CA/Browser Forum wil levensduur van ssl-certificaten verlagen naar 13 maanden

Het CA/Browser Forum wil de maximale levensduur van ssl-certificaten inkorten naar iets meer dan een jaar. Het samenwerkingsverbond van browsermakers en certificaatautoriteiten staat positief tegenover een voorstel om de levensduur van 27 naar 13 maanden terug te brengen.

Het Forum debateert binnenkort over de kwestie. Het voorstel komt van Ryan Sleevi, een ontwikkelaar bij Google die al langer pleit om de certificaatlevensduur te verkorten. Hij stelt tijdens een bijeenkomst van het Forum voor om de veranderingen per 1 maart 2020 in te voeren. Daarbij zou een ssl-certificaat niet 825 dagen geldig moeten zijn zoals nu het geval is, maar slechts maximaal 397 dagen. Er is op dit moment nog niet gestemd over het onderwerp. De meeste browsermakers lijken echter positief tegenover de nieuwe plannen te staan.

Een certificaat dat vaker vernieuwd moet worden zou volgens het Forum veiliger zijn. Criminelen met bijvoorbeeld phishingwebsites zouden daarmee meer moeite hebben die bijvoorbeeld langer in de lucht te houden. Het is niet de eerste keer dat er een drastische inkorting is van de levensduur van ssl-certificaten. In 2017 wilde het CA/Browser Forum die al terugbrengen van 39 maanden naar 13 maanden, maar dat voorstel bleek iets te radicaal. Uiteindelijk werd besloten tot een levensduur van 27 maanden. Nu gaat die dus alsnog terug naar 13. In de discussie speelt ook mee dat de gratis certificaten van Let's Encrypt standaard al na negentig dagen verlopen en dat steeds meer bedrijven naar dat model overstappen.

Niet iedereen is het eens met de voorgestelde veranderingen. Vooral de certificaatindustrie ziet het plan niet zitten. Zo stelt het bedrijf Digicert dat het verkorten van de certificaatduur hogere kosten voor bedrijven met zich meebrengt. Zij moeten in dat geval namelijk veel vaker aan vernieuwingen doen en dat kost veel tijd. Die tijd en kosten zouden niet opwegen tegen de extra veiligheid die een kortere certificaatduur oplevert, stelt het bedrijf. Volgens Digicert bestaan criminele websites doorgaans ook niet zo lang dat de verandering relevant is.

Reacties (78)

mr94 19 augustus 2019 17:30

Alsjeblief niet zeg, EV certificaten doen er soms al meer dan een maand over om verlengt te worden. Heb wel eens een PKI Overheid certificaat moeten doen, ben je 3 maanden mee zoet. Tegen de tijd dat het certificaat zowat eindelijk geïnstalleerd is en staat mag je beginnen met de vernieuwing.

laurxp @mr94 • 19 augustus 2019 18:46

EV heeft zeer binnenkort geen waarde meer. Het is nu al niet veiliger dan reguliere certificaten, zie bijvoorbeeld https://stripe.ian.sh/ voor een proof-of-concept waar iemand een niet van echt te onderscheiden EV cert krijgt, https://www.troyhunt.com/...on-certificates-are-dead/ voor redenen waarom het voor gebruikers niet uitmaakt, en de browsers zijn het eens: https://www.computerworld...idation-cert-signals.html . Het is puur marketingbullshit van de CA's.

Technisch weerhoud niets de CA's om gewoon éénmalig te valideren, maar vaker certificaten uit te draaien die korter geldig zijn. Dit proces hoeft echt geen drie maanden te duren.

[Reactie gewijzigd door laurxp op 23 juli 2024 11:41]

R4gnax @laurxp • 19 augustus 2019 19:33

https://www.troyhunt.com/...on-certificates-are-dead/ voor redenen waarom het voor gebruikers niet uitmaakt, en de browsers zijn het eens

Troy Hunt's artikel opent ermee dat zijn primaire reden om EV certs dood te verklaren, juist is dat browsers de onderscheidende weergave van EV certs af aan het schaffen zijn.

Wat je hier schrijft is: "Troy Hunt schrijft dat EV certs dood zijn omdat browsers ze afschaffen. Browsers schaffen ze af, omdat ze dood zijn."

Circulair redeneren is een leuk kunstje.

latka @R4gnax • 19 augustus 2019 23:22

Richt een bedrijf op in het buitenland en noem die ABNAmro. Website: ABNAmro.cn. Doe dan een SSL cert met EV validatie erop et voila, niet van echt te onderscheiden (ook niet de in de UI). Kun je wel extra validaties op EV gaan verzinnen, maar dat houd op een gegeven moment ook op. EV was al dood toen het verzonnen werd, maar 700 euro per jaar vangen voor een dergelijk certificaat is een sterke motivator om het te verdedigen.

Kees BOFH @latka • 20 augustus 2019 07:22

Sterker nog, het is soms ook nog eens onveiliger dan een normaal certificaat. In jouw voorbeeld zal bijvoorbeeld Safari de certificaatnaam weergeven ipv de domeinnaam, en dan staat er dus doodleuk 'ABN AMRO bank' boven in plaats van 'abnamro.cn'

laurxp @R4gnax • 19 augustus 2019 19:58

Waar zie jij die redenering? Link 1 geeft een analyse van een veiligheidsexpert en geeft een aantal redenen waarom ze niet zinvol zijn, waarvan één het afschaffen van de weergave is. Link 2 geeft directe citaten van browsermakers, en legt uit wat de kijk van de browsers er op is, en wat dus de reden is waarom de weergave is verdwenen.

Jij claimt dat ik "Browsers schaffen ze af, omdat ze dood zijn" beweer, maar dat zeg ik nergens? Voor Troy Hunt was de enige waarde die ze nog hadden de indicator, en die bleek in de praktijk al niks voor te stellen. Browsers schaffen ze af omdat ze achter hetzelfde zijn gekomen. Troy Hunt maakt vervolgens zijn blogpost dat nu het laatste beetje waarde dat ze potentieel nog zouden kunnen hebben, verdwenen is, en ze dus definitief dood zijn.

Als je meer wil weten waarom Troy Hunt denkt dat ze (zelfs met indicator!) zinloos zijn, zie https://www.troyhunt.com/...as-phishing-lets-encrypt/ en https://www.troyhunt.com/...d-validation-certificate/

[Reactie gewijzigd door laurxp op 23 juli 2024 11:41]

R4gnax @laurxp • 19 augustus 2019 20:06

Waar zie jij die redenering?

Hunt's artikel opent met:

This change has come via a combination of factors including increasing use of mobile devices, removal of the EV visual indicator by browser vendors and as of today, removal from Safari on iOS (it'll also be gone in Mac OS Mojave when it lands next week):

De rest is een lange rant over EV-certificate vendors die onzinverhalen verkopen, gestaafd aan daadwerkelijk gebruikersonderzoek gedaan door usability en security experts van Google en Mozilla, voor Chrome respectievelijk Firefox, en Apple met betrekking tot iOS.

Jij claimt dat ik "Browsers schaffen ze af, omdat ze dood zijn." beweer, maar dat zeg ik nergens?

Je schrijft dat "de browser(maker)s het (er mee) eens zijn," want: <<url>>

Keeper of the Keys @laurxp • 19 augustus 2019 20:50

Het lijkt mij dat het eerste artikel dat je brengt juist heel duidelijk laat zien wat de meerwaarde is van EV certs:

Edit (April 29th, 2018): This site no longer uses an EV certificate. Comodo arbitrarily revoked — without any notice — the first certificate, saying this site was made with the intent to mislead. GoDaddy issued us a new one on 04/11/2018, but revoked it later that day, stating that the site was fraudulent. It is notable that neither company believes they mis-issued the certificate.

Zeker er zijn ook problemen met EV certs maar ze zijn minder en omdat revocation checken moet valt het sneller en beter op (een van de redenen waarom de chrome devs er graag van af willen omdat revocation checks langzaam zijn en alles zo snel mogelijk moet).

Om eerlijk te zijn hoop ik echt dat FF en Chrome tegurkomen van hun beslissing want voor mijn bank en de overheid vind ik dat toch echt erg handig. (Ik kan me ook voorstellen dat overheden in het geval dat succesvolle fraude/phishing toeneemt de browser makers zullen dwingen om speciale EV weergave terug te brengen).

Jester-NL @mr94 • 19 augustus 2019 19:23

Als je een maand doet over het verlengen van een EV-certificaat, dan zou ik me eens achter mijn oren krabben over mijn leverancier en de interne communicatie.
Als je bij de aanvraag de juiste informatie doorgeeft aan je CA dan heb je al heel veel gewonnen. Daarnaast zorg je dat de juiste perso(o)n(en) op de hoogte zijn dat er gebeld kan worden voor ze... dan hoeft het echt niet meer dan een paar dagen te duren (en als het zo lang duurt, dan heb je een vreselijk trage leverancier).
Ik heb het meerdere malen gezien dat een EV binnen twee uur uitgegeven werd.

Zapato @mr94 • 19 augustus 2019 17:33

Alsjeblief niet zeg, EV certificaten doen er soms al meer dan een maand over om verlengt te worden. Heb wel eens een PKI Overheid certificaat moeten doen, ben je 3 maanden mee zoet. Tegen de tijd dat het certificaat zowat eindelijk geïnstalleerd is en staat mag je beginnen met de vernieuwing.

Afgelopen week 1 verlengd, 3 dagen met een papieren handtekening per post. Met een digitale handtekening was het in 1 dag gelukt denk ik.

Verwijderd @mr94 • 19 augustus 2019 17:45

Dat ligt aan je proces dan. Ik verleng ze in 5 tellen.

RoestVrijStaal 19 augustus 2019 17:38

Een certificaat dat vaker vernieuwd moet worden zou volgens het Forum veiliger zijn. Criminelen met bijvoorbeeld phishingwebsites zouden daarmee meer moeite hebben die bijvoorbeeld langer in de lucht te houden.

Ja, phishers houden ook echt hun fuik-website voor de rest van hun leven online

Nou zit ik niet in het vak van phisher of phisher-bestrijder, maar als ik een phisher was zou ik zolang er gegevens kunnen worden gejat maximaal 24 uur de website online houden en dan 'm smeren. Hit & Run. Hoe langer de fuik-website draaiend wordt gehouden, hoe groter de kans om gepakt te worden of dat de infrastructuur door domeinboer en hoster de nek wordt omgedraaid.

Zakkenrollers gaan ook niet de hele dag op dezelfde locatie met ieder dezelfde rol (verkenner, afleider, roller, bewaarder) zakkenrollen.

davince72 19 augustus 2019 17:49

Welke veiligheid moet dit gaan brengen dan? Dan stappen criminelen toch ook over op LE?!

laurxp @davince72 • 19 augustus 2019 18:43

Het gaat niet om de criminelen, maar om de reguliere klanten. Het doel is om iedereen de vervanging te laten automatiseren, zodat dit heel snel en makkelijk kan gebeuren als blijkt dat de certificaten niet helemaal veilig zijn. Zie bijvoorbeeld https://bugzilla.mozilla.org/show_bug.cgi?id=1534295 , waar de vervanging van certificaten meerdere maanden duurt, wat compleet onacceptabel is.

jabwd @davince72 • 19 augustus 2019 18:44

Als je cert gejat wordt is de window waarin ze misbruikt kunnen worden veel kleiner. Dit omdat je nu dus maximaal 13 maanden hebt in het beste geval om een gestolen certificaat te misbruiken. In veel gevallen zal het ook veel minder dan 13 maanden zijn, dat is niet veel tijd om een goede aanval op te zetten. Hierom heeft LE dus maar 3 maanden, en zou het CA Browser forum ook richting z'n korte periode moeten gaan.

[Reactie gewijzigd door jabwd op 23 juli 2024 11:41]

laurxp @jabwd • 19 augustus 2019 20:10

Mits je natuurlijk ook een nieuwe private key gebruikt met je nieuwe certificaat, wat geen vereiste is. Gelukkig is dat - in ieder geval met LetsEncrypt's certbot - de standaardoptie.

Je misbruikwindow kan ook een heel stuk korter worden als je de certificates revoked, maar dan moet je natuurlijk wel door hebben dat ze gejat zijn.

swhnld

19 augustus 2019 17:33

Vaker SSL certificaten vervangen levert meer werk en daarmee hogere kosten op, en de consument krijgt de rekening of bedrijven stoppen met het gebruik er van.

Ik lees nergens een wetenschappelijke onderbouwing dat een kortere levensduur ook daadwerkelijk betere veiligheid oplevert, en zo ja wat dan de meest optimale levensduur is. Wat voor een browsermaker geld is niet hetzelfde als voor een certificaten leverancier, een software ontwikkelaar, een systeembeheerder, of een bedrijf die die dingen moet aanschaffen en onderhouden.

laurxp @swhnld • 19 augustus 2019 18:41

Er is een vrij simpele onderbouwing voor:

Als certificaten meerdere jaren geldig zijn, gaan klanten er van uit dat ze dat ook daadwerkelijk zijn. Als vervolgens ergens halverwege blijkt dat ze door de CA moeten worden vervangen vanwege een veiligheidsprobleem, zijn de klanten niet in staat om dat tijdig te doen.

Zie https://bugzilla.mozilla.org/show_bug.cgi?id=1534295 : Er was meerdere maanden (!) nodig om certificaten te vervangen, omdat klanten hier geen goede procedure voor hebben. De CA had ze gewoon kunnen revoken, maar dat had mensenlevens gekost. Blijkbaar sturen bedrijven een urgente melding voor waarschuwing door naar de juridische afdeling, in plaats van naar de ICT'ers.

Door de vervangingstijd korter te maken, dwing je bedrijven om dit (grotendeels) te automatiseren, of in ieder geval procedures vast te leggen en regelmatig te testen.

Certificaten die langer zijn, zijn téchnisch net zo veilig, maar ze zijn een stuk onveiliger aan de menselijke kant. Het zou me helemaal niks verbouwen als dit in de toekomst naar een veel kortere duur gaat, zoals LetsEncrypt nu heeft.

Falcon @swhnld • 19 augustus 2019 17:43

Kwestie van automatiseren, net als bij Let's Encrypt?

latka @Falcon • 19 augustus 2019 23:25

Ik heb wel eens met een HSM gewerkt waarbij de key geladen werd in een apart hardware device. Die script je niet zo makkelijk (met goede reden).

Falcon @latka • 20 augustus 2019 08:48

Check, dat begrijp ik. Kan het zijn dat deze niet in gebruikt word voor een browser?, want daar gaat het bij dit artikel om.

latka @Falcon • 20 augustus 2019 11:58

Het gaat om SSL certificaten. Die leven vooral op de server (en soms in je browser als je client certificaten gebruikt, maar die gebruikers zijn op de vingers van 1 hand te tellen).

i-chat @swhnld • 19 augustus 2019 19:22

zodra iemand een manier vindt om letterlijk een usb-stick in te pluggen waarna het cert automagisch vernieuwd wordt (al dan niet nadat er op 1 bepaalde van het netwerk gescheiden) computer eerst iets is gegenereerd, ben ik helemaal voor elke 3 maanden (of zelfs elke maand) 10sec per server downtime om het cert te hernieuwen zou prachtig zijn.

maak het dan direct zodat er via de dns bekend wordt gemaakt welke CA er wordt gebruikt. dan kan de browser direct ingrijpen. als ik bij comodo een cert aanschaf, hoeft de browser niets te schaften met een al dan niet valide verisign cert. Nutuurlijk is dat een aanvals vector voor hackers maar als de browser de genoemde CA niet vertrouwd dan krijg je gewoon een waarschuwing, als de browser ineens een andere CA ziet dan de vorrige keer dan kan ie ook waarschuwen.

all in all zou het een heel klein beetje extra informatie kunnen bieden bij anti-phishing pogingen.

mcDavid @swhnld • 20 augustus 2019 08:55

Onderbouw jij eens waarom het meer werk en hogere kosten oplevert om certificaten vaker te vervangen dan?

De goedkoopste manier om aan certificaten te komen is via Let's encrypt en die certificaten zijn 90 dagen geldig. Als dat zoveel duurder geweest was, hadden ze echt niet voor zo'n korte periode gekozen.

biteMark 19 augustus 2019 17:32

Zo stelt het bedrijf Digicert dat het verkorten van de certificaatduur hogere kosten voor bedrijven met zich meebrengt. Zij moeten in dat geval namelijk veel vaker aan vernieuwingen doen en dat kost veel tijd.

Is dat niet de grootste kolder? Vernieuwingen kan je toch gewoon automatiseren? En anders is het letterlijk 5 minuten werk... Paar bash commando’s, beveiligd oversturen (evt naar de betreffende servers pushen?) en klaar!

Volgens mij is dit statement alleen gemaakt zodat CA’s, die ze tenslotte vertegenwoordigen, makkelijker hogere kosten kunnen verantwoorden naar hun klanten.

zenlord @biteMark • 19 augustus 2019 17:36

Mja, als alles goed loopt, dan inderdaad is het een eenmalige taak om dit correct te implementeren. Maar als je deze taak hebt binnen een bedrijf dat verschillende honderden domeinen beheert, dan zal er misschien wel vereist worden dat je voor alle domeinen in de gaten houdt of de vernieuwing ook daadwerkelijk tijdig is uitgevoerd.
Met andere woorden: het is niet omdat het kan gescript worden dat de eindverantwoordelijkheid ook plots tot het script behoort.

StefanJanssen @zenlord • 19 augustus 2019 18:10

Ook de controles kunnen geautomatiseerd worden. Letterlijk een keer per dag even een call doen naar de server en je ziet of het werkt.

GeroldM @StefanJanssen • 20 augustus 2019 03:51

Er bestaat ook genoeg randapparatuur welke veel minder makkelijk "ververst" kunnen worden met nieuwe certificaten. En dan is het "open zetten" van die apparatuur om je automatische scriptje maar niet in de soep te laten lopen nog onwenselijker (of zelfs gevaarlijker) dan het verversen van certificaten.

Niet alles draait in de IT wereld om het internet.

Want apparatuur die continue open staat, kan continue worden aangevallen en daardoor een brug slaan tussen de aanvaller en je systemen.

Waar nooit rekening mee word gehouden is tijd. Voor een succesvolle inbraak, kan een hacker beter langer de tijd nemen. Dan valt het veel minder op en kan deze op slinkse wijze veel meer info achterhalen dan met korte brute aanvallen.

Dat laatste type aanval is nieuwswaardig en daarop worden kordate stappen genomen om deze te voorkomen in de toekomst. Maar de slinkse hacker heeft de wijsheid van een visser, die weet dat "langzaam aan, dan breekt het lijntje niet" waarheid is.

Helpt het vaker verversen van certificaten niet tegen. En die korte brute aanvallen duren te kort, daar helpt het vaker verversen van certificaten ook niet.

Zwaar leunen op de capaciteit van Let's Encrypt, dat is ook niet echt toekomstbestendig. Bedrijfsmatig certificaten regelen is een flinke kostenpost, want voor bedrijven hangt er een heel wat ander prijskaartje aan dan aan certificaten voor een domein of wat in private handen.

Kom je aan zetten bij je 'bonenteller(s)', een heleboel kosten maken om dezelfde functionaliteit te behouden die je al hebt. Maar tevens ook als bron van gemiste inkomsten kan escaleren. Moet jij eens zien, hoe hard er terug geblaft word.

De enigen die hier echt wat mee opschieten, zijn Google en CA's. Veel beter DNS beheer, daar schieten we als gemeenschap veel meer mee op qua veiligheid.

Maar goed, nog sneller verversen van certificaten klinkt logisch en Google roept het, dus zal er geen verdere rationele gedachte meer nodig zijn...toch?
[/sarcasme]

GertMenkel

Beveiliging en antivirus

@biteMark • 19 augustus 2019 18:00

Dat kan in eenvoudige opstellingen, maar in situaties waar verschillende servers in het (interne) netwerk met bijvoorbeeld een wildcard certificate van bepaalde subdomeinen werkt, is het nog wel eens een gedoe om dat allemaal te synchroniseren. Helemaal als je verouderde apparatuur hebt of van die "enterprise grade devices" waar je certificaten handmatig in moet copy-pasten om ze te vervangen. Of belangrijke apparatuur waarvan de services of zelfs systemen moeten herstarten om een nieuw certificaat te accepteren.

Er zijn tal van situaties te bedenken waar automatisering meer tijd kost dan eens per jaar een lijstje handmatig door. Als dit eens in de 90 dagen wordt, is automatiseren inderdaad een goedkopere optie voor de meeste bedrijven maar dat is wel weer een extra kostenpost die je als bedrijf liever niet hebt. Degene die de scripts schrijft doet het natuurlijk ook niet voor de hobby en moet toch tijd steken in het automatiseren van de boel.

biteMark @GertMenkel • 19 augustus 2019 18:49

Ten eerste zegt het vaak heel wat als je opstelling nog zó veel handmatige handelingen nodig heeft, dat blijkt niet van efficiëntie en professionalisering. Ten tweede lijkt me toch juist dat een verandering als deze bedrijven aanzet om de boel alsnog te gaan automatiseren. Lijkt me juist iets om toe te juichen. En die éénmalige investering om dat voor elkaar te krijgen lijkt me geen verkeerde. Ten slotte is het niet automatiseren een klein beetje hypocriet: wij “nerds” lopen alles voor iedereen te automatiseren maar zelf willen we er niet altijd aan of is er ineens geen budget voor...

xxxneoxxx @biteMark • 20 augustus 2019 09:00

Dat ligt niet aan "ons", maar aan de industrie. Bijna elke ICT'er die ik ken is ergens in dienst om een dienst te leveren aan een klant. Je wordt gezien als een kostenpost, maar wel vaak als een noodzakelijke die nodig is voor een goeie automatisering waardoor het bedrijf waar je de dienst aan levert, geld bespaart.

Als je je opeens gaat richten op iets waar de klant niet direct gebaat is (zoals het verbeteren van je interne processen) dan beginnen mensen, vaak de managers binnen de ICt organisatie opeens te fronsen want; je kan je tijd ook besteden an die klant en dan lever je per direct een resultaat op waar die klant bij gebaat is. Schijnbaar is het verbeteren van spullen/diensten, eigenlijk de core van ICT, vaak een ingewikkeld concept voor mensen die de boel aan moeten sturen.

Scriptkid @biteMark • 19 augustus 2019 18:45

Idd totdat je gecompliceerdere dingen er bij gaat halen zoals dnssec, dane en dkim.

Ineens moet je met 3th parties coordinated cert roll doen voor 1000 domeinen

biteMark @Scriptkid • 19 augustus 2019 18:51

Dan wordt het hoog tijd dat daar goed over nagedacht gaat worden. Niet arrogant bedoeld hoor, maar veiligheid naar alle redelijkheid zou niet beperkt mogen worden door zulke argumenten.

Spykie @biteMark • 19 augustus 2019 17:38

Het gaat niet perse om het vernieuwen an sich maar om het installeren van het vernieuwde certificaat

StefanJanssen @Spykie • 19 augustus 2019 18:12

Ik draai nu al een aantal jaar een website met certificaat van 60 dagen. Heb er nog nooit naar om hoeven kijken om het certificaat te updaten.

Ik krijg regelmatig een mailtje met dat het certificaat bijna gaat verlopen en een aantal dagen later staat er automagisch een nieuw certificaat.

Spykie @StefanJanssen • 20 augustus 2019 08:54

Websites zijn het probleem inderdaad niet

Appliances wel

klakkie.57th @biteMark • 19 augustus 2019 19:58

En de bestelbon en de goedkeuring, en de handtekening en de betaling , dat ga je dan ook moeten automatiseren.
Hier gaat werkelijk geen 5cent meer de deur uit zonder heel bovengenoemd proces.

biteMark @klakkie.57th • 19 augustus 2019 22:21

Klinkt efficiënt, maar als je het per sé zo moet of wil inrichten dan zijn dit de gevolgen... Zal leuk zijn met de huur elke maand en andere vaste lasten.

trenjeska @biteMark • 20 augustus 2019 12:35

Dan moet je hostingprovider en dns provider wel meewerken. Niet alle providers laten je automatisch dns records updaten met script en maken zo dus automatische updates met LE onmogelijk

GEi 19 augustus 2019 17:28

Als LE kan automatiseren, dan moet Digicert dat toch ook kunnen? Ik denk graag simpel, maar wanneer iemand meer info heeft waarom het voor andere partijen lastiger is, dan leer ik graag.

RobinF @GEi • 19 augustus 2019 17:35

Ja die hebben t alleen niet geïmplementeerd. GlobalSign bijvoorbeeld wel.

Overigens loopt er volgensmij een open bèta bij DigiCert voor ACME ondersteuning

Verwijderd @GEi • 19 augustus 2019 17:44

Digicert heeft gewoon een API hoor. Werkt als een trein. Maarja de certificaten van Digicert zijn niet bepaald gratis dus daar moeten ze dan wat mee.

RobinF @Verwijderd • 19 augustus 2019 17:49

Maar, ACME ≠ gratis. ACME implementeren en achteraf factureren is ook goed wat mij betreft, mits goed geautoriseerd.

servies 19 augustus 2019 17:21

Euh... Die certificaten van Let's Encrypt zijn toch 90 dagen geldig??? Mijn server vernieuwt ze oog om de 3 maanden...
Verder is dit wel een goed plan... Eigenlijk nog te lang...

[Reactie gewijzigd door servies op 23 juli 2024 11:41]

freaky @servies • 19 augustus 2019 17:24

De mijne om de 2.

Niet overal is het te automatiseren echter. Bijv. SSL-VPN appliances veelal niet. En dat het veel tijd en geld kost kan derhalve best een steekhoudend argument zijn.

Je thuis ding is niet de wereld zeg maar.

turbojet80s @freaky • 19 augustus 2019 17:52

Voor je VPN server kan je prima self signed certificaten gebruiken. Je kunt dan ook zelf de houdbaarheid bepalen. Geen probleem dus in deze.

Dr. Prozac @turbojet80s • 19 augustus 2019 18:25

Wanneer je browst naar een webserver met self-signed certificaat krijg je allerlei waarschuwingen te zien van je browser. Voor je zelf niet erg, maar voor sommigen (familie/vrienden) kan het intimiderend zijn.

turbojet80s @Dr. Prozac • 19 augustus 2019 18:47

Dat snap ik, maar dat maakt voor je VPN server niet uit. Je kunt het certificaat installeren bij de gebruikers die VPN moeten kunnen opzetten en dan gaat de verbinding zonder problemen of meldingen op.

ArawnofAnnwn @freaky • 19 augustus 2019 17:34

Let's Encrypt word niet alleen door thuisgebruikers gebruikt. Een SSL-VPN appliance die ACME ondersteund kan ook Let's Encrypt aan. Natuurlijk zitten er zowel voor als nadelen aan het gebruik van Let's Encrypt, maar een opmerking als "Je thuis ding is niet de wereld zeg maar." vind ik ongepast.

Falcon @ArawnofAnnwn • 19 augustus 2019 17:42

Juist

SkiFan @ArawnofAnnwn • 20 augustus 2019 09:08

Alleen kan je niet tegen iedere SSL appliance aan scripten, en kost het certificaten vervangen tijd en dus geld. Zeker als het door een specialist gedaan moet worden.

freaky @ArawnofAnnwn • 20 augustus 2019 15:45

Uiteraard. Maar de meeste apparatuur die nu in het veld staat is van voor LE. En vervangen is ook niet gratis.

Daarbij is het 1 voorbeeld uit velen.

@turbojet80s Dat ding bij je thuis misschien. Die 300 klanten die op een shared VPN appliance bij ons landen worden niet bij als ze certificaat meldingen krijgen. En ze leren om toch door te gaan -> eveneens niet slim.

ArawnofAnnwn @freaky • 20 augustus 2019 15:57

Dat je oude apparatuur er nog niet mee werkt, zegt niet zo veel. Dan hoef je nog niet alle nieuwe apparaten af te doen als "thuis ding". Het is nogal onbeschoft. Zeker aangezien er talloze bedrijven gebruik van maken is het niet alleen een kleinerende opmerking, maar ook nog eens niet valide.

freaky @ArawnofAnnwn • 20 augustus 2019 16:36

Alles waar je klanten op in laat loggen wil je geen certificaat melding lijkt me.

Niet als je professioneel over wilt komen iig.

Geen idee wat daar onbeschoft aan is. Je lijkt moeite te hebben om te begrijpen het een reactie is op z'n melding dat self-signed prima is voor VPNs. Dat is het veelal niet. Niet in ons veld iig. En gezien ze iedere computer mogen pakken die ze willen is certificaten gaan installeren op iedere PC (dan wel tablet, telefoon, etc.) hoogst onwenselijk.

laurxp @servies • 19 augustus 2019 18:50

Het gaat om een nieuwe maximale duur van 13 maanden, korter mag natuurlijk ook.

fanatic_david @servies • 19 augustus 2019 19:56

Let's Encrypt-certificaten zijn inderdaad 90 dagen geldig (bron).
Ze kunnen vernieuwd worden van zodra de resterende geldigheidsduur 30 dagen of minder betreft.

Sfynx @fanatic_david • 20 augustus 2019 00:10

Ze kunnen vernieuwd worden van zodra de resterende geldigheidsduur 30 dagen of minder betreft.

Dat is de aanbeveling, maar je kan ook gewoon elke dag een nieuwe laten uitgeven als je wil

Scriptkid @servies • 19 augustus 2019 21:55

vervang jij ook DKIM certificaten waar 3th party apps bij betrokken zijn ik wens je success elke 3 maanden

Verwijderd 19 augustus 2019 17:32

Goede reden om meer Let's Encrypt achtige oplossingen voor bedrijven te bedenken / implementeren. Mijn werkgever heeft er enkele duizenden in beheer waarvan 99% handmatig aangevraagd / geleverd en vervangen moet worden op servers, loadbalancers etc... onnodig veel werk dus!

RoestVrijStaal @Verwijderd • 19 augustus 2019 17:54

Goede reden om meer Let's Encrypt achtige oplossingen voor bedrijven te bedenken / implementeren. Mijn werkgever heeft er enkele duizenden in beheer waarvan 99% handmatig aangevraagd / geleverd en vervangen moet worden op servers, loadbalancers etc... onnodig veel werk dus!

Die zijn er toch? Sterker nog, een bedrijf kan een Let's Encrypt certificaat gebruiken.
Maar omdat het gratis is en iedereen en z'n moeder een certificaat voor zijn website kan aanmaken, komt het niet geheel professioneel over.

Sterker nog, als zo'n "gratis voor iedereen"-certificaat of "gratis voor ieder lid van branche XYZ"-certificaat gebruikt wordt voor een bankierswebsite oid, kan ervan worden uitgegaan dat het een phishingsite is.

Nou zeg je niet iets over de situatie van het bedrijf, maar het lijkt erop dat jullie beter af zijn met een wildcard certificaat. In plaats van een aparte voor elk subdomein of domein.

Fluttershy @RoestVrijStaal • 19 augustus 2019 18:25

Maar omdat het gratis is en iedereen en z'n moeder een certificaat voor zijn website kan aanmaken, komt het niet geheel professioneel over.

Voor financiële transacties letten mensen misschien wel op 'het slotje'. Maar veel verder dan dat kijken slechts enkelen. Zelf kost het mij al twee keer tikken om te zien dat Tweakers LE gebruikt, de gemiddelde gebruiker zal daar echt niet op letten.

En wat men niet ziet, kan ook niet onprofessioneel overkomen.

Lizard

@Fluttershy • 19 augustus 2019 20:29

Soms kan een EV certificaat juist verwarring scheppen, Zie bv. de site van Natwest:
https://www.nwolb.com/ met een EV certificaat van "The Royal Bank of Scotland Group Plc".

RoestVrijStaal @Fluttershy • 19 augustus 2019 18:42

@StefanJanssen en @Fluttershy Daarom kan een phisher makkelijk een Let's Encrypt certificaat gebruiken voor zijn fuik website. Jan met de Pet denkt toch dat het veilig is omdat hij een slotje ziet. En volgens de campagnes van overheden en bedrijfsleven is een slotje een indicator dat het veilig is.

Ook doodzonde dat de bedrijfsnaam niet meer bij de populaire browsers getoond wordt, want dat was juist een van de betere indicatoren dat de website ook echt de valide website is. Bij nieuwe versies van die browsers kost het dus meer moeite en gaan mensen er maar blind van uit dat het wel goed zit.

R4gnax @RoestVrijStaal • 19 augustus 2019 19:53

Ook doodzonde dat de bedrijfsnaam niet meer bij de populaire browsers getoond wordt, want dat was juist een van de betere indicatoren dat de website ook echt de valide website is.

Juist niet. Het is in het verleden al aangetoond dat het mogelijk is om EV certs te verkrijgen op dezelfde naam. Dat is met bijv. Stripe gebeurd door botweg de EV cert in een andere staat van de VS aan te vragen. Lukte gewoon.

StefanJanssen @R4gnax • 19 augustus 2019 20:29

Inderdaad, start een bedrijf Apple dat stoelen verkoopt en je hebt een certificaat met Apple BV

RoestVrijStaal @R4gnax • 19 augustus 2019 20:40

Dan is het de fout van het bedrijf die de uitgifte doet. Niet de fout van de technologie. Het zou enkel met de bij de "KvK" geregistreerde bedrijfsnaam moeten gaan. Niet met een willekeurige string.

R4gnax @RoestVrijStaal • 19 augustus 2019 20:42

Dan is het de fout van het bedrijf die de uitgifte doet. Niet de fout van de technologie. Het zou enkel met de bij de "KvK" geregistreerde bedrijfsnaam moeten gaan. Niet met een willekeurige string.

Klopt.
Dat is de eindconclusie van wel meer mensen: De techniek achter EV-certificaten zijn niet het probleem. De manier waarop er mee omgegaan wordt is het probleem.

StefanJanssen @RoestVrijStaal • 19 augustus 2019 18:16

Tegenwoordig tonen de meeste browsers niet de naam van het bedrijf meer en is het alleen een slotje. Dat houd dus in dat 90% van de gebruikers het verschil niet eens zal zien.

Het slotje zegt niets over de betrouwbaarheid van de website maar over de beveiliging van het verkeer.

GeroldM @RoestVrijStaal • 20 augustus 2019 03:56

Wild card certificaten klinken goed als oplossing, want makkelijker. Helaas niet alleen voor jou, maar ook voor cross-scripting. Kun je alsnog met de gebakken peren zitten, al denk je afdoende beschermd te zijn.

Elk domein zijn eigen certificaat is in dat opzicht iets veiliger. Maar ja, dat is dan weer veel werk en/of problematisch met het automatiseren ervan.

Verwijderd @RoestVrijStaal • 20 augustus 2019 09:03

Niet alles kan via een LE certificaat. De overheid heeft bv de verplichting om pkioverheid.nl te gebruiken. Als dat allemaal elke 13 maanden vervangen moet worden....

locke960 19 augustus 2019 18:07

Als men het niet meer mogelijk acht om goed en veilig certificaten te leveren die een behoorlijke tijd meegaan, dan is het reduceren van de geldigheidstermijn slechts een slecht werkend lapmiddel.

Als je certificaat op de een of andere manier gecompromitteerd is, of de encryptie wordt te zwak geacht, dan is ook een geldigheid van 1 jaar nog veel te lang. Zelfs 30 dagen is dan nog een probleem.
En als er niets mis is met je certificaat is er feitelijk geen reden om elk jaar te vervangen.

Dit voorstel is dus vooral een indicatie (de zoveelste) dat er iets fundamenteel mis is met het CA systeem.

Voorspelling: Over een paar jaar kun je alleen nog maar 30 dagen certificaten krijgen, met een automatische verlenging in abonnementsvorm a la Let's Encrypt. Om dat hanteerbaar te houden worden allerlei nieuwe systemen opgetuigd om een en ander te automatiseren. Daar zitten bugs in die weer geweldige problemen gaan veroorzaken, het zij door misbruik of geheel zelfstandig, en dan zijn we weer terug bij af.

laurxp @locke960 • 19 augustus 2019 18:50

Dat is volgens mij precies het doel. De kortere duur is een middel om iedereen te laten automatiseren. Dit zorgt er voor dat, als blijkt dat er iets mis gaat, het triviaal is om ze heel snel te vervangen. Momenteel zijn daar namelijk meerdere maanden voor nodig, zie bijvoorbeeld https://bugzilla.mozilla.org/show_bug.cgi?id=1534295 .
Is er iets mis met het CA-systeem? Absoluut, dit zou eigenlijk gewoon via DNS moeten gaan. Maar deze wijzigingen maken het wel veiliger.

D-Raven 19 augustus 2019 20:33

Goede ontwikkeling. Met de komst van LE zijn de traditionele CA's al flink onder hun kont geschopt. Met deze actie gebeurd dat nog eens. CA's vragen al jaren veel te veel geld voor datgene wat ze leveren. Dit wordt mede in stand gehouden door al die handmatige vernieuwing processen. Het is heel goed dat de druk op klanten om dit vernieuwing process te automatiseren, en de druk op CA's om hiervoor tools aan te bieden, groter is geworden.

Uiteindelijk zal de prijs van een SSL certificaat bepaald worden op een basis van vertrouwen en service, die een CA kan leveren. Waarbij nog verder in de toekomst het enigste variabel onderdeel in de prijs vertrouwen zou moeten zijn. AKA hoeveel vertrouwen geniet de partij waar je je Cert koopt, en welke mate van professionaliteit hebben ze.
Maargoed dat is in een perfecte wereld.

Het zal mij niks verbazen naarmate bedrijven hun processen meer automatiseren, ze overstappen naar de goedkoopste aanbieder, en er een aantal CA's uit het landschap zullen verdwijnen.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (78)

Sorteer op:

Weergave: