Amazon gaat tls-certificaten uitgeven

Amazon Web Services heeft zijn Certificate Manager-dienst op AWS geïntroduceerd. Tegelijkertijd heeft Microsoft in een update voor Windows Amazons root-certificaten als 'vertrouwd' aangemerkt. Daarmee is Amazon nu een vertrouwde certificaatautoriteit.

Amazon doet de mededeling op zijn eigen AWS-blog, waarop het ook uitlegt hoe een klant de nieuwe service kan gebruiken bij AWS-apps. Daarmee wordt het installeren van een ssl-certificaat op Amazons eigen platform een stuk eenvoudiger. Hoe Amazon zijn certificaten precies gaat promoten is nog niet duidelijk. Ook is nog niet bekend hoe actief het bedrijf de certificaten op de markt zal brengen.

Medio 2015 deed Amazon al een aanvraag bij Mozilla en het Android Open Source Project om certificaatautoriteit te worden. De certificaten van AWC Certificate Manager of ACM zijn geverifieerd door Amazons certificaatautoriteit en Amazon Trust Services. Ssl/tls-certificaten die via AWS Certificate Manager worden gebruikt, zijn gratis op Amazons Elastic Load Balancers en Amazon CloudFront.

Op dit moment is AWS Certificate Manager beschikbaar in het oosten van de Verenigde Staten, met nieuwe regio's in de planning. Geleidelijk zullen ook andere AWS-diensten gebruik kunnen maken van ACM en later ook andere domeinen. Wanneer dat precies mogelijk zal zijn en of er aan diensten buiten AWS extra kosten zijn verbonden, is niet bekend.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 22-01-2016 15:12
59 • submitter: Rafe

22-01-2016 • 15:12

59 Linkedin

Submitter: Rafe

Lees meer

Amazon schakelt ipv6 in voor S3-opslag Nieuws van 12 augustus 2016
Internetbedrijven willen e-mailbeveiliging via smtp verbeteren Nieuws van 23 maart 2016
Google publiceert tussentijdse kernel-patch voor kritiek lek in Android Nieuws van 19 maart 2016
Alle browsers ondersteunen nu de gratis ssl-certificaten van Let's Encrypt Nieuws van 20 oktober 2015
Dienst voor gratis ssl-certificaten begint 14 september Nieuws van 17 juni 2015
Amazon wil certificaatautoriteit worden Nieuws van 9 juni 2015
Meer producten en artikelen
Netwerk en systeembeheer Amazon

Reacties (59)

-Moderatie-faq
59
58
43
0
0
2
Wijzig sortering
svennd
22 januari 2016 15:35
Waarom niet letsencrypt.org supporten en focussen op hun andere services ? Met gratis valt moeilijk te concurreren denk ik. Hoewel letsencrypt nu nog wat kinderziektes heeft zal het binnenkort gewoon deel uitmaken van iedere stack.
CAPSLOCK2000
@svennd22 januari 2016 15:42
Amazon kan iets extra's bieden boven LetsEncrypt: integratie met AWS. Die integratie moet de klanten overtuigen om hier voor te betalen in plaats van gratis LetsEncrypt certificaten te gebruiken.
In principe zou Amazon zelfs LetsEncrypt als backend kunnen gebruiken.
sumac
@CAPSLOCK200022 januari 2016 16:08
Amazon biedt gratis certificaten aan!
Martin.l
@sumac22 januari 2016 16:22
Dat is maar 12 maanden, daarna niet meer.
aaahaaap
@Martin.l22 januari 2016 17:46
Niet in de geval

Direct uit hun blogpost:
Even better, you can do all of this at no extra cost. SSL/TLS certificates provisioned through AWS Certificate Manager are free!
Wat hier vooral erg prettig aan is dat je niet meer elke x periode (12 maanden meestal) handmatig je certs hoeft te vernieuwen, dat doet de cert manager namelijk automatisch.

Daarnaast biedt dit de mogelijkheid om het aanvragen en koppelen van een cert aan een ELB zo volledig te automatiseren, waardoor je alles wat je uitrolt via AWS zonder uitzondering van een cert kunt voorzien.

[Reactie gewijzigd door aaahaaap op 23 januari 2016 09:40]

ONiel
@aaahaaap22 januari 2016 23:39
Niet hoeven vernieuwen lijkt prettig, maar is dat niet.
Vaak vernieuwen zorgt ervoor dat je certificaten veiliger zijn. Beetje zoals vaak wachtwoord vervangen.
latka
@ONiel22 januari 2016 23:58
In theorie leuk, maar als dat zo zou zijn zou het, om ongeveer even sterk te zijn, betekenen dat je iedere seconde je wachtwoord moet wijzigen: de zoekruimte voor wachtwoorden is een lachertje vergeleken met certificaten en die zijn meestal maar 1 tot 3 jaar geldig. Een ww een dag of 30 tot 60. Totaal scheef dus. Het vervangen na 1 tot 3 jaar van een certificaat is in het directe belang van de uitgevende partij omdat ze er geld voor krijgen.
aaahaaap
@ONiel23 januari 2016 09:41
De certs worden nog steeds vernieuwd, maar de cert manager doet dat volledig automatisch.

Heb t even verduidelijkt in m'n vorige reactie.
mkools24
@sumac22 januari 2016 21:57
Gratis als in: bij een Mac krijg je geheel 'gratis' OSX cadeau?
fl1mpie
@mkools2423 januari 2016 09:16
... Ja? Het is gratis.
xFeverr
@fl1mpie23 januari 2016 12:53
Waarmee hij bedoeld dat het dus in de prijs verwerkt zit...
ImWicked
@CAPSLOCK200022 januari 2016 17:36
Certificaten zijn gratis, maar alleen te gebruiken voor AWS. Kortom een super functie voor bestaande en potentiële nieuwe klanten. Zeker wildcard certificaten zijn erg duur, en ook die zijn gratis bij AWS :)
Dysmael
@ImWicked22 januari 2016 22:20
Wildcard cert kost geen drol. Tenminste, ik vind € 200,- voor een wildcard cert met een geldigheid van 3 jaar niet om over naar huis te schrijven.

[Reactie gewijzigd door Dysmael op 22 januari 2016 22:21]

Soldaatje
@Dysmael22 januari 2016 23:02
Voor een persoonlijke site is dat natuurlijk wel veel geld.
Maar dan is het ook niet zo moeilijk om een gratis gewoon certificaat per domein te regelen.

[Reactie gewijzigd door Soldaatje op 22 januari 2016 23:03]

Anoniem: 80487
@svennd22 januari 2016 15:39
Kinderziektes?
Enige wat ik tot dusver heb gemerkt zijn kunstmatige beperkingen zoals limieten op het aantal certificaten per domein.
Verder werkt LE m.i. uit de kunst.
svennd
@Anoniem: 8048722 januari 2016 16:41
Ondersteuning voor windows, oudere distro's, ... de automatisering. Niks die niet te om zeilen is, maar het is nog iets meer werk dan een "yum install letsencrypt" "service letsencrypt start"
Anoniem: 80487
@svennd22 januari 2016 17:22
Jij hebt een ander idee van wat kinderziektes zijn dan ik. :)
Automatiseren is een kwestie van een cronjob?
Normale certificaten heb je meer werk aan...

Support voor Windows webservers is allicht een dingetje inderdaad.
svennd
@Anoniem: 8048722 januari 2016 19:27
Centos 6 heeft nog wat tips en tricks nodig om vlotjes te werken, met python 2.6; Maar voor de basis gebruiker is het iets moeilijker. Het feit dat ze zelf nog een beta label erop plakken vind ik nog vatbaar voor kinderziektes :) Maar goed horen dat het vlot gaat voor jouw :)
Timo002
@svennd22 januari 2016 17:41
Ik gebruik de letsencrypt extensie op Plesk. Super simpel.

Je gaat naar je domein, klikt op letsencryot, wacht 10 seconden en klaar is Kees. Certificaat wordt automatisch elke maand vernieuwd.
Geldt ook voor subdomeinen!
freaky
@svennd22 januari 2016 17:40
Nu ja, toch wel. letsencrypt levert gratis DV certificaten. OV (met organisatie gegevens in het certificaat) en EV (zelfde + groene adresbalk (meer verificaties)) leveren ze niet.

Prima voor mijn website en de meeste bedrijven, maar voor echte webshops en banken e.d. is DV echt een no-go.
Ventieldopje
@freaky22 januari 2016 18:13
De enige reden hiervoor is omdat het niet te automatiseren is en dus mensen werk blijft om alles te verifiëren. In de toekomst zal hier vast wat voor gevonden worden en barst de strijd los ;)

Toch denk ik dat er altijd betaalde certificaten blijven, het is namelijk min of meer gebakken lucht. Je koopt min of meer vertrouwen :)
freaky
@Ventieldopje22 januari 2016 18:57
Bij EVs is dat een stuk minder waar dan bij DVs. Bij EVs word aanzienlijk veel doorgelicht en daarom zijn ze ook een stuk duurder. Voor de encryptie maakt het allemaal niet uit, het is met name authenticatie waar je voor betaald.
Ventieldopje
@freaky23 januari 2016 02:34
Precies, maar ook dat is juist gebaseerd op vertrouwen. Ik vertrouw een bedrijf als Symantec of Geotrust er op dat ze hun huiswerk goed doen en de boel goed op orde hebben. Vervolgens vertrouwen klanten mij omdat ik zo'n certificaat heb en tevens ook de CA. Ik kan nog een machtig mooi certificaat hebben maar als de CA niet vertrouwd wordt dan begin je niks.

Gebakken lucht is misschien wat zwaar, maar ik bedoel er mee dat je vertrouwen koopt.
mxcreep
@Ventieldopje24 januari 2016 12:29
Yep, als je puur kijkt naar security is een certificaat wat je door je eigen CA laat signen veiliger als een certificaat van een bekende authority, puur omdat je de zekerheid hebt dat niemand anders als jij dat certificaat uitgegeven kan hebben.

De bekende authorities leunen toch enigzins op vertrouwen. Als je daarbij kijkt dat overheden een vinger in de pap hebben en het grote bedrijven met veel mensen zijn waar een rotte appel tussen kan zitten, dat maakt het minder betrouwbaar.

Je ziet toch redelijk vaak dat grotere bedrijven hun eigen interne CA erop na houden om die reden en die via GPO toevoegen aan de certificate store in Windows.

[Reactie gewijzigd door mxcreep op 24 januari 2016 12:29]

roestdatroest
@svennd22 januari 2016 20:49
Letsencrypt vereist rootrechten en vindt het fijn zichzelf automatisch te updaten.

Dat is een massive single point of failure.
svennd
@roestdatroest22 januari 2016 22:44
Er wordt gewerkt aan non-root tool, zichzelf updaten is geen SPOF :? Je krijgt een mailtje van letsencrypt als je certificaat bijna gaat vervallen. Het is aan jouw om te zorgen dat de implementatie van her-certificering niet failt.
roestdatroest
@svennd23 januari 2016 09:03
Niet alleen de certificaat maar ook de clientcode wordt vanuit 1 centrale plek gepushed. Als dit in de handen van hackers valt dan heb je een groot probleem.

Ik heb dus zelf een script geschreven die communiceert met de script(welke draait op een klein hermetisch gehardend vmetje).

Op een bedrijfsnetwerk zou ik het nevernooit gebruiken, te veel risico's en ik denk dat het een fout idee is om certificaatbeheer *te* gemakkelijk te maken. Een gui en een manual zou ook al voldoende geweest zijn voor de meesten.
mxcreep
@svennd24 januari 2016 12:33
Gewoon een simpele api waarmee je de vervaldatum per certificaat kunt ophalen en dan vervolgens een nieuw certificaat kunt laten signen is toch veel handiger. Dan kan ik de rest zelf wel regelen in Ansible of iets in die geest.
ImWicked
@svennd22 januari 2016 17:38
AWS bied dus ook de certificaten gratis aan, zelfs wildcard certificaten. Als ik het goed begrepen heb biedt letsencrypt die niet aan. ACM is dus heel erg fijn voor huidige en nieuwe klanten van AWS.
Milt
@svennd22 januari 2016 17:42
Let's Ecrypt biedt alleen domain validation certificaten aan. Gezien hun klantengroep is het niet ondenkbaar dat Amazon ook organisation en extended validation certificaten wil aanbieden.
glaasjejus
@svennd22 januari 2016 17:47
Letsencrypt heeft allerlei beperkingen die het minder geschikt maken voor grote geautomatiseerde omgevingen.

Amazon zal hun klanten vast ook beperkingen opleggen maar ik kan me voorstellen dat ze die willen laten afhangen van hun eigen systemen en niet van een discussie met letsencrypt.
wbree
@svennd23 januari 2016 09:24
Is letsencrypt ook te gebruiken op ene Windows 2012 R2 Server? En zo nee, wat zijn dan gratis alternatieven.
stijn12
@svennd22 januari 2016 16:08
Is dit iets om te gebruiken op je thuisserver en zo een veilige vpn verbinding te starten met je telefoon?
mar-10
@stijn1222 januari 2016 16:35
Dat is inderdaad een zeer legitieme toepassing voor Let's Encrypt-certificaten. Ik doe het zelf ook met mijn NAS ;)
Blaise
@stijn1223 januari 2016 09:45
Ja. Maar dan zou je ook je eigen root - of self signed certificaat kunnen maken die honderd jaar geldig is, en die gebruiken op je server en installeren op je telefoon.
svennd
@stijn1222 januari 2016 16:42
Waarom zou het niet zijn ? :)
xleeuwx
22 januari 2016 15:20
Ben benieuwd wat het gaat kosten als je geen klant bent bij Amazone
Peetz0r
@xleeuwx22 januari 2016 15:23
Ik denk dat deze certificaten helemaal niet aantrekkelijk zijn als je geen klant bent (ongeacht kosten). Het punt is juist dat dit integreert met alle Amazon tools, zodat je de cents makkelijk kunt toepassen om je Amazon cloud dingen.

Voor al je certs buiten Amazon zou ik sowieso naar Let's Encrypt kijken. Gratis en (ook) extra makkelijk omdat zo'n beetje alles automatisch gaat.

[Reactie gewijzigd door Peetz0r op 22 januari 2016 15:23]

HamuNaptra
@xleeuwx22 januari 2016 15:24
De target is in eerste instantie bestaande klanten die al services afnemen.
Ondertussen is al wel aangekondigd dat de certificaten gratis zijn voor gebruik met hun load balancer en CDN services.

https://aws.amazon.com/bl...ssltls-based-apps-on-aws/
Anoniem: 368883
@xleeuwx22 januari 2016 15:34
Ik denk niet dat dit beschikbaar zal zijn buiten AWS. De bedoeling van ACM is juist om te integeren met bestaande AWS diensten (CloudFront, ELB).

Hoop gewoon dat het snel in de eu-west-1 region beschikbaar is, zodat ik het zelf kan gaan gebruiken :-)
WyriHaximus
@xleeuwx22 januari 2016 15:38
Ze zijn niet te downloaden en alleen maar te gebruiken binnen hun systeem dus je hebt er niks aan als je geen klant bent. Als je wel klant ben zijn ze met 5 klikken in te stellen voor een cloudfront distributie. Wil je gratis certificaten buiten AWS, gebruik dan Let's Encrypt zoals Peetz0r zegt.
MMaster23
22 januari 2016 15:26
"Ssl/tls-certificaten die via AWS Certificate Manager worden gebruikt, zijn gratis op Amazons Elastic Load Balancers en Amazon CloudFront"

Ik vraag me af of dit zomaar mag. Product is gratis wanneer je een dienst afneemt maar wellicht betaald daarbuiten?
Anoniem: 368883
@MMaster2322 januari 2016 15:42
Waarom zou dit niet mogen? ACM is zelfs niet beschikbaar buiten AWS, en Amazon levert al enkele PAAS diensten gratis (CloudFormation, Elastic Beanstalk). Het is een gratis dienst voor bestaande klanten, business as usual dus.
MMaster23
@Anoniem: 36888322 januari 2016 15:48
Als Amazon een voorsprong krijgt door zijn (nieuwe) certificaten business te gratis aan te bieden bij zijn cloud diensten, worden zijn cloud diensten daar voordeliger door (TCO gewijs).

Microsoft geeft geen publieke certificaten weg en verkoopt deze ook niet. Google hetzelfde. Amazon moet zijn certificaten overal goed laten keuren en trusted maken. Je kunt het daardoor zien als een dienst met semi-public interest, immers het loont niet alleen Amazon maar ook het hele internet dat certificaten gebruikt worden.

Mijn vraag blijft dan, mag je dat zomaar combineren?
The Zep Man
@MMaster2322 januari 2016 15:54
Mijn vraag blijft dan, mag je dat zomaar combineren?
En mijn vraag is dezelfde als die van MMaster23: Waarom zou dit niet mogen?

Amazon doet iets anders dan de concurrentie door producten te combineren. Daar is niets mis mee. Het is een vrije markt, en Amazon heeft geen wettelijk erkend monopolie dat de vrije markt verstoord.

[Reactie gewijzigd door The Zep Man op 22 januari 2016 15:55]

Anoniem: 80487
@MMaster2322 januari 2016 15:42
Waarom zou dat niet mogen? Je ziet toch veel vaker dat je x of y gratis krijgt als je z afneemt? Dat heet in vaktermen volgens mij gewoon een "incentive".

[Reactie gewijzigd door Anoniem: 80487 op 22 januari 2016 15:42]

Anoniem: 382732
@Anoniem: 8048722 januari 2016 15:53
Of gewoon onderdeel van de propositie.
webkiller71
22 januari 2016 15:24
https://hexatomium.github.io/2016/01/21/amazon-roots/ meldt dat het nogal dubieus is dat Microsoft het niet expliciet gemeld heeft. Daarnaast hebben ze wel een aanvraag gedaan bij Mozilla en Google, maar die zijn nog niet afgerond.
Blokker_1999
@webkiller7122 januari 2016 15:33
Sowieso moet iemand de eerste zijn om ze op te nemen. En als de NSA echt zelf een vertrouwde CA wil zijn dan hebben ze kansen genoeg om dat te doen. Daar gaan ze echt geen nieuwe CA voor laten opzetten.
Auteurletatcest
@webkiller7122 januari 2016 15:36
Ik las dat artikel ook en het verwees naar verschillende artikelen uit 2014 waar de cia met amazon dingen gedaan zou hebben, ik vond het een beetje stemmingmakerij, vandaar dat ik er uiteindelijk niks mee deed. Maar nu staat het gelukkig toch in de comments :)
Hemera
22 januari 2016 15:27
Dit geeft hun een vrij machtige positie.
Ze bieden nu echt alles aan om te hosten: domain, servers, networking, loadbalancing en dan nu SSL
borft
@Hemera22 januari 2016 15:37
mjah, die hadden ze natuurlijk al. Ze zijn de voorloper op het gebied van cloudcomputing. In feite is een SSL certificaat natuurlijk maar een heel klein schakeltje in de keten. Ook de kosten van een certificaat zijn heel erg weinig vergeleken met de kosten van een compleet platform ;) Het lijkt me vooral heel erg gemakkelijk, omdat het mooi integreert met het hele AWS platform.
Kalief
22 januari 2016 16:18
De certificaten van AWC Certificate Manager of ACM zijn geverifieerd door Amazons certificaatautoriteit en Amazon Trust Services.
He? Amazon verifieert Amazon?
mozoa
@Kalief22 januari 2016 16:55
Ja. Google verifieert ook Google en Microsoft verifieert Bing.

Hetzelfde geldt overigens ook voor andere commerciële Certificate Authorities zoals bijvoorbeeld Symantec, Comodo, IdenTrust of Geotrust.
RoytjeP
22 januari 2016 17:18
Microsoft gebruikt gewoon Symantec certificaten hoor? https://portal.office.com bijv. www.outlook.com
mutley69
22 januari 2016 19:51
Certificaten is een vorm van vertrouwen, vertrouwen wij Amazon, en vele anderen - uhhh. Diginotar is zo'n voorbeeld, dan de turken, en de chinese uitgevers van certificaten - nah - 'k denk er 't mijne over.
Ik ga liever iets meer uitgeven dan bij zo'n <censored> iets van belang af te nemen.
psyBSD
@mutley6922 januari 2016 23:44
Dat maakt helemaal niks uit. Het hele certificaat-stelsel is toch corrupt.

Zolang je zelf netjes met je private key omgaat maakt het niet uit welke van de 600 'lowest bidders' je je certificaat laat ondertekenen. Het is allemaal net zo veilig en het betekend net zo weinig voor de eindgebruiker.
Anoniem: 24417
@psyBSD25 januari 2016 12:52
idd. het certificaatstelsel is een wassen neus, wat mij betreft. waarom zou ik $random_bedrijf meer vertrouwen dan $random_website?

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee