordt hard gewerkt.

Erg gave dienst, die in mijn ogen heel belangrijk is voor het internet. Ik kan nu bijvoorbeeld mijn persoonlijke OwnCloud gewoon voorzien van een Signed certificaat zodat er een veilige verbinding zonder security errors is.
MeltedForest @FiXeR.nl13 november 2015 11:01
Het proces op bijv. een Synology is nog erg ingewikkeld voor de gemiddelde gebruiker, daar is een manuele installatie nodig. Synology's hebben nog geen ondersteuning voor automatische ACME, want de client kan je niet op een Synology installeren, dus daar zal je het met een omweg moeten doen.

Een m.i. niet erg duidelijke handleiding voor Synology's staat overigens hier: https://community.letsenc...-signing-authority/453/15
Prulleman @MeltedForest13 november 2015 11:41
Die had ik gisteren ook gevonden, heb een tijdje terug ook de bevestiging gehad dat mijn domein op de white list staat voor de beta, sindsdien gezocht naar manuals voor synology, dit is echter wel een handleiding voor je even voor moet gaan zitten (in ieder geval als je niet echt thuis bent in deze materie).

Verre van een 1 minuut easy install :)
onder andere wordt er aangegeven dat je ubuntu moet gebruiken om de commando's uit te voeren.. ik hoop dat dit ook gewoon met de terminal in osx kan, maar dat gaan we zien als ik hier tijd voor heb

Hopelijk maakt iemand een synology package waarmee je dit ook gewoon in 1 klik kan doen :)
Verwijderd @MeltedForest13 november 2015 19:17
Bedankt voor je link.

Kan iemand misschien ook zeggen hoe het werkt als je subdomeins gebruikt?

Bijvoorbeeld: xyz.websitenaam.nl en abc.websitenaam.nl

Op mijn Syno staan deze sites in een andere folder dan Web root.
Dus bijvoorbeeld Web\XYZ en \Web\ABC.
slaapkopje @Verwijderd13 november 2015 22:38
ja dat kan, met de commandline tool kun je met -d meerdere domeinen aanvragen, die komen dan als een lijst in de SAN (subject alternative name) te staan... wildcards worden nog niet ondersteund.
Verwijderd @FiXeR.nl13 november 2015 11:50
Vraagje, hoe zou deze dienst werken in een setup met meerdere web servers, een load balancer, reverse proxy, en dat soort situaties?
FiXeR.nl @Verwijderd13 november 2015 11:55
Niet volledig geautomatiseerd, maar als je dat kan beheren is het aanvragen en installeren van certificaten best goed te doen. De tool genereert dan namelijk een 4-tal keys waar je in de vhost-configs naar kan verwijzen. Dit doe je dan gewoon op alle servers, en het werkt :) . Je kunt namelijk met die tool ook er voor kiezen om alleen te kiezen voor het genereren van keys in plaats van het automatisch installeren in Apache hiervan.
Verwijderd @FiXeR.nl13 november 2015 13:06
Dank, erg interessant.
morphje @Verwijderd13 november 2015 12:41
1 antwoord (of eigenlijk 4) Een fatsoenlijk deployment systeem zoals:
- Ansible
- SaltStack
- Puppet
- Chef
Erulezz 13 november 2015 10:51
Als er nu ook nog een implementatie komt in de bekende controlpanels (DirectAdmin, CPanel, Plesk e.d.) dan zou het voor eindgebruikers helemaal gemakkelijk moeten zijn! Ben hier wel erg benieuwd naar. Heb nu een paar certificaten voor 12,50 p/j maar als het gratis kan is het natuurlijk top :)
.oisyn Moderator Devschuur®
@Erulezz13 november 2015 10:53
Gratis kan natuurlijk sowieso al.
aadje93 @.oisyn13 november 2015 11:00
helaas word startssl niet door alle browsers goed gewaardeerd. Het werkt, maar firefox geeft nog steeds gele meldingen weet ik uit ervaring, een goedkoop (~12/euro pj) van comodo en je krijgt een mooie groene naam :+
MrMonkE @aadje9313 november 2015 11:03
Ligt dit niet een bom onder het hele SSL circus mbt het vertrouwen van certificaten. Als elke Nigeriaanse website plots voorzien kan owrden van geldige SSL certificaten doe door browsers worden vertrouwd?

Ik zou liever zien dat geen een browser het vertrouwd.
Toch?
Wolfensteijn @MrMonkE13 november 2015 11:08
Een standaard SSL certificaat zegt alleen dat de domeinnaam klopt bij het certificaat. Verder worden er geen checks uitgevoerd, of je certificaat nu bij RapidSSL, Comodo, Startssl of Letsencrypt vandaan komt.

Pas bij bedrijfsvalidatie wordt er echt gekeken naar de organisatie die achter de website staat en kan je echt spreken van vertrouwen.

Het doel van Letsencrypt is zorgen dat elke webserer en site op een makkelijke en automatische manier een correct getekend certificaat voor gebruik van HTTPS kan krijgen. Zodat alle verbindingen netjes met encryptie werken.
lvsol @MrMonkE13 november 2015 11:08
Het probleem blijft ook dan nog bestaan: je zet een 'malafide website' op, koopt een certificaat (bij bvb Comodo) en je bent betrouwbaar?
Verwijderd @lvsol13 november 2015 14:00
Nee, de verbinding tussen browser en webserver is betrouwbaar. Dat is wat anders dan dat de aanbieder van de website betrouwbaar is.
aadje93 @MrMonkE13 november 2015 11:08
elke nigeriaanse website kan anders gewoon een certificaat kopen voor zijn domein. Dat veranderd niets aan de zaak. rab0bank.com word dan niet ineens gezien als rabobank.com ;)

die certificaten is eigenlijk de beste business die je kan wensen, grof geld vragen voor iets wat met een zucht en een puf (notabene vol-automatisch) gemaakt word voor een paar watt aan stroom. Ik vind het zelf juist bizar dat hier zo veel geld voor gevraagd word/werd. Nu er meer competitie is kan het ineens voor een tientje per jaar (personal geen wildcard)

Vroeger moest het tientallen euro's kosten waardoor het voor jan met de pet niet te betalen is.
PolarBear @aadje9313 november 2015 11:36
Groene balk certificaten (EV) is echt wel wat meer dan een zucht en een puf.
RedPixel @PolarBear13 november 2015 11:51
Die hebben dan ook iets meer waarde.
eborn @RedPixel13 november 2015 13:14
Waarbij ik me soms afvraag of de gemiddelde consument dat waardeverschil ziet. Als er specifiek op gewezen wordt door een bank misschien. Maar dan nog zullen ze het verschil meestal niet begrijpen (of niet willen begrijpen, omdat het niet hun interesse heeft).
Blokker_1999
@MrMonkE13 november 2015 14:23
SSL vertelt niets over hoe veilig een site is, het toont enkel aan dat de beveiliging tussen uw PC en de server beveiligd is en in het geval van een domain verified certificaat dat het certificaat bij het domein past.
MrMonkE @Blokker_199913 november 2015 16:45
Het is iets meer dan dat voor de verisigns en andere gecertificeerde certificaat uitdelers. Met garanties en controles. Voor zover ik het even snel heb kunnen zien.

[Reactie gewijzigd door MrMonkE op 24 juli 2024 05:30]

MMaster23 @MrMonkE13 november 2015 11:16
Een certificaat zegt alleen iets over de geldigheid van het domein en de encryptie tussen verbindingen. Het zegt echter niks over de betrouwbaarheid van een site.

Je kunt ook mastercardpaymenthandler.com aanmaken, daar een 10 euro cert voor afvragen en gaan met die banaan. Goedkope CA's eisen alleen maar dat je kunt bewijzen dat je technisch controle over het domein hebt (vaak via mail of dns record).

Voor wat meer zekerheid hebben we EV certificaten. Dan moet je niet alleen technisch bewijzen dat de naam van jou is maar ook administratief / legaal. Dit zijn de grote groene balken bij bijvoorbeeld je bank.

Je moet altijd goed kijken naar de naam en de inhoud van het certificaat. Natuurlijk zijn er maar weinig die dit daadwerkelijk doen. Er is maar weinig wat ervoor zorgt dat je abnamr0.nl of íng.nl niet mag registreren.
Tim_bots @MrMonkE13 november 2015 11:25
Het is al eerder gebeurd zie hier:
https://nakedsecurity.sop...s-given-tls-certificates/
thomasv @MrMonkE13 november 2015 11:29
Als zo'n lukrake website een SSL certificaat heeft betekend dat enkel dat de verbinding te vertrouwen is, niet zozeer de site zelf. Je krijgt met zo'n gratis certificaat dan ook niet het groene balkje in je browser zoals je bij banken vaak ziet. Laten zien dat je als site/onderneming te vertrouwen bent kost dus wel wat ;)

offtopic: betekend nog steeds niet dat die banken betrouwbaar zijn uiteraard, om de discussie gelijk maar te beperken tot het topic :P
/offtopic

[Reactie gewijzigd door thomasv op 24 juli 2024 05:30]

RatedR @aadje9313 november 2015 11:06
Kan zelfs voor de helft, gewoon bij Nederlandse aanbieders. GeoTrust certificaat voor <5 EU / jaar. Prima voor de hobbyist, maar gratis via letsencrypt is natuurlijk nóg aantrekkelijker.
trinite_t @aadje9313 november 2015 11:11
Ik heb netjes een groen slotje in firefox, of welke andere browser ook. Nog geen gele meldingen gehad. Misschien gebruik je nog een SHA1 fingerprint?
.oisyn Moderator Devschuur®
@aadje9313 november 2015 11:11
Dan heb je de certificate chain waarschijnlijk niet geïnstalleerd op je webserver, en gaat je browser dus uit van de standaard geïnstalleerde oudere StartCom CA en intermediate die met SHA-1 zijn ondertekend, ipv met SHA-256 zoals in de nieuwe chain.

[Reactie gewijzigd door .oisyn op 24 juli 2024 05:30]

aadje93 @.oisyn13 november 2015 11:19
Hmm, dat is wel stof tot nadenken, ik geef eerlijk toe dat ik een "leek" ben in het software gebeuren, heb een vps (amazon ec2) draaien met daarop de apache webserver, en nu dus een beveiligde website. StartSSL geprobeerd om te kijken hoe en wat, echter gaf alleen firefox de melding, chrome accepteerde het wel gewoon gek genoeg. Toen even contact gehad met mijn hosting partij en die gaf aan voor ~13 euro per jaar een personal SSL certificaatje te kunnen leveren van comodo, dan lig ik daar niet wakker van :+
ASS-Ware @aadje9314 november 2015 14:45
Hmm, dat is wel stof tot nadenken, ik geef eerlijk toe dat ik een "leek" ben in het software gebeuren, heb een vps (amazon ec2) draaien met daarop de apache webserver, en nu dus een beveiligde website. StartSSL geprobeerd om te kijken hoe en wat, echter gaf alleen firefox de melding, chrome accepteerde het wel gewoon gek genoeg. Toen even contact gehad met mijn hosting partij en die gaf aan voor ~13 euro per jaar een personal SSL certificaatje te kunnen leveren van comodo, dan lig ik daar niet wakker van :+
13 euro per jaar voor een Comodo SSL certificaat?
Dat is duur zeg.
Kijk eens bij Xolphin, 1 jaar voor 8 euro, 3 jaar voor 20 euro.
aadje93 @ASS-Ware14 november 2015 14:53
woeh ik bespaar 4 euro per jaar als ik het niet bij mijn hostingpartij doe, wat een winst om meer administratie te creëren....
ASS-Ware @aadje9314 november 2015 15:40
13 - 8 = 5 euro, geen 4.
Maar het betreft hier 5 euro meer dan 8, dat is 62,5% duurder.
Dat vind ik nogal wat, zeker als je een certificaat neemt voor meerdere jaren.
Ik heb voor 5 jaar iets van 60 euro betaald.
Maar iedereen mag boodschappen doen waar hij wil.
Blaise @aadje9313 november 2015 12:16
Firefox valideert certificaten met OCSP (Online Certificate Status Protocol), en bij Startcom duurde het een paar uur voordat OCSP een nieuw certificaat had verwerkt. Ik heb geen enkel probleem met Firefox / Startcom bij twee SSL certificaten die ik daar heb lopen. Beide domeinen hebben een A+ rating van sllabs.com/ssltest.
eborn @aadje9313 november 2015 13:18
Dan heb je denk ik iets niet goed ingesteld, want met mijn StartSSL krijg ik netjes een grijs icoon in Firefox. Wat kan is dat jouw OS (Linux?) het root certificaat niet standaard in de chain heeft staan. Maar op Windows 8 werkt het gewoon zonder problemen.
r2504 @aadje9313 november 2015 13:26
Ik heb hier nochtans geen enkel - ook niet in Firefox - probleem met StartSSL... gebruik het al sinds enkele jaren en het enige probleem was destijds Windows Phone maar dat is ook al enkele jaren in orde.
sjerdo @Erulezz13 november 2015 11:11
Het is al mogelijk om handmatig het domeinbezit te verifiëren door de letsencrypt client te draaien met parameter -a manual. Je hoeft dan enkel een file naar je webroot te uploaden. Ik heb op deze manier zelf al LetsEncrypt SSL certificaten bemachtigd voor meerdere domeinen. :)
kaisersoze 13 november 2015 11:07
Ik gebruik de dienst nu ook al een tijdje in de gesloten beta. Geautomatiseerde installatie werkt nog niet helemaal vlekkeloos op mijn server maar dat komt door een afwijkende configuratie. Ik gebruik VestaCP als control panel voor Apache, nginx, mail en dns maar hierdoor werkt de automatische installatie van de certificaten niet.

Het genereren en verlengen is wel heel eenvoudig. Twee minpunten voor mij zijn nog wel de geldigheidsduur van de certificaten (90 dagen) en het niet ondersteunen van wildcards. Vooral dat eerste punt is lastig. Je moet dan toch elke 90 dagen handmatig certificaten op de juiste plekken kopieren/plakken. Gebruik de Let's Encrypt certificaten ook op mijn Synology. Deze werden in tegenstelling tot de StartSSL certificaten direct geaccepteerd.

edt: Overigens vreemd dat de releasedatum zonder reden verschoven is. Ze hebben tot gister aangegeven dat de open beta 14,15 of 16 november van start zou gaan. Wie overigens zelf nu al wil deelnemen aan de beta kan zich via het volgende formulier aanmelden. Je krijgt nu vaak binnen 1 à 2 dagen toegang: https://docs.google.com/f...wform?edit_requested=true

[Reactie gewijzigd door kaisersoze op 24 juli 2024 05:30]

Verwijderd @kaisersoze13 november 2015 22:06
Precies hetzelfde hier. Je moet een aantal python scripts als root draaien om de certificaten iedere 90 dagen te vernieuwen. Das nog niet zo fijn. Ook draai ik een groot aantal verschillende domeinen (en subdomeinen) op dezelfde machine. De client scripts snappen dit nog niet helemaal. Hopelijk zijn de bugs straks allemaal gefixed maar ik zag binnen de community al dat wildcards nog niet bij de release komen.
CAPSLOCK2000
@Verwijderd15 november 2015 14:49
Je moet een aantal python scripts als root draaien om de certificaten iedere 90 dagen te vernieuwen. Das nog niet zo fijn.
Ik heb de software zelf nog niet gezien maar ik denk dat het niet echt nodig is om alles als root te draaien. Gezien de achtergrond van dit project denk ik dat ze dat ook niet zouden willen. Er zal wel een component moeten zijn met voldoende rechten om certificaten te mogen vervangen en de bijhorende software te vervangen.

Het probleem zit hem er natuurlijk in dat je private keys wel private moeten blijven en je applicaties moet kunnen herstarten.
Zelf los ik dat op met een aparte "ssl" groep en gebruiker. Die gebruiker maakt de private key aan en zorgt dat er een certificaat komt. De applicatie stop ik vervolgens in de groep "ssl" en dan geef ik die groep leesrechten op de private key. Als er applicaties zijn die met aparte keys werken dan maak ik daar ook aparte groepen voor aan.

Let's Encrypt zou ik dan onder de ssl-gebruiker draaien en sudo-rechten geven om draaiende services te herstarten.
Verwijderd @CAPSLOCK200015 november 2015 17:47
Check https://community.letsenc...ly-asked-questions-faq/26
Daar wordt het allemaal uitgelegd.
CAPSLOCK2000
@kaisersoze15 november 2015 14:43
Het genereren en verlengen is wel heel eenvoudig. Twee minpunten voor mij zijn nog wel de geldigheidsduur van de certificaten (90 dagen) en het niet ondersteunen van wildcards. Vooral dat eerste punt is lastig. Je moet dan toch elke 90 dagen handmatig certificaten op de juiste plekken kopieren/plakken.
Je moet het dan ook niet handmatig doen, dat is niet de bedoeling. Dit project werkt vanuit de gedachte dat je dit proces moet automatiseren. Het toch met de hand doen botst met hun visie, dat gaan ze dus echt niet makkelijker maken.
Zo moet je ook het gebrek aan wildcards zien. Op het moment dat je een certificaat nodig hebt met een nieuwe naam dan vraag je maar een extra certificaat aan. Omdat het volledig automatisch kan hoeft dat geen extra moeite op te leveren.
kaisersoze @CAPSLOCK200015 november 2015 19:30
Hi CAPSLOCK2000, ik weet dat dit de visie is en dat waardeer ik ook. Het automatiseren ben ik nog niet aan toegekomen en er zullen vast snel (third-party) tools komen om alles makkelijker te maken. Voor nu heb ik echter nog wel wat handwerk om mijn certificaten overal toe te passen.

Op hetzelfde domein draait bij mij oa. apache, nginx, tvheadend, synology NAS, sickrage, nzbget, couchpotato en meer waarbij niet bij alle paketten het toevoegen van je certifacaten niet altijd even eenvoudig is. Her en der wat symlinken of kopieren werkt wel maar echt helemaal automatiseren gaat toch echt wel even wat werk inzitten.

Die wildcards maken inderdaad niet zoveel uit. Als ze public gaan dan gaan volgens mij ook de limieten er af (nu 10 requests per keer). Maar een wildcard maakt het toch eenvoudiger. Hoe je het ook went of keert.
dutchgio 13 november 2015 11:22
Heb me er ook voor aangemeld, en de uitnodiging ontvangen, maar ik kan er vrij weinig mee.
Bedoeling is om m'n Synology van HTTPS te voorzien middels een certificaat, waar ik dat eerder via StartSSL deed.
Maar je moet blijkbaar op je server bepaalde code draaien om het certificaat te importeren, en dat kan dus niet op een Synology.
Handmatig de benodigde bestanden downloaden en importeren in de Synology lijkt geen optie.
MeltedForest @dutchgio13 november 2015 11:26
Hier is een handleiding, maar ik vind hem zelf niet heel duidelijk: https://community.letsenc...-signing-authority/453/15
dutchgio @MeltedForest13 november 2015 11:33
Niet echt duidelijk uitgelegd nee, vol met spelfouten en wel heel basaal uitgelegd.
Verder heb ik wel een beetje kennis van, maar gebruik ik zelf geen Ubuntu en terminal sessies etc. Gaat dan allemaal wat ver om het werkend te krijgen...

Lijkt me meer werk aan de winkel voor LE om compabiliteit met onder andere Synology toe te voegen door de manier van uitgave van certificaten te veranderen, het liefst zoals gezegd natuurlijk dat die gewoon handmatig te downloaden zijn, dan is importeren op een Synology een koud kunstje.
vSchooten @dutchgio13 november 2015 15:15
je kan hem gewoon laten downloaden, dan plaatst ie de certificaat in de folder waar de console naar wijst.
stefve1 @dutchgio13 november 2015 11:27
Het zou moeten lukken via deze handleiding: https://community.letsencrypt.org/t/synology-nas-using-le-as-a-ca-signing-authority/453/14
SampleUser 13 november 2015 15:13
Hoe wordt bevestigd bij die acme dat jij echt de eigenaar van het domeinnaam bent? Hoe zorgen ze ervoor dat je privé sleutels niet worden afgetapt?
Dit zijn (buiten de goede punten om) de vraagtekens die ik hierbij zet.
ToniW @SampleUser14 november 2015 11:58
Het certificaat aanvraagproces moet je op de webserver zelf draaien op poort 80 of 443. Dat kan dus alleen als jij zelf volledige controle hebt over de machine zelf en die poorten kunt beheren. Nadeel is dan ook direkt dat je de webserver zelf even uit moet zetten en je site dus uit de lucht is. Echt laagdrempelig is dat nou ook weer niet.
williamvdh 13 november 2015 12:39
Je kunt ook een gratis SSL voor een domein+subdomein aanvragen op https://buy.wosign.com/free/ . Deze is geldig voor een jaar. Een paar maanden geleden deden ze nog certificaten die 3 jaar geldig waren voor 100 domeinen, daarvan heb ik er een paar :) Alle browsers die ik heb getest serveren hem zonder doutmelding, en op SSLlabs krijgt hij een A+.
xDiglett 13 november 2015 13:07
Maak al tijden gebruik van Cloudflare zijn ssl, werkt prima.
SampleUser 13 november 2015 11:42
Mocht je een beta certificaat willen testen:
https://h1ll3br4nd.nl
/offtopic
Netjes! Dit zou misschien de laatste genadeklap voor HTTP kunnen zijn...
eheijnen @SampleUser13 november 2015 13:32
Misschien dat Tweakers nu ook op HTTPS overstapt ?
Blokker_1999
@eheijnen13 november 2015 14:25
tweakers heeft al langer certificaten hoor (probeer het maar eens). Er was een tijdje terug een artikel over het waarom het nog niet standaard word gebruikt.
eheijnen @Blokker_199913 november 2015 23:37
Klopt. Certificaat is er alleen is de html-sourcel absoluut geaddresseerd via HTTP en Form POST opdrachten worden ook over HTTP gedraaid

[Reactie gewijzigd door eheijnen op 24 juli 2024 05:30]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq