Let&#039;s Encrypt heeft miljoen gratis ssl-certificaten uitgegeven

@Qunix • 8 maart 2016 19:20

Yes ik gebruik het ook, op dezelfde manier als iRicardo, standalone.

Ik heb heel veel aandacht besteed aan security en dus ook een 4096 bits cert laten bouwen door --rsa-key-size 4096 mee te geven.

https://www.ssllabs.com/ssltest/analyze.html?d=tomwiggers.nl

Ik had overal de perfecte score kunnen halen, dan moet ik TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 uitzetten, maar dat vinden o.a. Chrome en Firefox niet leuk, die doen het dan niet meer.
Als je graag de config wil zien hoe dit beveiligd is, stuur ff een PM, no problem.

Verwijderd @keranoz • 8 maart 2016 20:48

Dit is al *heel* lang een opgelost probleem, veel beter dan dit via PM oplossen.

https://mozilla.github.io...tls/ssl-config-generator/

@Verwijderd • 8 maart 2016 21:10

Doe dit niet alles. Zoals OCSP stapling. En deze cipher suite die jij linkt is zelfs iets minder veilig omdat die veel meer AES128 ciphers toestaat dan nodig is. Plus is dit een veel kortere notatie:

ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!DHE-RSA-AES128-GCM-SHA256';

Verwijderd @keranoz • 8 maart 2016 22:05

OCSP stapling is ook aan op tomwiggers.nl volgens ssllabs?

Verder vertrouw ik op Mozilla wat dat betreft, deze configurator wordt op veel plaatsen aangeraden en dit is en blijft altijd een subtiel onderwerp, zelf pielen in de cipherlist is alleen voor echte experts aan te raden. Misschien ben je dat, maar dit ook aanraden aan anderen is wat onderverstandig zonder uitgebreide referenties

En wat nodig is hangt af van welke browsers je wilt ondersteunen, ik zie in de scan van jouw domain dat er veel clients niet meer kunnen connecten, iets dat niet altijd haalbaar is. Met de Samsung Galaxy S3 telefoon kan je bijvoorbeeld jouw site niet bezoeken over HTTPS.

En "minder veilig" bij AES128 is ook wel wat paniekerig, dat is wel erg in de marge, dan zit je al ver weg van de zwakste schakel

Wat mij betreft zit de afweging hier: zoveel mogelijk clients via HTTPS laten werken zonder onveilig te worden. Als je zoveel clients al bij voorbaad uitsluit van HTTPS worden ze gedwongen HTTP te gebruiken of niet te werken. Dat is toch jammer.

@Verwijderd • 9 maart 2016 06:46

Niet te werken in mijn geval.

Ik geef toe, ja het is een beetje paniekerig en nee expert ben ik niet. Maar die ssllabs.com website laat heel mooi zien wat wel en wat niet veilig is. Dan is de keus aan jou om het veiliger proberen te maken of niet. Ik kies ervoor om dit wel te doen. Mensen met oudere telefoons/systemen hebben maar pech dan. Dit is tenminste hoe ik er nu tegen aan kijk. Het kan maar zo zijn dat ik het weer verander naar een wat toegankelijker configuratie.

Edit: en yes OCSP is aan, is een kwestie van een paar korte regels toevoegen aan de config en klaar.

Edit2: ziet net dat als je "modern" aantikt in de mozilla configurator er dan wel OCSP Stapling bij staat.

[Reactie gewijzigd door keranoz op 22 juli 2024 18:00]

jeroendevries @keranoz • 8 maart 2016 22:31

Ook met 2048 bits cert netjes een A+ rating..

https://www.ssllabs.com/s....html?d=cloud.devries.red

O ja tip. Wanneer je LetsenCrypt installeerd en je zit achter cloudflare, ff 2 tellen CF 'uitzetten' anders krijg je niet out off the box een werkend certificate tijdens de installer.

[Reactie gewijzigd door jeroendevries op 22 juli 2024 18:00]

@jeroendevries • 9 maart 2016 06:50

A+ krijg je wel ja. Maar ik bedoelde de maximale score daar. Het is een beetje paranoid, maar een 4096 bits cert geeft je net dat laatste beetje om 100% te halen.

slijkie @keranoz • 9 maart 2016 00:16

Ziet er goed uit.

Enige wat ik mis bij Let's Encrypt is Extended Validation. Vind ik persoonlijk erg belangrijk dat mijn klanten weten dat mijn firma uitgebreid gevalideerd is. Maar buiten dat om zal ik Let's encrypt zeker meer gaan gebruiken voor mijn andere domeinen.

edit: typo

[Reactie gewijzigd door slijkie op 22 juli 2024 18:00]

upzidedown 8 maart 2016 18:51

@slijkie • 9 maart 2016 08:31

Tja extended validation staat voorlopig niet op de planning zie ik staan op de FAQ:

https://community.letsenc...ly-asked-questions-faq/26

freaky @slijkie • 9 maart 2016 13:02

EV en gratis zal niet echt samen gaan...

slijkie @freaky • 9 maart 2016 17:57

Klopt, misschien dat ze gewoon gratis doen, en EV kleine kosten. Dat heb je de optie. Maar zoals ik al aangaf. Zal ik LetsEncrypt wel voor mijn wat persoonlijkere domeinen gaan gebruiken.

Antrax @Qunix • 8 maart 2016 19:15

Ja, ik gebruik het op deze manier. Ik poep gewoon certificaten uit d.m.v. de standalone methode in LE omdat ik ook mailservers ermee beveilig. In Nginx geef ik gewoon het pad naar de live certificaten weer en ik heb een cronjob lopen die de certificaten automatisch vernieuwd mocht dat nodig zijn. Mocht je willen weten hoe de encryptie is, zie hier resultaten.

mkools24 @Antrax • 8 maart 2016 19:58

Yep zo doe ik het ook, erg handig als je nginx op freebsd gebruikt en ook certificaten gebruikt voor sendmail tls.

freaky @Antrax • 10 maart 2016 00:09

De encryptie is veel afhankelijker van je SSL instellingen dan van het certificaat. Het certificaat is alleen een keypair, een subject en issuer, wat waardes waar het certificaat voor gebruikt mag worden, een handtekening (en ja, SHA-1 handtekening kost je punten - maar die levert niemand meer tenzij je er expliciet om vraagt) en dan houdt het ver op.

Ook jij kan met deze certificaten gewoon SSLv2 aanzetten, of SSLv3 i.c.m. erg brakke ciphers en/of andere slechte combinaties en gewoon een dikke F halen met deze certificaten.

En je sluit redelijk wat nog wel redelijk in gebruik zijnde clients uit door alleen TLS1.2 te ondersteunen. Niet echt geschikt voor een webshop ofzo met de huidige instellingen imho.

svennd @Qunix • 8 maart 2016 20:28

lets encrypt implementeert het ACME protocol, je kunt in elke omgeving nu een certificaat aanvragen. (windows, linux, php, python, perl, c#, ...)

xandervr @Qunix • 9 maart 2016 00:53

Ik gebruik momenteel nginx in combinatie met Let's Encrypt. Ben er heel tevreden van.

VHware @Qunix • 8 maart 2016 19:39

https://www.digitalocean....s-encrypt-on-ubuntu-14-04

svenslootweg @Qunix • 9 maart 2016 15:45

Het is ook een mogelijkheid om iets als Caddy te gebruiken - die regelt het hele Let's Encrypt gebeuren standaard en automatisch, direct vanuit de HTTPd.

Goed initiatief, werkt erg goed!
Ik hoop alleen dat er binnenkort wildcard support komt.....

@upzidedown • 8 maart 2016 19:26

Volgens https://community.letsenc...its-for-lets-encrypt/6769 mag je momenteel tot 100 namen in één certificaat stoppen. Een wildcard-cert is iets makkelijker, maar dit biedt toch mogelijkheden.

upzidedown @Yggdrasil • 8 maart 2016 19:40

Bedankt! Dat is een mooie workaround.
Maar het zou inderdaad makkelijker zijn als ze wildcard support zouden bieden.
Wel erg jammer dat het nog niet op de planning staat.

freaky @upzidedown • 10 maart 2016 00:12

Komt waarschijnlijk ook niet op de planning. Ze zijn meer van automatisch renewen en meerdere key pairs. Dat is veiliger namelijk. Daarom doen ze ook aan korte levensduur, iedere 3 maanden nieuwe key pairs.

Staat tevens gewoon in de handleiding.

tom.cx @Yggdrasil • 8 maart 2016 20:08

Dat is wel interessant. Ik dacht namelijk dat ze helemaal geen support voor meerdere 'subdomeinen' had.

vanaalten @upzidedown • 8 maart 2016 19:01

Dat dacht ik eerst ook, maar recent kwam ik er achter dat Apache probleemloos met meerdere certificaten via 1-IP-adres virtual hosts kan werken. Dus, vier HTTPS domeinen, elk hun eigen certificaat - zonder problemen.

ComputerHoed 8 maart 2016 18:45

Ssl certificaat
Ssl

@vanaalten • 8 maart 2016 19:25

De techniek heet Server Name Indication (SNI) en wordt door alle moderne webservers en browser ondersteunt. IE6 was de laatste grote browser die het niet kon. Nu XP+IE6 niet meer ondersteund wordt is er geen goede reden meer om het niet te gebruiken.

Er is nog een andere oplossing: IPv6. IPv6 heeft zoveel adresruimte dat het geen enkel probleem is om iedere website z'n eigen IP-adres(sen) te geven. Dan hebben we weer de hele simpele situatie van vroeger: één website en één SSL-certificaat per IP-adres. Geen gedoe meer met VirtualHosts of SNI maar alles lekker simpel zoals het oorspronkelijk ontworpen is. We moeten alleen even de hele wereld op IPv6 over zetten

bbob @vanaalten • 8 maart 2016 19:58

Ik werk met directadmin en domain pointer voor magetno website.
Daar is sni dan helaas niet mogelijk heb ik me laten vertellen met meerdere certificaten.
Maar als ikl dus meerdere domeinen kan gebruiken is dat mooi meegenomen en lost het probleem van de domain pointers schijnbaar op.

Dutch2007 @bbob • 8 maart 2016 20:51

een certificaat wordt door de webserver afgehandeld, zelfs als je maar 1 certificaat via het control panel kan hosten, door gewoon alle "random" sites aan het certificaat toe te voegen welke op die specifieke server worden gehost, kan je bijv. niginx naar 1 certificaat laten linken.

Gameboy @bbob • 10 maart 2016 07:59

Je haalt denk ik dingen door elkaar

SNI betekent niets meer dan dat je browser voor de SSL onderhandeling al doorgeeft welke domeinnaam er daarna opgevraagd gaat worden, zodat de webserver weet welk SSL Certificaat er geserveerd moet worden indien er meerdere virtualhosts op 1 IP adres luisteren.

Waar jij op doelt, is dat je per virtualhost slechts 1 SSL Certificaat kunt hebben. Dat is geen beperking van DirectAdmin, maar van Apache/nginx. Daar is niets aan veranderd met SNI.

Je kunt dus per domein slechts 1 Certificaat hebben, een pointer is eigenlijk een ServerAlias, waardoor dat alias-domein in dezelfde virtualhost staaat als het hoofddomein en daarom kan er niet nog een extra SSL Certificaat worden geinstalleerd voor dat alias-domain.

Daar is overigens in DirectAdmin prima omheen te werken door het extra alias-domain niet als pointer/alias onder het hoofddomein te knopen, maar als separaat, volwaardig domein. Daarmee krijgt dat domein een eigen virtualhost, en daar kun je een eigen Certificaat voor dat domein op plaatsen.

Vervolgens ga je als 'admin' naar de "Custom HTTPD Configuations" (mits je toegang hebt tot het admin-level, anders je webhoster even vragen) en geef je een custom DocumentRoot op, dezelfde als waar je Magento installatie in staat, dus de documentroot van je hoofddomein:

http://help.directadmin.com/item.php?id=3

Tadaaaa.

Qunix @upzidedown • 8 maart 2016 19:07

Niet binnenkort...

Will Let’s Encrypt issue wildcard certificates?
We currently have no plans to do so, but it is a possibility in the future. Hopefully wildcards aren’t necessary for the vast majority of our potential subscribers because it should be easy to get and manage certificates for all subdomains.

Tevens is een alternatief het 'gratis' flexibele SSL certificaat van CloudFlare.
https://www.cloudflare.com/ssl/

Ssl certificaat
Ssl

@ComputerHoed • 8 maart 2016 19:20

Ik wil de bijdrage van CloudFlare niet kleineren maar "gratis" SSL voor klanten is iets wat meer partijen aanbieden. Veel webhosters geven bijvoorbeeld een "gratis" certificaat als je een domein + hosting afneemt.
Er zijn zelfs verschillende andere aanbieders die min of meer gratis SSL-certificaten verstrekken zoals StartSSL Free.

De combinatie "echt gratis" en "volledig automatisch" hebben we echter nog niet eerder gezien.

Merethil @CAPSLOCK2000 • 8 maart 2016 20:52

Cloudflare free is anders gewoon "echt gratis" en komt met DynDNS diensten, analytics, page rules, firewalls en nog veel meer extra's die best handig kunnen zijn.

Enige wat ze van je vragen is je inschrijven, maar het "free" abonnement levert al erg veel leuke en handige dingen die anders gewoon sowieso geld gaan kosten.

Verwijderd @CAPSLOCK2000 • 8 maart 2016 20:57

Issue met StartSSL is dat ze geld willen als je wilt revoken. Dat is een heel slecht idee voor de promotie van een veilig Internet.

En ook: https://pierrekim.github....because-of-qihoo-360.html

Niemand_Anders @CAPSLOCK2000 • 9 maart 2016 00:01

Ik ben er nog steeds huiverig voor om op productie servers SSL certificaten te vervangen.

Wij gebruiken LE certificaten alleen voor development en acceptatie servers. Op de meeste productie servers van ons, zou LE ook niet werken omdat veel van onze klanten EV-SSL certificaten vereisen en dat vereist altijd een handmatige controle door de uitgevende partij..

etienno @ComputerHoed • 8 maart 2016 19:29

Oh wauw, die "Flexible SSL"-dienst lijkt mij niet helemaal de bedoeling. Je geeft de gebruikers de indruk dat ze van een beveiligde verbinding gebruik maken, wat niet bepaald het geval is. Puur schijnveiligheid.

Als er iemand tussen de "Cloudflare" en de "Origin" zit, kan die een simpele man-in-the-middle attack uitvoeren.

[Reactie gewijzigd door etienno op 22 juli 2024 18:00]

svennd @etienno • 8 maart 2016 20:31

Zo simpel is het niet, tussen cloudflare en origin kan je ook een ssl eisen. Dat kan zelfs met self-signed, maar let's encrypt geeft je de mogelijkheid om een geldig certificaat te geven, om bijvoorbeeld je mail server ook mee te tunnnelen.

etienno @svennd • 8 maart 2016 20:59

Klopt, dat kán. Dan spreek je over de "Full SSL" van Cloudflare. Daar is in principe niets mis mee. Ik heb het echter over de "Flexible SSL”.

Uit het linkje van ComputerHoed:

Flexible SSL:
There is an encrypted connection between your site visitors and CloudFlare, but not from CloudFlare to your server.
You do not need an SSL certificate on your server.
Visitors will see the SSL lock icon in their browser.
Full SSL:
Encrypts the connection between your site visitors and CloudFlare, and from CloudFlare to your server.
You will need to have an SSL certificate on your server. However, CloudFlare will not attempt to validate the certificate (certificates may be self-signed).
Visitors will see the SSL lock icon in their browser.

Ofwel bij de "Flexible SSL" verloopt er gewoon HTTP-verkeer tussen Cloudflare en de origin. De eindgebruiker denkt een HTTPS connectie te hebben, wat echter niet end-to-end het geval is. Dat maakt het simpelweg compleet onveilig en doet afbreuk aan het concept van HTTPS. Ik vind het raar dat de pagina van Cloudflare daar geen enkele notie van maakt..

[Reactie gewijzigd door etienno op 22 juli 2024 18:00]

Thomzh @etienno • 9 maart 2016 00:36

Niet compleet natuurlijk. Het feit dat je MITM tussen user en cloudflare al uitsluit is een goed begin voor veel cases.

Nu Let's Encrypt "Full SSL" aanbiedt voor niks is dat natuurlijk de winnaar.

Verwijderd @svennd • 8 maart 2016 21:00

Maar hoe helpt dit tegen CloudFlare als MITM?

Ik zou je ook sterk aaraden https://trac.torproject.org/projects/tor/ticket/18361 te lezen als je CloudFlare gebruikt of wilt gaan gebruiken. Niet alleen vanwege het de facto blokkeren van Tor users door CloudFlare.

Merethil @ComputerHoed • 8 maart 2016 18:54

Full SSL kan je ook prima regelen door een self-signed ssl-certificaat op je server aan te maken die gewoon duizend jaar geldig is

Heb zelf voor 't gemak het voor nu zo opgezet: op deze manier is alle verbinding naar Cloudflare volledig met een signed SSL-certificaat beveiligd, en tussen cloudflare en mijn eigen server draait dan een selfsigned zonder dat mensen een "onveilig" melding krijgen.

Misschien niet de meest geweldige oplossing, maar voor een persoonlijke website.... Binnenkort ga ik wel over naar een SSL cert van LE, maar voor nu doet 't gewoon wat het moet doen

svenslootweg @ComputerHoed • 9 maart 2016 15:49

Nou, niet echt - CloudFlare's TLS is geen volwaardige TLS. Of je nu als site-beheerder TLS tussen CloudFlare en je eigen server instelt of niet, dat is door je gebruikers niet te controleren, en hoe dan ook zit CloudFlare er altijd tussen als MITM-partij.

Ik vind het eerlijk gezegd nogal zorgwekkend dat CloudFlare dit zomaar kan doen. Ze zijn momenteel een zeer interessant aftap-punt, hun dienst is bij lange na niet meer zo nuttig als dat die ooit was (door het ontstaan van alternatieve opties), en het is niet mogelijk om welke dienst van hen dan ook te gebruiken zonder MITM.

Ik zou vandaag de dag eerlijk gezegd ver uit de buurt van CloudFlare blijven.

TVH7 8 maart 2016 18:51

Ik zie alleen niet het voordeel van Lets Encrypt vs StartSSL iemand een idee?

Verwijderd @TVH7 • 8 maart 2016 18:53

StartSSL sluit commercieel gebruik volgens mij uit.
Bovendien vond ik hun website maar een gedoe. LE was redelijk pijnloos om aan de gang te krijgen. Ondanks de beta stempel.

@TVH7 • 8 maart 2016 19:13

Het belangrijkste voordeel is volgens mij dat Let's Encrypt actief meewerkt aan het automatiseren van het proces van aanvragen, installeren en vernieuwen, door het maken van open-source tools een een open API. Installatie en beheer is immers de grootste hindernis voor veel mensen, en niet de prijs.

Verwijderd @TVH7 • 8 maart 2016 22:36

Let's Encrypt kun je veelal geautomatiseerd laten uitvoeren, bij StartSSL kan dit niet. Bij Let's Encrypt is het uitgeven/vernieuwen van een certificaat in principe direct. Bij StartSSL is geregeld nog een controle door medewerkers van StartSSL en zul je moeten afwachten.

WeaZuL @TVH7 • 9 maart 2016 01:31

Exact wat men hierboven aangeeft, plus dat de beschikbaarheid/responsiveness van de webapplicatie van StartSSL wel eens te wensen over liet in veel van mijn aanvragen. LE daarentegen heb ik tot op heden nog geen problemen mee gehad!
Begrijp mij niet verkeerd, ik juig het initiatief van gratis certificaten alleen maar toe van zowel StartSSL als van LE. $_/-\o_$

svenslootweg @TVH7 • 9 maart 2016 15:51

1. StartSSL is niet automatiseerbaar.
2. StartSSL heeft behoorlijk strikte regels over wat je er wel en niet mee mag doen.
3. StartSSL rekent geld voor het herroepen van gratis(!) certificaten, wat het dus niet echt gratis maakt - de mogelijkheid dit te doen is immers een fundamenteel onderdeel van het beveiligingsmodel van TLS.

Zie ook hier.

Q-collective

8 maart 2016 18:48

Helemaal geweldig initiatief. Even knutselen hoe je bij SSL Labs op een A+ score komt, maar dan is het ook klaar. Elke drie maanden krijg ik nu, geheel automatisch, een nieuw certificaat

Trommelrem @Q-collective • 8 maart 2016 18:51

Met een A+ score is je website niet vanaf Windows Vista bereikbaar. Vista ondersteunt geen TLS 1.1 en 1.2 en wordt helaas nog wel supported.

Jerie

@Trommelrem • 8 maart 2016 19:06

Nou en? TLS 1.1 is niet veilig. We ondersteunen Linux versies toch ook niet voor 10 jaar? Een OS van 10 jaar oud blijven ondersteunen opent de deur naar downplay attacks. Dan gebruik je maar een VM op Vista, je upgrade naar 7 of een ander recent OS, of je gebruikt een proxy die SSL stript.

@Jerie • 8 maart 2016 19:30

TLS 1.1 is niet veilig? Bedoel je niet iets anders?

Jerie

@Yggdrasil • 8 maart 2016 20:40

Nee

Rafe @Jerie • 9 maart 2016 08:47

Je link noemt geen onvolkomenheden in TLS 1.1. Zelfs 1.0 is okay mits je je webserver juist instelt. Nieuwere versies halen die bekende zwakheden er uit zodat de kans op fouten minder is.

Verder heb je helaas ook 'moderne' embedded hardware, ondersteund en wel vanuit de fabrikant, die niet de latest & greatest encryptie aankan. Een waar ik dagelijks mee te maken heb kwam pas eind afgelopen jaar met ondersteuning voor SHA2-certificaten.

[Reactie gewijzigd door Rafe op 22 juli 2024 18:00]

Verwijderd @Trommelrem • 8 maart 2016 19:00

Hogere SSL scores gaan per definitie gepaard met het laten vallen van zeker compatibiliteit omdat die score voor het belangrijkste deel gebaseerd wordt op de protocollen die je server accepteert.
Je moet uiteraard voor jezelf nagaan of je waarde hecht aan het dichthameren van je certificatenbeleid of bereikbaarheid van je website voor een kleine groep users.
Ik denk dat de meeste Tweakers die LE gebruiken ter vervanging voor self signed / snake oil achtige certificaten dat klakkeloos kunnen doen.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:00]

Ssl certificaat
Ssl

@Verwijderd • 8 maart 2016 19:40

Hogere SSL scores gaan per definitie gepaard met het laten vallen van zeker compatibiliteit omdat die score voor het belangrijkste deel gebaseerd wordt op de protocollen die je server accepteert.

Tot op zeker hoogte is dat waar maar in praktijk valt het eigenlijk best wel mee. De enige echte problemen zijn IE6 en Android2. Die systemen zijn al zo oud en lek dat je er toch niet veilig mee kan communiceren. De meeste webdesigners houden al lang geen rekening meer met die browsers dus het verlies valt wel mee.
Als IE6 en Android2 laat vallen is het goed te doen om een A+ te halen.

Natuurlijk zijn er nog wel veel meer browsers, applicaties en andere systemen die problematisch zijn maar daar hebben de meeste websites niks mee te maken. Als je een state-of-the-art website hebt met HTML5, JavaScript, video en de hele rim-ram dan mag je er best van uit gaan dat je gebruikers ook wel met een moderne SSL-configuratie overweg kunnen.

Niemand_Anders @CAPSLOCK2000 • 9 maart 2016 00:18

Waarom ga jij er vanuit dat iedereen een start-of-the-art HTML5 website heeft draaien?

Een aantal van onze klanten richt zich op minima. Die hebben vaak nog oude langzame computer staan met XP of Vista.. Dit zijn websites welke ook gewoon nog in lynx werken.. Via IE6 komen nog dagelijks nieuwe aanvragen en orders binnen goed voor gemiddeld zo'n 750 euro per dag! Dat is een omzet van ongeveer twee ton per jaar. En ja de designers waarmee we werken worden helemaal gek, want de skills uit het Netscape/IE tijdperk zijn de meeste allang weer vergeten.. En hun website ziet er in elke browser hetzelfde uit ongeacht of de browser uit 2001 komt of 2016, mobiel of desktop..

Ironisch genoeg hebben diezelfde minima vaak wel de laatste Samsung/iPhone..

418O2 @Niemand_Anders • 9 maart 2016 04:21

Die Samsung of iPhone is toch gratis?!

Als je voor 20 euro extra per maand bij een jarig abo een simpel pctje bij je internet abo zou krijgen, zouden die minima er ook op in gaan vermoed ik.

Ssl certificaat
Ssl

@Niemand_Anders • 9 maart 2016 14:57

Waarom ga jij er vanuit dat iedereen een start-of-the-art HTML5 website heeft draaien?

Dat zeg ik niet, ik zeg dat als je zo'n website hebt dat er dan geen excuus is om wel een oude SSL-config aan te bieden.

Een aantal van onze klanten richt zich op minima.

Dat zijn uitzonderingen, niet de de norm.

Die hebben vaak nog oude langzame computer staan met XP of Vista.. Dit zijn websites welke ook gewoon nog in lynx werken.. Via IE6 komen nog dagelijks nieuwe aanvragen en orders binnen goed voor gemiddeld zo'n 750 euro per dag!

Je verdient dus eigenlijk geld door mensen te vragen om hun betaalgegevens bloot te stellen aan de gevaren van internet. Niet alleen zij die echt zo'n oude computer hebben maar ook de rest want die zijn nu kwestbaar voor een downgrade-attack.

Dat is een omzet van ongeveer twee ton per jaar. En ja de designers waarmee we werken worden helemaal gek, want de skills uit het Netscape/IE tijdperk zijn de meeste allang weer vergeten.. En hun website ziet er in elke browser hetzelfde uit ongeacht of de browser uit 2001 komt of 2016, mobiel of desktop..

Ironisch genoeg hebben diezelfde minima vaak wel de laatste Samsung/iPhone..

In dat geval bezoeken ze je website wel via hun telefoon, daarmee is idereen beter af.

Ik wil niet te makkelijk voorbij gaan aan het feit dat niet iedereen zich een moderne computer kan veroorloven, maar zelfs op XP kun je veilig browsen mits je een modernere browser dan IE6 gebruikt, zelfs Lynx kan het.
Het komt er dus op neer dat je opdrachtgevers geen enkele verkoop willen missen, ongeacht de risico's voor andere klanten.

Ongetwijfeld zijn er situaties waarin het echt niet anders kan maar die zijn niet van toepassing op de meeste websites.

Niemand_Anders @CAPSLOCK2000 • 10 maart 2016 21:49

Mensen met schulden hebben vaak een groot gevoel van schaamte en durven niet zomaar een schuld sanerings kantoor binnen te stappen. Een eerste stap via internet met daarna vaak een telefoon gesprek is veel laagdrempeliger.

Hoe vroeger mensen (met kleine) schulden in een hulptraject belanden, hoe sneller ze ook weer uit de problemen zijn. Je website onbereikbaar mensen voor mensen welke geen geld hebben voor een nieuwe pc (of gewoon niet weten dat er wat beters is) is dan geen goed idee. Duidelijk is in elk geval dat dit schuldhulp kantoor meer aanvrager binnen krijgt via Windows XP, dan Windows Vista, 8 en 10 bij elkaar. Via Windows 7 worden de meeste aanvragen gedaan. Maar dit is maar zo'n 10-15% meer dan via Windows XP..

Wat is zeg is dat dit kantoor weet wat hun doelgroep is en de beperkingen op computer gebied. Vroeger was er een pilot waarbij simpele tablets werden uitgedeeld, maar dat is gestopt sinds de overheid steeds meer taken bij de gemeente legt in plaats van centraal te regelen. De problematiek is een beetje vergelijkbaar met het PGB dossier. Alleen zijn de gevolgen wat minder drastisch. Een alleenstaande moeder welke met moeite de kinderen kan voeden en kleden, kan gewoon geen 'nieuwe' tweede hands computer kopen..

Als men na de aanvragen bij de mensen thuis komt, raden ze ook altijd aan om bijvoorbeeld Google Chrome te gebruiken..

De andere website is een soort van voedselbank, maar dan met goederen welke niet meer geschikt zijn voor verkoop, maar nog wel gebruikt kunnen worden. Ook komen een hoop spullen van kantoren welke bijvoorbeeld het meubilair hebben vervangen en de oude spullen doneren en soms ook oude computer, hoewel die vaak naar het personeel gaan..

Sevenanths 8 maart 2016 18:38

Ssl certificaat
Ssl

@Niemand_Anders • 11 maart 2016 11:45

Mijn post was wat scherp geformuleerd, excuses daarvoor. Ik snap dat er uitzonderingen zijn, maar dat zijn uitzonderingen. De voorbeelden die je noemt zijn nou niet echt Alexa top-500 sites.

Het is een beetje vervelend om het falen van onze techniek en maatschappij af te wentelen op minima want op een bepaalde manier komt het daar wel op neer. In een ideale samenleving zou de gemeenschap er voor zorgen dat niemand afhankelijk is van een oud wrak maar dat is helaas niet de realiteit.

Ergens moet een grens liggen en we naderen snel het punt dat XP echt aan de verkeerde kant van de grens ligt. Een auto zonder APK mag ook niet op de weg, hoe vervelend dat ook is voor de eigenaar, de risico's voor anderen worden te groot.
Het moeilijke is dat bij een auto wel duidelijk is wat er mis kan gaan en wat de gevolgen zijn. Bij computers is dat allemaal een stuk minder transparant. Het slachtoffer heeft het vaak niet eens door of is een ander dan degene wiens computer wordt misbruikt.

Voor de duidelijkheid: ik neem het niemand kwalijk dat ze een oude computer hebben, dat is vast geen eigen keuze. Wel zullen we binnenkort als maatschappij een discussie moeten hebben over computerveiligheid, wat we wel en niet accepteren en wat voor consequenties we daar aan verbinden.

PisPix @Trommelrem • 8 maart 2016 18:54

A+ score kan ook met tls1.0.

Q-collective

@Trommelrem • 8 maart 2016 19:23

Nu is mijn website gericht op Linux gebruikers, waar dit minder een issue voor is. Maar ik snap je punt

svennd @Trommelrem • 8 maart 2016 20:31

Vista <1% : pech gehad. of wou je 99% van je bezoekers hun veiligheid ontnemen ?

Trommelrem @svennd • 9 maart 2016 08:04

Dat pech gehad is zo'n onzin. Het hangt er vanaf wat voor website je exploiteert.

Als jij een bakkerij hebt waar je online bestellingen aanneemt zonder en de klanten in de winkel laat betalen, dan zou ik juist kiezen voor een TLS 1.0 omdat je dan ook je klanten met Vista kunt bedienen, wat er nogal wat zijn. Wat maakt het dan uit dat een scriptkiddie je bestelling kan inzien. Een scriptkiddie kan ook je bestelling via de PTT Post hacken door de brievenbus te maninthemiddelen.

Ik zou huiliehuilie doen bij de bakker als mijn bestelling niet klopt

[Reactie gewijzigd door Trommelrem op 22 juli 2024 18:00]

svennd @Trommelrem • 9 maart 2016 09:15

Zou je ook huiliehuilie doen als je "online" account opeens onder nul staat ? Je kunt het banaliseren, maar ga je dan straks ook roepen dat we meer moeten investeren in beveiliging ?

Trommelrem @svennd • 9 maart 2016 10:46

Hoe kan mijn online account door TLS 1.1 onder nul staan als de betaling in de bakkerij plaats vindt? Of bedoel je dat TLS 1.1 eigenlijk een kabouter is die de pin automaat skimt?

svenslootweg @Trommelrem • 9 maart 2016 15:54

Wat is dan uberhaupt nog je doel met het gebruiken van TLS? Je verbinding is slechts zo veilig als de meest onveilige optie die je aanbiedt, vanwege downgrade attacks.

Dus nee, "pech gehad" is helemaal geen onzin. Als je dingen wilt beveiligen, doe het dan ook goed - ga geen halfbakken configuratie of implementatie toepassen zodat je "kijk maar, SSL!" kunt roepen.

Ik ben zelf tevreden gebruiker van Let's Encrypt. Het werkt snel, gemakkelijk, en ik heb er een heel aantal van m'n sites mee 'beveiligd'. Een geweldig initiatief.

aadje93 @Sevenanths • 8 maart 2016 18:45

als ik het goed begrijp doet lets encrypt ook aan automatisch vernieuwing? Ik heb tot nu toe al mijn cerificaten gewoon bij comodo gekocht á 10-12euro/st. Echter als het gewoon gratis kan, en de browsers dit uiteraard ook gewoon goedkeuren dan is lets encrypt wel een zeer mooi alternatief.

Verwijderd @aadje93 • 8 maart 2016 18:47

LE certificaten vervallen elke 2 maanden, maar de vernieuwing van de certificaten is in een proces dat je vrij makkelijk in cron jobs kan afvangen, of meenemen in je reguliere onderhoud. (lees: 1 commando...)

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:00]

Joao @Verwijderd • 8 maart 2016 18:53

Vraagje, welke commando gebruik jij dan voor auto vernieuwen?
Ik gebruik letsencrypteauto renew, maar moet nog steeds door een setup process heen waaruit ik kan kiezen welke certi ik wil gebruiken?

arjan1995 @Joao • 8 maart 2016 19:02

Ik gebruik het als volgt:
./letsencrypt-auto --renew -d <jouw domeinnaam> -d <nog een domeinnaam etc.>

Voor de rest is het script al "non interactive", maar waarschijnlijk heb je meerdere domeinnamen waardoor het script niet "weet" welke hij wel en welke hij niet moet vernieuwen. Als je ze op de juiste manier aangeeft in je commando moet het vernieuwen gewoon volledig automatisch met crontab o.i.d. kunnen. Ook slim is om de uitvoer naar een logfile te schijven mocht je geen e-mail hebben ingesteld op je server. Dan kan je altijd nog teruglezen hoe het proces is verlopen.

Verwijderd @arjan1995 • 8 maart 2016 19:17

Bij mij deed doet alleen ./letsencrypt-auto --renew exact wat ik er van verwacht, namelijk alle certificaten langs op mijn server.
Dit wat je hier schrijft is nieuw voor mij?

Hoe heb jij je certificaten geinstalleerd? Ik heb daar het webroot commando voor gebruikt.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:00]

arjan1995 @Verwijderd • 8 maart 2016 21:42

Ik heb de Apache plugin gebruikt en daardoor vroeg hij toch om domeinnamen en voor aanzetten redirect tijdens Renew

Verwijderd @Joao • 8 maart 2016 18:57

Je bedoeld die bevestiging van het overschrijven van een certificaat dat nog niet is verlopen en of je dat wel zeker weet?
Volgens mij krijg je die alleen als je certificaten nog langer dan 30 dagen houdbaar zijn.

letsencrypt-auto renew gebruik ik ook en die vernieuwd keurig netjes alles op de hele server.

Disclaimer: Ik heb dat proces niet feitelijk geautomatiseerd. Ik log sowieso om de week in voor updates ik heb er voor gekozen dat proces handmatig uit te blijven voeren voorlopig.
Het staat bij LE op de agenda om die automatisering vanuit de client te laten verlopen, ik zit daar eigenlijk een beetje op te wachten.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:00]

Joao @Verwijderd • 8 maart 2016 19:04

Thanks, toch even gekeken, had vorige week renew gedaan:

Currently, the renew verb is only capable of renewing all installed certificates that are due to be renewed; individual domains cannot be specified with this action. If you would like to renew specific certificates, use the certonly command. The renew verb may provide other options for selecting certificates to renew in the future.

Dus het kan pas 30 dagen voor verloop

Verwijderd @Joao • 8 maart 2016 19:06

Er is iemand die daarvoor een scriptje heeft geschreven ;-)
Ik gebruik het al enkele maanden zonder problemen ;-)
https://www.digitalocean....s-encrypt-on-ubuntu-14-04

@Verwijderd • 8 maart 2016 19:10

Het zijn 3 maanden, maar dit maakt automatiseren inderdaad vrijwel noodzakelijk.

Verwijderd @Yggdrasil • 8 maart 2016 19:13

De eerste is 3 maanden, de verlengingen zijn steeds met twee maanden.

RatedR 9 maart 2016 02:25

@Verwijderd • 8 maart 2016 19:25

Sorry maar dat klopt niet. De certificaten zijn altijd 3 maanden geldig maar LE raadt aan niet tot het laatst te wachten en de officiële client probeert dus na 2 maanden al te vernieuwen. Het certificaat dat je dan krijgt is weer 3 maanden geldig maar wordt ook al weer na 2 maanden vernieuwd, etc. Zie o.a. https://letsencrypt.org/2015/11/09/why-90-days.html

Je hoeft trouwens niet te wachten tot 2 maanden voorbij zijn. Je mag max. 5x per week een nieuw cert aanvragen. Zie https://community.letsenc...its-for-lets-encrypt/6769

Verwijderd @Yggdrasil • 8 maart 2016 19:29

Je hebt gelijk zie ik nu bij nagaan.
Hier zal dan in een eerder stadium sprake van zijn geweest. Weet anders niet hoe ik er bij kom dat dat zo werkte.
Detail verder natuurlijk, sowieso iets om in de gaten te houden als je gewend bent dat certificaten een jaar houdbaar zijn.

svennd @Verwijderd • 8 maart 2016 20:26

90 dagen. next is 60.

blottle @aadje93 • 8 maart 2016 18:47

Klopt. Bij mij heel gemakkelijk via DirectAdmin een SSL certificaat geïnstalleerd, was binnen 30 seconden geregeld en wordt iedere 60 dagen automatisch vernieuwd.

Verwijderd 8 maart 2016 18:38

Geweldig initiatief... heb er zeker 7 in gebruik.
Werkt uit de kunst als je certificaatwensen niet te exotisch zijn.

Momenteel werkt het overigens nog met limieten (ik geloof bijvoorbeeld 5 certificaten per domein), dit remt bedrijfsmatige adoptie enigszins af nog. Ik ben benieuwd wat er gebeurd als ze alle klavieren open trekken...

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:00]

arjan1995 @Verwijderd • 8 maart 2016 19:04

Het is volgens mij ook niet per sé voor commerciële bedrijven bedoeld, maar meer voor individuele gebruikers en voor bijvoorbeeld scholen of stichtingen die weinig geld hebben. Anders is de kans groot dat deze gebruikers hun website-beveiliging niet op orde zouden hebben.

Verwijderd @arjan1995 • 8 maart 2016 19:08

Het is zeker wel de bedoeling dat je je LE professioneel kan toepassen in de toekomst... de limieten zijn in het kader van de public beta voor zover ik weet.

Er zijn al router fabrikanten bezig bijvoorbeeld om hun routers met LE certificaten te leveren.
Ook hebben hostingpartijen interesse om LE op te nemen in hun (shared) hosting dienstverlening.
Dit is ook geheel naar het doel van LE, gezien ze heel het web graag versleuteld zien. Dan ontkom je er m.i. niet aan om daarin commercie te betrekken.
Als je alleen de tweakers met een server of vpsje gaat servicen kom je er niet.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:00]

wica @Verwijderd • 8 maart 2016 19:32

Wat nog een vervelend limit is, maar ergens ook wel te begrijpen.

Is dat een server open moet staan voor de IP's van LE om te verifieren.
https://community.letsenc...ild-firewall-rule/5410/15

Ik persoonlijk vind het jammer dat het niet mogelijk is voor eigen bedachte tld. Zoals .lan of .mijnthuisnetwerk

Verwijderd 8 maart 2016 19:28

Waarom is er geen certificaat voor T.net?

Antrax @Verwijderd • 8 maart 2016 19:37

Daar is het e.e.a. over gepost op het forum

En nu tweakers.net nog over naar https!

418O2 @RatedR • 9 maart 2016 04:23

Zoals eerder gemeld zijn er redenen waarom dat nog niet zo is
http://gathering.tweakers...message/38046828#38046828

NLxAROSA @418O2 • 9 maart 2016 07:21

Da's een bericht van 4 jaar oud, mag hopen dat er intussen wel het e.e.a. is gewijzigd. Er is vandaag de dag geen enkele reden om nog zonder HTTPS te draaien.

@NLxAROSA • 9 maart 2016 11:49

Nou ja, advertentie-netwerken zorgen nog steeds voor mixed-content-warnings lijkt me, tenzij dat netwerk ook over HTTPS levert.

Verwijderd 8 maart 2016 18:53

Ik voorzie nog een forse stijging als DSM 6.0 uitkomt. LetsEncrypt zit als standaard package daarin, en ik in ieder geval ga daar zeker gebruik van maken.