Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 74 reacties
Submitter: lonaowna

De bčta van Let's Encrypt is sinds donderdag voor iedereen beschikbaar. Het is nu tijdens de publieke-bčtaperiode mogelijk om gebruik te maken van Let's Encrypt zonder daarvoor een uitnodiging te hebben.

Let's Encrypt heeft over de afgelopen tijd 26.000 certificaten uitgedeeld tijdens de gelimiteerde bèta-periode. De organisatie zegt tijdens die periode veel belangrijke inzichten verkregen te hebben in hoe de systemen werken. Ook is het proces voor de eindgebruiker nu voldoende bijgeschaafd.

Voordat Let's Encrypt het bèta-label laat vallen, moet er nog meer gebeuren, vooral naar de eindgebruiker toe. Daarbij is automatisering een belangrijke hoeksteen van de strategie, wat inhoudt dat de client op zo veel mogelijk platformen goed moet functioneren. Nu de organisatie de publieke bèta-periode ingaat, zal het aantal gebruikers en daarmee de feedback als het goed is snel toenemen.

Let's Encrypt werd een jaar geleden aangekondigd door EFF met als doel dat websitebeheerders binnen een minuut een certificaat voor een website moeten kunnen installeren. Onder de sponsors bevinden zich Mozilla, Akamai, Cisco, Eff, IdenTrust, Internet Society en Facebook. Die laatste heeft zich pas op 3 december gemeld.

Moderatie-faq Wijzig weergave

Reacties (74)

Voor mensen die een Synology NAS draaien en de Let's Encrypt CA willen gebruiken, check deze link.
Het werkt wel via de handleiding in die link. Het enige jammere is dat je die handelingen elke 90 dagen moet herhalen. De certificaten zijn maar 90 dagen geldig.

Het doel achter LetsEncrypt is de vernieuwing van deze certificaten automatiseren. Dat is helaas op een Synology nog niet mogelijk op dit moment.
Certificaten zijn 3 maanden geldig.
Dat kan je met CRON ondervangen: In order to renew certificates simply call the letsencrypt (or letsencrypt-auto) again, and use the same values when prompted. You can automate it slightly by passing necessary flags on the CLI (see --help all), or even further using the Configuration file. If you’re sure that UI doesn’t prompt for any details you can add the command to crontab (make it less than every 90 days to avoid problems, say every month).

https://letsencrypt.readt...latest/using.html#renewal

[Reactie gewijzigd door ADQ op 3 december 2015 20:08]

Hebben ze gedaan net omdat de aanvraag volledig geautomatiseerd kan worden vanop een server (net zoals het feit dat je geen wildcard kunt krijgen). Door de levensduur kort te houden vervalt een certificaat dat foutief is uitgegeven snel en kan men eventuele misbruikers snel buitensluiten.
Geen wild card ?
*kijkt naar certificaten voor homelab omgevingen die ik heb draaien* , die hebben allemaal een wildcard via lets encrypt zonder enige issue.

misschien hebben ze het nu buiten de beta aangepast maar ik destijds gewoon heerlijk een wildcard aangevraagd en gekregen (vanuit closed beta) :)
Merkwaardig. Ik had begrepen dat wildcard certificaten op dit moment technisch niet eens mogelijk waren omdat ze niet in het ACME protocol ondersteund worden.
Hey, folks, thanks for the input! We're super aware of this feature request. Wildcard support is highly desirable for us, too! However, doing domain validation for wildcard certificates is not currently in the ACME spec because it's a hard problem. We want to get it right in Let's Encrypt, right in the ACME spec, and, currently, we're swamped in work getting Let's Encrypt ramped up for the Public Beta on December 3rd and the General Availability release some time after that.

I've locked this discussion to keep it from spamming and confusing folks. If you'd like to express your support for wildcard certificates, please like the thread on the community site. Thanks, y'all!
bron: https://github.com/letsencrypt/letsencrypt/issues/66
Ok, dat is goed om te horen! Baalde er al van.
Yup. Idee is dat je ze automatisch vervangt, dan is dit geen enkel probleem.
Dit maakt niet uit omdat het idee is dat je de renewals kan automatiseren. :)

Het is ook alleen maar erg vanuit beheersperspectief, want het natuurlijk 'veiliger' om elke 3 maanden een nieuw cert te hebben en dus is het een voordeel.
Benieuwd wanneer:

- er Windows ondersteuning komt
- de certificaten langer dan 3 maanden geldig zijn. Ik koop nu m'n certificaten voor 3 of 5 jaar, das wel zo handig omdat je er dan een hele tijd geen omkijken naar hebt.
Certificaten gaan niet langer worden, ze zeggen zelf dat ze de periode alleen willen verkorten.

Certificaten die lang geldig zijn geven allerlei problemen zoals lange revocation lists, meer tijd om keys te stelen/berekeken, veranderingen in crypto.

Ze mikken ook op automatisering, dat het onderhoud van certificaten gewoon een cronjob is.
- de certificaten langer dan 3 maanden geldig zijn. Ik koop nu m'n certificaten voor 3 of 5 jaar, das wel zo handig omdat je er dan een hele tijd geen omkijken naar hebt.
Na verloop van tijd willen ze de geldigheidsduur juist nog verder terugschroeven: het idee is dat het hele proces van vernieuwen ook automatisch gaat gebeuren zodat je er dan ook juist geen omkijken meer naar hebt. En het heeft als voordeel dat certificaten voor malafide sites voor slechts een beperktere tijd geldig blijven.
Het automatiseren van certificaat renewal valt nog "makkelijk" te automatiseren maar als je ook HPKP en DANE implementeert komt er nog wat meer bij zien. Dan moet je je nginx/apache/.... config ook automatisch laten updaten, DNS RR automatisch wijzigen....
Malafide sites houden zich daar (nog) niet mee bezig maar voor iemand die meer met security bezig is, is het extra werk. Als je een certificaat voor 1 a 2 jaar kan nemen valt dat nog mee, indien je dit om de x maand moet doen kan je beter voor een goedkoop betalend certificaat gaan.
HPKP werkt op basis van de public key, niet op basis van het certificaat. Je kunt, als je dat gebruikt, dus gewoon je keys hergebruiken. Zolang ze niet gecompromitteerd zijn is daar weinig op tegen.

Voor DANE geldt dat je kunt kiezen of het hele cert erin moet of alleen de public key info.
Dan nog moet je er tijd in steken om het in de gaten te houden. Stel dat je cronjob niet meer loopt ofzo of er gaat iets anders mis en je certificaat wordt niet vernieuwd dan heb je een probleem.

En laten we eerlijk zijn wie gaat dit gebruiken? Een SSL certificaat heb je al voor $5 per jaar dus letsencrypt zal vooral door hobbyisten en thuisgebruikers worden gebruikt.

Bovendien mis ik een aantal opties waaronder wildcard certificates en ik vraag me af hoe goed de ondersteuning van het root CA is op bijv. mobiele apparaten. Die dingen zijn vaak nogal beperkt qua ondersteuning.

Dus leuk dat die verlengperiode superkort wordt, maar dit gaat echt niet op high-profile sites gebruikt worden waar hackers constant op de loer liggen om een man in the middle attack uit te voeren ofzo.
Wildcard heb je niet nodig als het gratis is? En de intermediates zijn crossigned: nieuws: Alle browsers ondersteunen nu de gratis ssl-certificaten van Let's Encrypt

Sowieos is het verstandig om de geldigheid van je certificaten te monitoren met nagios, zabbix, https://certificatemonitor.org/ oid :)

[Reactie gewijzigd door Rafe op 3 december 2015 22:57]

Er is een versimpelde windows versie hier te vinden
https://github.com/Lone-Coder/letsencrypt-win-simple

En langer dan 3 maanden gaan ze waarschijnlijk niet doen omdat zoals eerder genoemd certificaten automatisch vervangen moeten vervangen worden.
Ziet er goed uit, nu wachten op apache ondersteuning!
Is dit nu op iedere webserver toepasbaar ? Heb namelijk bij een van de vorige nieuwsberichten bij mijn hoster (antagonist) nagevraagd maar zij gingen dit niet ondersteunen. IS dat wel noodzakelijk of is het ten allen tijde zelf te implementeren ?
Je kunt ook zelf de letsencrypt client draaien om een certificaat aan te vragen en deze zelf instellen in DirectAdmin (Ik ga er iig vanuit dat Antagonist DirectAdmin gebruikt, omdat ik dit terugzie in hun handleidingen). Je kunt de domeinvalidatie handmatig uitvoeren door --manual al argument mee te geven aan de letsencrypt client.

Zelf heb ik een kleine plugin geschreven voor het automatisch aanvragen en ophalen van een certificaat mbv de DirectAdmin api. (de plugin bevat nog niet alle mogelijke 'enhancements' die Lets Encrypt kan doen en kan nog enige fouten bevatten..)

[Reactie gewijzigd door sjerdo op 3 december 2015 20:51]

Bedankt voor ja antwoord (en de plug-in)
Maar ik kan die toch niet zelf op de antagonist directadmin installeren ?
Het is geen plugin voor het DirectAdmin paneel, maar voor de letsencrypt client. Je hoeft dus niets op de antagonist directadmin te installeren.
De plugin draai je dus op een andere server (of eigen pc) en als argumenten geef je de link naar het Directadmin paneel + logingegevens mee. Bij de inloggegevens wordt aangeraden om er een Login Key voor te maken, omdat niet alle permissies nodig zijn.
Antagonist gebruikt inderdaad DirectAdmin. Ik ga eens kijken hoe ik dat zou kunnen doen met een client of met je plugin. Dit soort clients / DA plugins zijn enigszins buiten mijn "comfort-zone" maar altijd interessant om te zien of ik het aan de praat weet te krijgen :)
Ik heb deze thread op DA forums aangemaakt: http://forum.directadmin.com/showthread.php?t=52360

Mij lijkt het mogelijk om dit als een plugin in DirectAdmin zelf mogelijk te maken, dat zou het makkelijkste zijn voor gebruikers.
Eindelijk! :) Ik haal er gelijk een aantal!

Er is helaas nog geen windows of powershell client maar je kan eventuele certificaten met een linux machine (VM) ophalen en ze vervolgens zelf exporteren naar pfx. Die kun je vervolgens weer inlezen in je Windows service (IIS, Exchange e.d.).

[Reactie gewijzigd door chaoscontrol op 3 december 2015 20:00]

Er zijn meerdere clients voor windows beschikbaar, dit is bijv. een Powershell variatie: https://github.com/ebekker/ACMESharp/
en verder is er eerder een windows client genoemd in een reactie.
Waarom niet gewoon een website waar je een .CSR kan posten en meteen een .CER krijgt ?

Ik begrijp die automatiseringsdrang niet echt... zorg dat je een basis hebt en de tools komen wel vanzelf.
https://gethttpsforfree.com/ :)

De 'basis' is er al in de vorm van het ACME-protocol. Er zijn al diverse alternatieve clients geschreven.
Heb je al eens een WHOIS gedaan op dat domein? De WHOIS gegevens zien er zeer onbetrouwbaar uit. Wellicht worden de certificaat gegevens vastgehouden. Wat mogelijk is d.m.v. auditing.

https://who.is/whois/gethttpsforfree.com
Het voordeel van automatiseren is dat je het proces kunt versnellen. Nu is elke paar jaar een certificaat vernieuwen nog mogelijk, als je het elke dag (of zoals nu al: elke 3 maanden) moet doen heb je een probleem. Hoe vaker je een certificaat kunt vernieuwen, hoe eenvoudiger het intrekken ervan is. Zodra je de 'TTL' van een certificaat erg laag hebt, is intrekken niet eens meer nodig, omdat hij vanzelf komt te vervallen.
Omdat je dan niet kan bewijzen dat je het domein ook in beheer hebt. De client van let's encrypt controleert ook eerst of je daadwerkelijk controle hebt over het domein waar je een certificaat voor aanvraagt.
Mooi, nu kan iedereen https gaan doen en, m.i. nog belangrijker, valt een flinke basis weg onder de CAs die nog erger dan inkjetinkt fabrikanten de prijzen voor CAs hoog houden: de validatie van de aanvragen was de afgelopen jaren al flink uitgehold en EV certificaten zijn verzonnen om dat te verhullen.
Iedereen kon al HTTPS doen. Cacert.org??
Letterlijk geen enkele browser of OS vertrouwt de CACert roots dus daar schiet je niks mee op.
Ik vind de prijzen van EV volledig gerechtvaardigd als je je bedenkt wat er aan validatie bij komt kijken. Daarnaast hebben deze ook goede nut wat mij betreft. Een certificaat van lng.nl werkt gewoon, maar een certificaat met de bedrijfsnaam van ING Bank erop wordt al een stuk lastiger ;-) Aan die punten ontleen ik mijn validatie voor zulke websites.
Toen ik in 2001 certificaten aanvroeg werd er voor 200 euro een complete background check gedaan (inclusief KVK en tekenbevoegde). Waarom kost dat nu 700 euro? Inflatie?
Als je een website hebt en je gebruikt Cloudflare (free), dan heb je ook geen certificaat meer nodig. Handig.
Ik neem aan dat je wel een certificaat op je server(s) installeert? Je wil ook de traffic tussen Cloudflare en je servers encrypted over het internet sturen. Anders zie ik het nut niet van Cloudflare's SSL optie.
Cloudflare accepteerd unsigned certificates, bij hun communicatie met de server.
Dus iemand anders kan zonder problemen je server spoofen zonder dat Cloudflare het door heeft?
Ja, maar dat kan bij elke proxy-service. Als er ergens een intermediate wordt gehackt of gespoofd, kan dat altijd.
Dat is natuurlijk compleet anders, dan gaat alle trafic naar cloudflare, en cloudflare gaat het bij jouw op de server afhalen. Als cloudflare dan onder vuur ligt dan heb jij het ook zweten.
Dat is nou juist het mooie van Cloudflare, hun zeggen juist bestand te zijn tegen attacks.

Maar idd, als bedrijf zijnde moet je niet willen dat alle data van je klanten via een externe partij gaat.
In het verleden is cloudflare al enkele keren gevloerd geweest door DDOS ... geen ideaal plan.
Klopt idd. Maar doelde eigenlijk meer op een DDoS attack.

Maar idd een data lek zou even goed denkbaar zijn. Vandaar ook mijn laatste zin.
Kan je hier dan ook EV Certificaten krijgen, of gaat het hier alleen over normale certificaten?
Voor EV certificaten is extra handmatige validatie van de organisatie nodig (is de website van hun, zijn ze wie ze zijn dat ze zeggen, staan ze ingeschreven bij de KvK, klopt hun adres, etc). Hiervoor zijn mensen nodig en die kosten geld. Dat is hiermee dus helaas niet mogelijk.
Thx, dat vermoeden had ik al. Leek mij al zo leuk, een organisatie die eindelijk EV certificaten gaat uitdelen voor een normale prijs. Maar nee helaas...

Delen ze trouwens wel wildcards uit?
Je hebt geen wildcards meer nodig met de manier waarop ze het opgezet hebben. Middels een enkele command in je CLI wordt een certificaat aangevraagd, voor je domein of subdomein, of vernieuwd. Voeg die command aan je crontab toe om elke maand te renewen en je bent klaar. ;)

Logisch dat ze geen EV ceriticaten doen. Die hebben een heel ander doel dan deze certificaten. Het verschil is dat deze certificaten bedoelt zijn voor het beveiligen (middels SSL/TSL encryptie) van het verkeer tussen de website en de bezoeker. Voor identificatie (waar je niet alleen beveiligd wil zijn, maar ook zeker wilt weten dat je met de juiste server praat) is een EV certificaat juist nodig. Hier zit ook een heel verzekeringsachtig idee achter, waardoor deze duurder zijn maar ook meer garanties bieden.
Dat blijft irritant voor SaaS systemen waar mensen hun eigen subdomein kunnen aanmaken. Je moet dan opeens allerlei systeemrechten hebben om een certificaat aan te maken en te installeren wanneer een gebruiker zich aanmeldt.

Nou ja, dan hebben andere CA's nog steeds hun bestaansrecht, zo kan je het ook zien :P
Mwah, dat valt nog best wel te automatiseren :) mag niet heel lastig zijn om bij het aanmaken van een nieuwe instance automatisch ook de ./letsencrypt aan te roepen met in de juiste waardes? :) Betekend inderdaad wel dat dit op een hoger niveau dan dat van de gebruikers eerst ingesteld moet worden door de beheerder / software.

Maar het is wat je zegt, het is nou ook weer niet alsof wildcard domeinen een kapitaal kosten..
Ik had al van de beta gebruik gemaakt, ongeveer 6 weken geleden. Toen vond ik het proces nogal omslachtig, hopelijk gaat dat automatiseren nog verbeteren.

Het idee is natuurlijk super :)
Is nu alweer een stuk beter geworden vergeleken met de closed beta ! :) Op Github zijn er al leuke dingen te zien zoals dit project en de CLI-tool is al een stuk dichter bij het idee van '1 command' dan toen ze met de closed beta begonnen *D

Zie ook https://letsencrypt.org/howitworks/ of de screenshots in het artikel.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True