Let's Encrypt heeft een miljard ssl-certificaten uitgereikt

Certificaatautoriteit Let's Encrypt heeft een miljard ssl-certificaten uitgereikt. Het bedrijf heeft naar eigen zeggen op 192 miljoen websites een certificaat staan. Volgens Let's Encrypt is de automatische verlenging van certificaten een van de oorzaken van de stijgende adoptie.

Let's Encrypt bereikte de mijlpaal op donderdagavond, schrijft het bedrijf in een blogpost. Inmiddels zou ruim 81 procent van alle pageloads wereldwijd gebruik maken van versleuteling. Volgens Let's Encrypt is vooral het gebruikersgemak een belangrijke oorzaak van de grote groei in https-certificaten. "Dat hebben we onder andere gedaan via ons acme-protocol", schrijft het bedrijf. Let's Encrypt-certificaten verlopen automatisch na 90 dagen, maar websitebeheerders kunnen die met tools zoals certbot automatisch verlengen. Ook het feit dat browsers zoals Chrome, Firefox en Safari steeds harder optreden tegen websites zonder https-certificaat helpt volgens Let's Encrypt mee met de adoptie.

Let's Encrypt is een initiatief van de Internet Security Research Group en begon in december 2015 met het uitgeven van gratis ssl-certificaten. Die kostten tot die tijd nog veel geld, wat zeker voor kleine websites en blogs niet interessant was. Het bedrijf brengt sinds 2018 ook wildcard-certificaten uit, die ook verbindingen met subdomeinen versleutelen. Ondanks de grote hoeveelheid certificaten die Let's Encrypt uitgeeft zegt het bedrijf dat het nog steeds relatief klein is. Het bedrijf heeft 13 voltijdmedewerkers, en een jaarlijks budget van iets meer dan drie miljoen euro. In juni 2017 gaf het bedrijf zijn honderd miljoenste certificaat uit.

IT-banen

Reacties (102)

GekkePrutser 28 februari 2020 19:39

Het is wel een mooi systeem maar hun automatische vernieuwing is nog te ingewikkeld. Met name dat het poort 443 en 80 vereist. 80 staat meestal dicht in de firewall die op een totaal andere machine draait dus het is lastig om dit dan automatisch even open te zetten. Dus ik doe het nog steeds maar met de hand.

Ik snap alleen totaal niet waarom ze per se poort 80 willen zien. Het hele idee erachter is juist om alleen maar https te gebruiken

lenwar

Privacy

@GekkePrutser • 28 februari 2020 19:57

Je kan tegenwoordig ook op andere manieren je certificaten regelen. Je kan via een aantal dns providers ook rechtstreeks een certificaat aanvangen.

De tool praat dan bijvoorbeeld met de api van Cloudflare, maakt een tijdelijk TXT record aan, die wordt door Letsencrypt centraal gecontroleerd (dus als bewijs dat jij het domein beheerd), je certificaat opgehaald en het TXT record wordt weer verwijderd.
https://letsencrypt.org/docs/challenge-types/

Voordeel hiervan is, is dat je ook locale urls (die alleen in je lan zijn), of bijvoorbeeld je mailserver een ondertekend certificaat kan geven.

Paul @GekkePrutser • 28 februari 2020 21:14

Ze willen helemaal niet "per se" poort 80, ze gebruiken default poort 80. Ze ondersteunen ook DNS-validatie.

Daarnaast staan naar veruit de meeste webservers beide poorten open, simpelweg omdat de meeste browsers nog altijd alleen poort 80 proberen. En zelfs als nieuwere versies default 443 proberen ipv 80 dan nog blijf je voorlopig met mensen die hun browser om wat voor reden dan ook niet bijwerken (niet willen, niet kunnen, update mechanisme stuk zonder dat ze het doorhebben, whatever). En zolang je die mensen niet buiten wil sluiten heb je nog poort 80 nodig.

Dat is ook de reden dat TLS 1.0 en TLS 1.1 nog LANG niet overal uit staat, (te)veel bezoekers die het nog nodig hebben of hadden. Het aantal wordt gestaag minder, maar ik mag het op mijn werk ook nu pas uit gaan zetten.

Blokker_1999

Privacy

@GekkePrutser • 29 februari 2020 08:46

Poort 80 is de default poort voor http verkeer. Waarom zou je verwachten dat die dichtstaat op een webserver? Zelfs al is je site enkel https dan zet je meestal alsnog een redirect op van 80 naar 443 en dan is het ook eenvoudig om een uitzondering te maken voor de .acme subdir. Daarnaast is het gebruik van poort 80 natuurlijk noodzakelijk wanneer er geen communicatie over https mogelijk is omdat er nog geen certificaat geïnstalleerd staat.

CH4OS @GekkePrutser • 28 februari 2020 21:52

Je kunt dan toch de certbot draaien op de firewall? Dat is immers ook het entrypoint vanaf het internet. Als je een aparte firewall hebt, wil je eigenlijk ook dat de firewall de TLS terminating doet. De TLS is immers bedoeld voor de versleuteling tussen A en B. Als jij B bent dan is het dus voldoende als de firewall de TLS terminaton doet.

Dan hoeft het verkeer niet versleuteld naar (uiteindelijk) de webserver toe.

Poort 80 is alleen nodig bij de oude method, omdat het anders geen manier heeft om te verifiëren. Bij de nieuwe method wordt DNS gebruikt, dan vind de verificatie op DNS-niveau plaats ipv via een hidden file dat bereikbaar moet zijn naar het internet toe.

[Reactie gewijzigd door CH4OS op 24 juli 2024 15:00]

McBacon @GekkePrutser • 2 maart 2020 14:45

Of je gebruikt niet de standalone mode maar de webroot mode, dan maakt certbot gebruik van al bestaande webservers. certbot slaat in het door jou aangegeven mapje een ACME challenge op (<webroot>/.well-known/acme-challenge/<uniek ID> IIRC). Vervolgens roept ie de domeinnaam over HTTP aan en probeert ie de acme-challenge file te openen. Komen die overeen dan wordt het certificaat uitgegeven.

Standalone is inderdaad dat certbot zelf een webserver opzet.

Michiel36 28 februari 2020 17:57

Weet iemand hun verdienmodel? Is het eigenlijk niet gevaarlijk dat zon groot deel van de veiligheid van het internet in handen is van zon kleine club mensen?

dakka @Michiel36 • 28 februari 2020 18:13

donaties en sponsoren https://letsencrypt.org/sponsors/
verder is het een non-profit bedrijf

[Reactie gewijzigd door dakka op 24 juli 2024 15:00]

Michiel36 @dakka • 28 februari 2020 18:32

Bedankt voor jullie antwoorden, maar na zoveel jaar ervaring met "als iets gratis is dan ben jij het product" modellen is het toch logisch om hier wat meer in te graven dan wat jullie nu doen?

Er zijn gewoon bedrijven zoals Xolphin die met deze move van hun, een groot stuk van hun broodwinning zagen verdwijnen. Iedereen vind het maar prima natuurlijk, want gratis, maar ergens is het best oneerlijke concurrentie wat de Amerikanen dan zo 1,2,3 eventjes doen.

Is dat dan om barmhartige redenen (zeer zeldzaam)? OF wordt onze data op 1 of andere manier weer doorverkocht (zeer veel voorkomend)?

RobIII @Michiel36 • 28 februari 2020 19:13

ergens is het best oneerlijke concurrentie

Heel die certificaten handel is belachelijk. Ze maken best wel een beetje kosten voor elk certificaat, maar vele tientallen of honderden euro's voor zo'n ding vragen is van de zotte. Zélfs als je er allerlei "verzekeringen" bij biedt. Als er iets afzetterij is geweest de afgelopen twee decennia dan is de certificatenhandel wel.

LE laat mooi zien dat 't wél kan.

[Reactie gewijzigd door RobIII op 24 juli 2024 15:00]

FvdM @RobIII • 29 februari 2020 13:23

En die verzekeringen zijn ook een wassen neus. Je moet ten eerste aantonen dat de uitgever van het certificaat een fout heeft gemaakt. Maar op dat moment blijkt de hele CA dus onbetrouwbaar is wordt het uit de trust chain van de browsers en OSen verwijderd. De tent gaat failliet en kan je fluiten naar je verzekering. Zo is het ook bij DigiNotar gegaan.

Jester-NL @RobIII • 28 februari 2020 19:54

Die verzekeringen... dat was natuurlijk wel het verdienmodel. Zoals bij een Symantec EV-certificaat dat je verzekerde tot een miljoen aan schade (uitkering alleen bij een inbraak aantoonbaar door het certificaat heen, en niet in geval je dat niet kei- en keihard kon maken... er is derhalve nooit hoeven uitkeren

)

freaky @Jester-NL • 28 februari 2020 20:20

Laat EV nou net iets zijn waar je geld voor mag vragen. Dan lichten ze echt door of je bestaat, bent wie je zegt, gerechtigd bent volgens de KvK inschrijving, of je telefoonnummer klopt en nog wat zaken.

Noxious @freaky • 28 februari 2020 22:24

Wel wat leesvoor over EV:
Troy Hunt: "Extended Validation Certificates are Dead"

Meer on-topic:
Let's Encrypt is erg fijn voor mijn hobbyprojecten en tal van andere kleine dingen, maar vanuit een bedrijf kijken mensen er toch anders naar. Daar worden ze toch een beetje gezien als 'speelgoedcertificaten' en niet erg professioneel. Het korte verval helpt natuurlijk ook niet mee bij complexe systemen.

[Reactie gewijzigd door Noxious op 24 juli 2024 15:00]

init6 @Noxious • 1 maart 2020 23:48

Let's encrypt gebruiken wij in onze interne communicatie, op backend niveau en tussen edge locaties.

Als je je een beetje inleest in certificaten, dan snap je al gauw dat een Let's encrypt cert alles behalve speelgoed is maar juist de bagger van zelf je CA en self signed certificaten uitstekend kan vervangen. Het levert enorme kosten besparingen op, maakt je omgevingen meer secure door korte levensduur van certificaten en geeft in veel gevallen rust (tenzij je een rate limit raakt). Via cronjobs kan je de certbot instellen, via API's en libraries kan je zelfs in je applicaties je certificaten vernieuwen. Onze loadbalancers nemen nu de renewal op zich, er komt niemand meer op de systemen en niemand heeft meer een certificaat op zijn laptop staan.

Mensen die Lets Encrypt als speelgoed certificaten zien weten niet waar ze het over hebben en zijn niet serieus te nemen als IT'ers.

To_Tall

@Noxious • 28 februari 2020 22:36

Wie kijkt daar dan naar??

Ik heb Lets encrypt voor een web winkeltje draaien die de webwinkel als extraatje zien.

Een gebruiker gaat echt niet het verschil weten tussen een LE cert of een duur betaalde EV.

LE kan best professioneel gebruikt worden.

Noxious @To_Tall • 28 februari 2020 22:43

Oh eens @ professioneel gebruik, ik had het over iets grotere schaal.

Het bedrijf waar ik werk maakt software voor gemeenten, daar kijkt een CISO er vaak iets anders tegenaan als een koppelvlak of webinterface een LE certificaat gebruikt.

MikeN @Noxious • 28 februari 2020 23:54

Het bedrijf waar ik werk maakt software voor gemeenten, daar kijkt een CISO er vaak iets anders tegenaan als een koppelvlak of webinterface een LE certificaat gebruikt.

Dan is die CISO z'n geld niet waard, gezien er technisch niets op LE af te dingen is t.o.v. een ander domain validated certificaat. Maar als dat dezelfde CISO's zijn die dit soort praktijken toelieten valt dat te verwachten: nieuws: Nederlandse gemeenten overtreden privacywet door geen https te gebruiken

Je opmerking over de korte geldigheid is ook weinig nuttig, op termijn zullen we daar allemaal heen gaan. Safari zal waarschijnlijk binnenkort alleen nog certificaten met een geldigheid van max. 1 jaar accepteren, en zo zal over de komende jaren de geldigheid van certificaten steeds korter en korter worden.

[Reactie gewijzigd door MikeN op 24 juli 2024 15:00]

GeroldM @MikeN • 29 februari 2020 21:47

Waar het in heel veel situaties best nuttig is om certificaten snel te "verversen", er zijn ook meer dan genoeg situaties waarbij dit niet het geval is.

Daarnaast, een server systeem achter een goed beheerde firewall, welke ook met certificaten is beveiligd maar vooral intern gebruikt word...daar is het nut van vaak "verversen" ver te zoeken.

Want een certificaat dat gecomprimitteerd is, is onveilig. En zolang dat niet het geval is, dan boeit de validiteits-periode voor geen meter.

Voor systemen die direct in verbinding staan met het internet, reduceert vaak "verversen" de kans dat deze gecomprimitteerd worden. Dat is zeker waar. Maar brengt het zeker niet naar nul. En als je systeem toch gecomprimitteerd word, dan zal diegene die de inbraak pleegt echt wel slim genoeg zijn om zichzelf blijvend toegang te verschaffen. Dus ook nadat je braaf je certificaten "ververst".

Vaak "verversen" is dus helemaal niet zo bullet-proof als dat word beloofd. Het is één van de vele stappen om een systeem veilig aan het internet te koppelen. Niets meer of minder.

Nu er zoveel websites gebruik maken van Let's Encrypt, dat betekent dus ook dat het bedrijf erachter een target is geworden voor hackers. Want hoeveel websites kan een hacker of groep van hackers "plagen" met gecomprimeerde certificaten? Die snelle "verversings-periode" is nu net zo destructief als benificieel.

Let's Encrypt zal vast kundig personeel in huis hebben en met de beste bedoelingen aan dit project zijn begonnen. Maar als ze teveel websites voorzien van certificaten, dan worden ze vanzelf te gevaarlijk om te gebruiken. Want als ikzelf al zulke snode plannen kan bedenken, dan zijn slimmere geesten dan mezelf allang bezig met de preparaties en/of uitvoer van zulke plannen.

DeV0uReR @Noxious • 28 februari 2020 23:04

Lange levensduur van certificaten en handmatige procedures zijn juist stukken minder veilig en vergroten de kans op fouten; derhalve ook dat browsers juist certificaten met lange levensduur gaan blokkeren (nieuws: Apple-browsers gaan tls-certificaten weigeren die meer dan een jaar g...)

Noxious @DeV0uReR • 29 februari 2020 00:51

Ik ben het helemaal met je eens. Veranderd natuurlijk niet de situatie dat veel organisaties en overheid daar vaak nog helemaal niet klaar voor zijn.

sfranken @Noxious • 28 februari 2020 23:13

Daar worden ze toch een beetje gezien als 'speelgoedcertificaten' en niet erg professioneel

* sfranken krabt zich achter z'n oren en kijkt naar de SSL vendor van Tweakers.net... hmm....

freaky @Noxious • 29 februari 2020 03:04

Da's typisch een dingetje van niet begrijpen.

DV/OV/EV bepaalt de manier van validatie. Dat is waar het vertrouwen op gebaseerd dient te zijn en wat de consument veelal totaal niet begrijpt en er derhalve niet de juiste waarde aan kan hechten helaas.

LE verstrekt alleen DV's.

Encryptie is op alle typen certificaten (mits zelfde key size uiteraard) exact hetzelfde, ook voor self-signed of eigen CA chains overigens. Een 2048b (RSS) key is immers een 2048b key.

Als ie uitlekt is het risico in alle gevallen identiek.

Wordt wellicht ook nog lastig om uit te leggen dat een 384b EC key nog veiliger is (ommenabij 7000b RSA equivalent).

En ja EV is ver dood. Waarom betalen voor iets waar er gros geheel niet op let. Banken, overheden en hele grote organisaties e.d. zullen er voorlopig, terecht, wel aan vasthouden, maar voor Joop's speelgoed paleis met 300k omzet per jaar niet zo boeiend. Voor die grote clubs is die ~100-900 euro voor EV per jaar ook nauwelijks boeiend.

De meeste grote betaalde CA's kunnen tegenwoordig ook gewoon met ACME protocol certificaten leveren. Als je dat onveilig vind, maakt het feit dat ze het op die manier kunnen leveren je argument om het niet te gebruiken eigenlijk al ongeldig. Zou je al die CA's moeten weigeren.

mocem @freaky • 1 maart 2020 14:34

In de meeste browsers is het verschil al niet meer te zien dus EV is ook zinloos.

McBacon @freaky • 2 maart 2020 14:51

Nou, nee. Heb voor een klant eens zo'n aanvraag moeten doen. Telefoonnummer wat we hadden doorgegeven was volgens de certificaatboer niet het juiste, dus een random 06-nummer opgegeven van iemand die niet bij de klant werkte (maar bij ons bedrijf), opgenomen met "hallon dit is Henk van XXX" en een paar vragen beantwoord in de geest van "hebben jullie dit cert aangevraagd?". Niet lang daarna is het certificaat uitgegeven. Bij de klant werkte er niet eens iemand die Henk heette, wat een uitgebreide controle moet dat toch geweest zijn.

Was ook niet de enige keer, er zijn meerdere aanvragen op een vergelijkbare manier doorgezet.

[Reactie gewijzigd door McBacon op 24 juli 2024 15:00]

Devaqto @RobIII • 28 februari 2020 20:32

Jouw comment heeft wel enige nuance nodig, je verhaal klopt grotendeels over DV-certificaten, maar de EV-certificaten (extended validation) kosten nou eenmaal geld omdat er ook daadwerkelijk administratief werk aan verbonden is (lees verificatie). Overigens heb je die ook al voor nog geen 100 euro per jaar.

RobIII @Devaqto • 28 februari 2020 22:17

De EV certificaten waren (laatste keer dat ik ze aanvroeg, ergens in ... 2006?) toen nog €300 ~ €500 volgens mij en, ja, daar kwam _iets_ administratief werk bij (ze deden een paar simpele checks; KvK, telefoonnummer bereikbaar, nog wat dingetjes) en dat bedrag was (zeker zakelijk gezien) peanuts. Maar, quite honestly, waren ze 't geld niet waard. En EV krijgt weer steeds minder 'waarde', de groene balk is alweer weg in de meeste (alle?) browsers etc. Ze zijn nog altijd 'waardevoller' dan een DV maar nog steeds 90% gebakken lucht.

freaky @RobIII • 29 februari 2020 03:13

Dat is dus niet waar. Achter een DV kan iedere oplichter met een domeinnaam zitten. Bij een OV/EV kan dat dus niet.

Dat de gemiddelde consument, grofweg ws 99%, dat niet (afdoende) begrijpt maakt je argument nog niet valide echter.

Bij een DV staat ook alleen de domeinnaam in het cert. Bij OV/EV ook bedrijfsnaam, land en plaats o.a.

Dat dat gevalideerd is en opgenomen geeft CA's wel degelijk bestaansrecht. Iedereen die je DNS server kan hacken, de webserver zelf of je e-mail kan een DV verkrijgen voor je domeinnaam. Gaat hem bij OV/EV niet worden dus. Als ze je webserver kunnen hacken kunnen ze nagenoeg per definitie ook je certificaat jatten echter (voor alle typen - zijn wat mitsen en maaren, cert kan bijv. ook op een loadbalancer staan en/of in een HSM zitten, maar dat is voor de meeste kleine sites zelden tot nooit het geval).

RobIII @freaky • 29 februari 2020 10:59

Achter een DV kan iedere oplichter met een domeinnaam zitten. Bij een OV/EV kan dat dus niet.

Dat is toch wat ik zeg? Bij een EV worden wat meer/diepgaandere checks gedaan. Maar ook dat was in sommige gevallen best een wassen neus; ik spreek uit ervaring. Ik heb een EV aangevraagd én ontvangen op (wat achteraf bleek) een verlopen/vervallen KvK (verkeerde nummer gebruikt na wat wisselingen van VOF naar BV of-weet-ik-wat-het-precies-was) én verkeerd adres (was van dezelfde holding maar wel een dochteronderneming). Dat was ergens half 2000 in mijn vorige baan dus ik kan je helaas niet meer vertellen welke CA dat was.

Verder moest je een lullig formuliertje doorlopen of je wel onsite en offsite backups maakte en een firewall gebruikte en andere neuzel maar a) werd dat (natuurlijk) niet gecontroleerd en b) so what, stel ik gebruik een firewall maar die staat wagenwijd open, then what? en c) het was painstakingly obvious wat de juiste antwoorden waren in die multiple-choice vragen dus je wist dondersgoed wat ze wilden horen dus dat vulde je dan gewoon in en klaar...

Dat de gemiddelde consument, grofweg ws 99%, dat niet (afdoende) begrijpt maakt je argument nog niet valide echter.

Waar beweer ik dat

Ik zeg alleen dat EV's minder waard worden omdat ze steeds minder herkenbaar in de adresbalk aanwezig zijn. Ja, je kunt er op klikken en 'ontdekken' dat 't een EV is, maar in de gemiddelde browser zie je 't verschil niet meer.

Zoals elders aangehaald: Extended Validation Certificates are Dead

Bij een DV staat ook alleen de domeinnaam in het cert. Bij OV/EV ook bedrijfsnaam, land en plaats o.a.

En wie, behalve een nerd/tweaker, kijkt daar naar? Juist, geen hond. Al helemáál niet als je er voor moet 'doorklikken'.

Dat dat gevalideerd is en opgenomen geeft CA's wel degelijk bestaansrecht.

Ik beweer nergens dat CA's geen bestaansrecht hebben; steker: zonder CA's geen SSL.. Ik zeg alleen dat ze in de 'hoogtijdagen' goud geld verdienden met het verkopen van gebakken lucht (ik zeg nergens dat ze er geen geld mee mogen verdienen, alleen dat de marge IMHO véél te hoog was).

[Reactie gewijzigd door RobIII op 24 juli 2024 15:00]

freaky @RobIII • 29 februari 2020 14:31

Ze controleren idd niet allemaal even goed. Heb EV's verkocht van ~120 euro p/j, meen via Comodo (tijd geleden dat ik ze besteld heb, vanwege de browsers die de adresbalk niet meer groen kleuren en de bedrijfsnaam niet meer laten zien is de vraag al tijden nagenoeg nihil) waar ze toch echt vielen over verkeerd cijfer in een formulier en/of verlopen KvK. Niet alle CA's zijn gelijk helaas en schandelijk genoeg lijken de duurdere zich er vaker makkelijker vanaf te maken helaas. Wellicht omdat ze genoeg verdienden om eventuele misstanden met gemak weg te poetsen. Clubs met minder marge zitten daar toch minder op te wachten. Zou verwachten dat duurder je meer garantie had moeten geven, maar de wereld werkt helaas toch niet helemaal zo (met patenten en andere ellende veelal niet heel veel anders helaas, als een grote club je aanklaagt voor vermeend patent misbruik is het vaak goedkoper om maar gewoon te schikken dan de rechtzaak aan te gaan, als je hem al kan betalen).

Echt doorklikken hoeft overigens niet in veel gevallen, maar moet wel op slotje klikken. Vind het persoonlijk vrij achterlijk dat bijv. Chrome maar besloten heeft om www van een URL af te slaan in de adresbalk (ken genoeg domeinen waar domein.tld toch echt wat anders is dan www.domein.tld) en dan dit doet met EV's. Had dan de bedrijfsnaam in de adresbalk weergegeven ofzo.

En ja, velen zijn bizar duur, zeker gezien hun nalatigheid. Een van de ergste is gelukkig wel de nek omgedraaid een tijdje terug

.

Ben daarbij ook verre van gelukkig met o.a. overheid CA's. Onze eigen overheid heeft er ook een handje van. Wat moet 3/4 van de wereld met een CA van de Staat der Nederlanden in hun store? En wat levert het zou nou echt helemaal op t.o.v. bij een grote bekende CA bestellen? Niet erg veel (vnl politiek in eigen hand willen hebben)... En wij hebben een (hopelijk) redelijk betrouwbare overheid, heb echt geen idee waarom ik die van Turkmenistan zou willen bijv., zit er std. wel in. Liever een paar partijen die zo transparant mogelijk zijn en gewoon keihard afgeschoten worden als ze misstappen maken dan wildgroei.

En tja, dat niemand er naar kijkt is gebrek aan educatie. Beetje vicieuze cirkel. Wordt genoeg geroepen over o.a. verschillende vormen van oplichting via diverse media. Ze hadden wellicht best wat informatiever kunnen zijn. Gemiddelde digibeet cursus geeft er ook geen aandacht aan helaas.

RobIII @freaky • 29 februari 2020 14:42

Echt doorklikken hoeft overigens niet in veel gevallen, maar moet wel op slotje klikken

Uh, dat is precies wat ik bedoel met doorklikken

Vind het persoonlijk vrij achterlijk dat bijv. Chrome maar besloten heeft om www van een URL af te slaan in de adresbalk [...] en dan dit doet met EV's. Had dan de bedrijfsnaam in de adresbalk weergegeven ofzo.

Ik ben 't ook oneens wat ze met Chrome (en andere browsers) allemaal doen met de adresbalk, maar dat is een andere discussie

En ja, velen zijn bizar duur, zeker gezien hun nalatigheid.

Dank u. Dat was mijn hele (initiële) punt

Ben daarbij ook verre van gelukkig met o.a. overheid CA's.

Breek me de bek niet open; ik heb er niet heel lang geleden nog 2 moeten aanvragen. Daar kwam wél een poppetje voor om me face-to-face te laten tekenen na verificatie paspoort etc.

tweaknico @freaky • 29 februari 2020 18:07

Maar dan ook werkelijk afgeschoten en niet nog een jaar naijlen zoals diginotar...

Verwijderd @Michiel36 • 28 februari 2020 18:36

OF wordt onze data op 1 of andere manier weer doorverkocht (zeer veel voorkomend)?

Welke data?

Michiel36 @Verwijderd • 28 februari 2020 18:50

Ik weet dat het om certificaten gaat, maar wat nu als de bedoelingen van die club niet zuiver barmhartig zijn. Kortom, geven wij ze op 1 of andere manier macht door massaal bij hun de certificaten te regelen?

Als ik het goed heb kan je toch een website vervalsen, d.m.v. het certificaat de browser laten geloven dat de persoon op de echte website zit, en vervolgens alles binnen harken wat ze invoeren? Om maar wat te noemen.

Moet ik nu 3 Tweakers gaan inspireren om eens wat verder na te denken dan hun neus lang is?

Ps: 1 clubje van 13 medewerkers heeft 81% van de websites wereldwijd beveiligd met hun SSL certificaten, uit het land waar 9 van de 10 keer er altijd wat achter heeft gezeten.

[Reactie gewijzigd door Michiel36 op 24 juli 2024 15:00]

Verwijderd @Michiel36 • 28 februari 2020 18:57

"Does Let’s Encrypt generate or store the private keys for my certificates on Let’s Encrypt’s servers?
No. Never.

The private key is always generated and managed on your own servers, not by the Let’s Encrypt certificate authority."
Bron: https://letsencrypt.org/docs/faq/

Zo lang ze niet de private key hebben van het certificaat, kunnen ze niets ontsleutelen of "harken".
Zie ook @dakka's reactie voor de bron code, certbot is openbaar en transparant, dus deze claim is ook verifieerbaar die let's encrypt maakt op de FAQ pagina.

Dus tenzij jij jouw private key laat lekken, kan er niets ontsleuteld worden.

Edit:
https://github.com/certbot/certbot

[Reactie gewijzigd door Verwijderd op 24 juli 2024 15:00]

Michiel36 @Verwijderd • 28 februari 2020 19:25

Zelfde als de crypto dus, thanks.

freaky @Michiel36 • 28 februari 2020 20:30

Moet ik nu 3 Tweakers gaan inspireren om eens wat verder na te denken dan hun neus lang is?

Doe je best zou ik zeggen. Weet erg veel van certificaten en jij duidelijk niet.

Begint al met het feit dat de private key, waar de hele encryptie mee begint, nooit terecht komt bij de CA.

Het enige dat zij doen is verifiëren dat je het domein bezit. Welk land ze zitten is geheel niet relevant, verandert compleet niets aan de werking nl.

Het staat je vrij ze niet te vertrouwen overigens. Pleur hun CA gewoon uit je root store, is je vermeende probleem opgelost.

GeroldM @freaky • 29 februari 2020 22:01

Het beheer van certificaten stores op (LAN) computers, dat is geen probleem voor de gemiddelde Tweaker.

Maar leg hoe je dat doet maar uit aan de gemiddelde gebruiker of personen die alleen geinteresseert is in hun webwinkeltje voor wat bijverdiensten. Zorgt er alleen voor dat je voortijdig grijs word en zulke haren zal je dan vast wel uit willen trekken. Zie zelf wel wat problemen in die oorzaak-gevolg-oplossing situatie.

sfranken @Michiel36 • 28 februari 2020 23:18

Als ik het goed heb kan je toch een website vervalsen, d.m.v. het certificaat de browser laten geloven dat de persoon op de echte website zit, en vervolgens alles binnen harken wat ze invoeren? Om maar wat te noemen

Uh, nee. Je kunt een certificaat voor website B niet gebruiken voor website A. Of je moet ook controle hebben over een (groot deel van de) DNS servers, anders gaat je naam->adres omzetting niet kloppen en krijg je in de browser de website niet eens te zien, maar een dikke vette foutmelding. Vooral met iets als HTTP Key pinning.

Eagle Creek

@Michiel36 • 28 februari 2020 18:54

Onderdeel van het concept "non-profit"? Als men kostendekkend is en dat kan aan de hand van donaties zijn er verder weinig redenen om geld te willen verdienen aan schimmige zaken zoals het verkopen van persoonsgegevens. Het "bij gratis ben jij het product" draait erom dat er ergens geld vandaan moet komen. En bij een pro-profitbedrijf kunnen de inkomsten niet genoeg zijn.

Wil niet zeggen dat je geen kritische vragen mag stellen natuurlijk. Maar let's encrypt is niet zomaar te vergelijken met een willekeurige uitgever van gratis mobile games, om maar iets te benoemen.

Daarnaast hebben ze in principe een lagere betrouwbaarheidswaarde qua bedrijfsvalidatie aangezien ze alleen domein gevalideerde certificaten uitgeven. Met de besproken initiatieven van Google is overigens nog maar de vraag wat daar in de toekomst de waarde van is.

Vooralsnog hebben grote commerciële CA'S nog een rol, ware het niet alleen uit voldoen van regelgeving en geven van garanties. Maar ben benieuwd of dat zo blijft.

[Reactie gewijzigd door Eagle Creek op 24 juli 2024 15:00]

Michiel36 @Eagle Creek • 28 februari 2020 18:59

Jazeker, maar die servers draaien niet op non profit.

Het andere veel voorkomende model, wat ik overigens prima vind in deze, zou kunnen zijn dat ze later betaalde opties eraan toevoegen. Dus eerst binnenharken want gratis, daarna extra "premium" opties verkopen. Alleen staat dat dus haaks op non profit.

Daarom dat ik ook zo zit te hameren op of ze er niks evils mee zouden kunnen doen, want 81% van alle websites is nogal wat bereik.

Marq @Michiel36 • 28 februari 2020 19:13

Het idee van een non-profit is niet dat er geen inkomsten zijn, maar dat winst expliciet niet het doel is. Met andere woorden, de inkomsten moeten de kosten (servers, personeel etc) dekken.

Gezien de grootte van het doel wat Letsencrypt dient, en hun geringe kosten (maar 3 miljoen per jaar), is het goed te doen om genoeg sponsors te vinden om de kosten te kunnen blijven betalen.

Michiel36 @Marq • 28 februari 2020 19:22

Ik ben overtuigd en zal zelf ook een kleine duit in het zakje doen bij ze.

MMaster23 @Michiel36 • 28 februari 2020 19:02

Nee.. "Inmiddels zou ruim 81 procent van alle websites wereldwijd gebruik maken van versleuteling."

Versleuteling.. Niet hun certificaat maar een certificaat. Ze hebben geen macht over het internet.

Hun certificaten zijn een keten van vertrouwen. Browser en os bouwers hebben het let's encrypt root ca certificaat getrust en doen dit iedere keer bewust opnieuw. Echter zij kunnen door middel van een patch of crl binnen no time stekker uit hun support trekken. Doet Let's Encrypt dus iets geks of raars wat niet in rol past, zijn ze nergens meer.

Geven en gunnen.. Het project is er om sites en interacties veiliger te maken en we zien daarom dat tls een enorme groei maakt de afgelopen paar jaar. Stimulatie vanuit SEO ranking e.d. helpt ook.

Je hoeft niet wakker te liggen van LE.. Ze hebben geen macht en ik ben heel blij dat ze er zijn.

Michiel36 @MMaster23 • 28 februari 2020 19:21

Top, ook icanbepanda bedankt.

Dan rest mij alleen nog eens een bezoekje te maken aan deze pagina:
https://letsencrypt.org/donate/

Want ik ben ook blij dat ze er zijn.

dakka @Michiel36 • 28 februari 2020 18:41

welke data, het is een certificaat

bij linux ben je toch ook niet het product, er is alle baat bij om dit zo transparant en betrouwbaar mogelijk te houden, anders heeft niemand er wat aan.

hier heb je alle broncode btw https://github.com/letsencrypt

[Reactie gewijzigd door dakka op 24 juli 2024 15:00]

batjes @Michiel36 • 28 februari 2020 18:46

We hadden dit in Europa natuurlijk ook zelf op kunnen richten. Kan nog steeds zelfs.

We wachten hier in Europa op het gebied van software gewoon te vaak af wat Amerika gaat doen.

Michiel36 @batjes • 28 februari 2020 19:23

Eens, ook de oneindige verkoop van mooie bedrijven aan buitenlandse investeringsbedrijven zou ik graag anders willen zien.

Gelukkig hebben we als klein kikkerlandje er nog een paar.

Verwijderd @Michiel36 • 29 februari 2020 00:24

Er zijn gewoon bedrijven zoals Xolphin die met deze move van hun, een groot stuk van hun broodwinning zagen verdwijnen. Iedereen vind het maar prima natuurlijk, want gratis, maar ergens is het best oneerlijke concurrentie wat de Amerikanen dan zo 1,2,3 eventjes doen.

Het merendeel van de mensen die Let's Encrypt gebruiken, gebruikte voorheen de gratis certificaten van StartCom's StartSSL die begin 2018 haar activiteiten gestaakt heeft of ze namen voor die tijd een goedkope certificaat via bijvoorbeeld Enom.com, Namecheap, Oxxa, Versio alwaar bij een aantal van deze partijen de certificaten nog geen tientje per jaar kostte.

Xolphin heeft het de jaren voordat Let's Encrypt ontstond vooral gehad van de mensen die totaal de weg niet wisten of juist de partijen die een EV certificaat wilde - omdat toen ook veelvuldig werd gesproken over een groene adresbalk met slotje.

Dus nee, Xolphin zal er hoogstwaarschijnlijk niet echt veel om treuren.

tweaknico @Verwijderd • 29 februari 2020 18:03

StartSSL heeft zodanig veel steken laten vallen tijdens het breien aan certificaten dat ze uit de trustedlijsten man alle browser leveranciers zijn gevallen... en zo waren er nog een paar. Overigens ook leveranciers van betaalde certificaten.

Die zijn niet verdwenen door LetsEncrypt.

Verwijderd @tweaknico • 29 februari 2020 18:58

StartSSL heeft zodanig veel steken laten vallen tijdens het breien aan certificaten dat ze uit de trustedlijsten man alle browser leveranciers zijn gevallen...

en zo waren er nog een paar. Overigens ook leveranciers van betaalde certificaten.

Die zijn niet verdwenen door LetsEncrypt.

Ten tijden dat Let's Encrypt public ging, bood StartSSL gratis certificaten aan voor de duur van 2 jaar in tegenstelling tot Let's Encrypt. Dit was voordat browsers het vertrouwen van StartSSL introkken, "DE" manier om de klanten te behouden en dat was enorm succesvol.

Bij StartSSL was het een combinatie van beide, concurrentie van Let's Encrypt die enorm veel steun krijgt van grote partijen, het intrekken van het vertrouwen in StartSSL, in browsers...

Bij de rest weet ik het niet. Ik gebruikte Enom voordat ik gebruik ging maken van Let's Enctypt aangezien een certificaat me er $ 5.00 per jaar kostte terwijl bij het merendeel de kosten rond de € 10,00 betrof.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 15:00]

zx9r_mario @Michiel36 • 28 februari 2020 21:55

Later kwam Oxxa ook met SSL certificaten en prijzen die een stuk lager zijn dan Xolphin.

HitDyl @Michiel36 • 29 februari 2020 12:46

"als iets gratis is dan ben jij het product"

Open source libraries zijn ook al jaren gratis en een onmisbaar onderdeel in software ontwikkeling. Zonder addertje.

[Reactie gewijzigd door HitDyl op 24 juli 2024 15:00]

Zobat @Michiel36 • 29 februari 2020 16:25

"is het toch logisch om hier wat meer in te graven dan wat jullie nu doen?" Dan doe jij dat toch?! Ik zie jou bijdrage als pure FUD.

Darkprince1234 @Michiel36 • 28 februari 2020 19:59

Ik heb wel eens begrepen dat een Certificate Authoritity informatie ontvangt over wie welke website wanneer bezoekt wanneer de bezoeker een website bezoekt die beveiligd is met een SSL vsn deze CA. Dit komt door de chain of trust waardoor de CA wordt gecontacteerd bij een https call.

CH4OS @Darkprince1234 • 28 februari 2020 21:26

Nee, zo werkt TLS gelukkig versleuteling niet. Je stuurt dan een private key CSR naar een Certificate Authority (zoals Let's Encrypt), die het vervolgens ook tekent door een publiek certificaat terug te geven (in een notendop) en daarbij de intermediate certificaten geeft tot aan het root certificaat. Deze chain biedt jij als hoster van Website X elke keer aan bij een request. Er gaat geen enkele data naar de Certificate Authority toe, dus geen idee waar je die info vandaan hebt, maar het is gewoon niet waar.

EDIT:
Dank, @overhyped voor de correctie!

[Reactie gewijzigd door CH4OS op 24 juli 2024 15:00]

overhyped

@CH4OS • 28 februari 2020 22:02

Jouw uitleg klopt ook niet helemaal, de private key verlaat namelijk nooit de originele host, deze gaat nooit naar de CA toe. Wat wel naar de CA gaat is een Certificate Signing Request. Deze is ondertekend met de private key, maar bevat ‘m niet.

Waar het wel de mist mee in kan gaan qua privacy is de certificate revocation check. Daarbij check the client of het certificaat van de server nog geldig is. En tja, waar doe je dat checken: bij de CA. Hier zijn potentieel wel wat privacy hiaten te vinden, maar die zijn ook alweer opgelost, o.a door ocsp stapling (
https://en.m.wikipedia.org/wiki/OCSP_stapling) leuk leesvoer

CH4OS @overhyped • 28 februari 2020 23:03

Ah, check, ik wist dat ik ergens een foutje had, maar kon het zo gauw niet bedenken. bedankt voor de correctie!

CyBeR @Darkprince1234 • 29 februari 2020 13:47

Dat betreft OCSP en dat klopt, maar is te voorkomen door de eigenaar van de webserver dat al voor je te laten doen en het resultaat mee te sturen met de TLS negotiation. Dat heet OCSP stapling. Je kunt zelfs (bij aanvraag) in je certificaat instellen dat dat verplicht is.

[Reactie gewijzigd door CyBeR op 24 juli 2024 15:00]

Verwijderd @Michiel36 • 28 februari 2020 18:11

Er is geen verdienmodel. Ze leven op donaties.

Zer0 @Verwijderd • 28 februari 2020 20:09

Ook leven op donaties is een verdienmodel...

Jester-NL @Michiel36 • 28 februari 2020 18:40

(...)Is het eigenlijk niet gevaarlijk dat zon groot deel van de veiligheid van het internet in handen is van zon kleine club mensen?

Definieer "kleine groep mensen"...
Het hele certificaat-verhaal rust (uiteindelijk) op de afspraken van de CA's en de browser-makers. En de browser-makers hebben een behoorlijk stuk in de melk te brokkelen (voorbeeldje). Kijken we naar de CA's... Symantec (toch niet echt een kleine naam), heeft niet zo heel lang geleden zijn hele certificaat-divisie van de hand gedaan... en dat zal zeker te maken hebben gehad met een akkefietje over onterecht uitgegeven certificaten op de Google-naam (klik).

Dan zijn er nog de registries... ook niet onmiddellijk clubs die puur door idealisme worden gedreven. Kijk naar Verisign waar (linksom of rectsom) alle .com-domeinen onder vallen.
En dan hebben we ook de ICANN nog... de overkoepelende organisatie die het hele internet beheert. Het zegt an-sich wel iets dat er een heel lemma op Wikipedia gewijd is aan de kritiek die er geuit is op deze club.

En dan maak je je zorgen over een non-profit organisatie die zich tot doel stelt om de verbinding tussen jouw computer en de site die je wenst te bezoeken veiliger te maken?

Michiel36 @Jester-NL • 28 februari 2020 19:09

Thanks voor je andere informatie, ik ben me bewust dat er nog meer veel machtigere partijen zijn. Ik maak me er ook geen zorgen over. Echter zodra ik aantallen zie als 81% van alle websites, dan zou het toch handig zijn om op zijn minst even een discussie te kunnen voeren over wat dit voor macht geeft aan dat clubje?

Heel Tweakers staat vol met het ene schandaal na het andere, veel partijen die A zeggen en stiekem B doen enzovoorts. Dan nog kan dit een prima partij zijn met alle beste bedoelingen, ik ben heus niet cynisch geworden. Alleen uit jullie reacties krijg ik niet echt het gevoel of hier wel eens goed bij stil is gestaan. In combinatie met hun bereik en dan ook nog eens iets wat het internet moet beveiligen, zou ik dan op zijn minst wat kritischer zijn.

jrswgtr @Michiel36 • 28 februari 2020 19:33

Inmiddels zou ruim 81 procent van alle websites wereldwijd gebruik maken van versleuteling

Uit originele artikel:

In June of 2017 approximately 58% of page loads used HTTPS globally, 64% in the United States. Today 81% of page loads use HTTPS globally, and we’re at 91% in the United States!

Er staat niet dat 81% van alle websites gebruik maakt van een Let's Encrypt certificaat. Er staat dat 81% van alle websites versleuteling gebruikt.

[Reactie gewijzigd door jrswgtr op 24 juli 2024 15:00]

GHorsie @Michiel36 • 28 februari 2020 19:37

Bedenk overigens dat er alleen gezegd wordt dat momenteel 81% van alle website bezoeken via https gaat. Er staat niet dat Let’s Encrypt 81% van alle certificaten levert.
De doelstelling van LE is/was om zoveel mogelijk websites via een beveiligde verbinding te bezoeken. En daarom is er een manier gemaakt om op een gemakkelijke manier, en toevallig ook gratis, certificaten te integreren op de website van zowel particulieren als ook alle anderen die een website hebben.

In de praktijk zullen veel bedrijven alsnog een certificaat van een andere leverancier kopen, en sommige websites zullen ook speciale certificaten aanvragen.

mrdemc @Michiel36 • 28 februari 2020 18:32

LetsEncrypt is onderdeel van de Internet Security and Reasearch Group. Een non-profit organisatie waarbij de hoofdsponsoren staan benoemd op deze pagina.

quote: https://www.abetterinternet.org/about/
ISRG was founded in May of 2013 to serve as a home for public-benefit digital infrastructure projects, the first of which was the Let's Encrypt certificate authority. ISRG's founding directors were Josh Aas and Eric Rescorla. The group's founding sponsors and partners were Mozilla, the Electronic Frontier Foundation, the University of Michigan, Cisco, and Akamai.

CH4OS @Michiel36 • 28 februari 2020 21:23

Met de 81% wordt bedoeld dat zoveel sites verbindingen versleutelen met een TLS-certificaat.
Dat betekend niet dat 81% van de sites die versleuteling gebruiken een certificaat via Let's Encrypt hebben.

tweaknico @Michiel36 • 29 februari 2020 17:57

EFF was mede aanstichter van het idee. Juist omdat certificaten maar niet van de grond kwamen door de "hoge" kosten van het verkrijgen van een certificaat.

Douweegbertje @Michiel36 • 1 maart 2020 15:33

Zoals aangegeven is het een non-profit met genoeg sponsors.
Uiteindelijk moet je ook gewoon realiseren dat de periode die we een lange tijd hebben gehad nergens op sloeg. Certificaten voor 15$ p/m bijvoorbeeld. Dat riekte bijna tegen oplichting aan

Heel het idee van certificaten heeft te maken met "trust" - Want een certificaat uitgeven dat kan zowel jij als ik ook doen. Het enige nadeel is dat wij geen enkele vorm van trust hebben waardoor browsers onze certificaten niet als serieus bestempelen. Doch zijn dit echt wel valide certificaten. Iedereen kan als certificate authority "spelen". Echter als je aan bepaalde voorwaarde voldoet zou je potentieel een root CA kunnen zijn/worden - https://www.mozilla.org/e...urity-group/certs/policy/
En derhalve door ook browsers, OS'en, etc. getrust worden.

Op je laatste vraag - Ja het brengt een vorm van "gevaar" mee dat 1 partij heel veel certs uitgeeft maar:
- Ze zijn maar max 90 dagen geldig
- Iedereen kan een CA controleren - zeker bij letsencrypt: https://letsencrypt.org/docs/ct-logs/

Dus het valt allemaal wel mee, en Letsencrypt heeft er gewoon eigenhandig voor gezorgd dat het percentage van HTTPS website explosief is gegroeid.

bbob

Privacy

28 februari 2020 17:55

Super dienst, maak er voor aantal websites ook al gebruik van. Het is gratis. Nee er is geen controle wie de eigenaar van de website is maar het gaat er in eerste instantie om dat al het verkeer via https gaat.

1 hoster heb ik er zelfs uitgegooid die ondersteunde het niet. bla bla verhaal niet veilig, maar kont wel voor 40 euro bij hun certificaat kopen. Mooi niet dus.

Verbaasd me trouwens dat ik nog steeds veel sites zonder https zie ondanks dat het gratis kan.

MrMarcie @bbob • 28 februari 2020 18:03

Ik ook. Op mijn eigen VPSen geinstalleerd jaren terug en het werkt feilloos voor alle sites. Dat er trouwens nog zoveel sites zonder zitten is kennis ben ik bang. Als je het niet weet dan doe je er niks aan.

WhatsappHack

Let's Encrypt
Privacy

@MrMarcie • 28 februari 2020 18:15

Dat niet alleen. Er zijn ook nog steeds hosting partijen die het niet ondersteunen, hosting partijen die het niet ondersteunen tenzij je bijbetaald en hosting partijen die het je überhaupt niet toestaan om een certificaat te installeren tenzij je dat certificaat bij hen koopt - wat veelal prijzig is. Daar hebben lange tijd hele grote namen in de industrie tussengestaan die dat flikten. Wat de huidige stand van zaken is bij die grote partijen weet ik niet, maar dat helpt iig niet mee.

[Reactie gewijzigd door WhatsappHack op 24 juli 2024 15:00]

CH4OS @bbob • 28 februari 2020 21:30

Super dienst, maak er voor aantal websites ook al gebruik van. Het is gratis. Nee er is geen controle wie de eigenaar van de website is maar het gaat er in eerste instantie om dat al het verkeer via https gaat.

Ze loggen bij elk CSR-verzoek het IP-adres (ongeacht welke method je gebruikt) van de aanvrager en die wordt beschouwd als eigenaar, dit geven ze elke keer ook netjes aan als je een certificaat aanvraagt. Dus geen controle op wie de eigenaar is, is tekort door de bocht.

ASS-Ware @bbob • 28 februari 2020 23:16

Super dienst, maak er voor aantal websites ook al gebruik van. Het is gratis. Nee er is geen controle wie de eigenaar van de website is maar het gaat er in eerste instantie om dat al het verkeer via https gaat.

Nee, in eerste instantie gaat het er om dat je zeker weet dat je communiceert met de server die je wilde bezoeken en ten tweede gaat het om versleuteling.
Als je op de verkeerde server zit of een onderschepte verbinding hebt, dan kun je versleutelde informatie krijgen die niet klopt, ofwel is aangepast door de man in the middle.

Blokker_1999

Privacy

@ASS-Ware • 29 februari 2020 08:52

Dat eerste weet je dus niet met een DV certificaat. Je weet alleen dat je communiceert met een server die zich voordoet als de site die je wenst te bezoeken, niet dat je met de juiste server aan het communiceren bent. Er zijn nog vele manieren waarop dit mogelijk is.

Henkje.doc @bbob • 28 februari 2020 17:58

Ok apart verhaal. Dus geen behoefte om de CA's te trusten?
Zal me niets verbazen als deze CA's uiteindelijk standaard mee gaan komen met het OS.

DataGhost

@Henkje.doc • 28 februari 2020 18:21

Let's Encrypt is al heel lang vertrouwd door alle grote OS'en. Sterker nog, Tweakers gebruikt ook al een hele tijd Let's Encrypt, daar heb je vast niks van gemerkt.

CH4OS @DataGhost • 28 februari 2020 23:06

De browsers hebben zelf echter ook een eigen (root) CA certificate vault. De browsers hoeven dus niet per se te putten uit die van het lokale OS, die gebruiken twee vaults.

[Reactie gewijzigd door CH4OS op 24 juli 2024 15:00]

xorpd @DataGhost • 1 maart 2020 00:44

Toe maar! 4096-bit RSA!

citruspers @Henkje.doc • 28 februari 2020 18:05

Letsencrypt is hoogstwaarschijnlijk al vertrouwd op jouw OS.

In Windows kan je dit via certmgr.msc zien als je naar Intermediate Certification Authorities gaat, daar zie je Let's encrypt tussen staan met als issuer DST Root CA.

CH4OS @Henkje.doc • 28 februari 2020 23:05

Het root certificaat van Let's Encrypt zit intussen al jaren ingebakken in de certificate vaults van de browsers, of de root CA van Let's Encrypt intussen ook al in de trusted root CA vault zit op OS niveau durf ik zo niet te zeggen.

GeroldM @bbob • 29 februari 2020 22:37

Heb zelf een webserver (Linux bak) draaien op een statisch IP adres. Daar draaien meerdere websites op. Is harstikke betrouwbaar qua up-time. Het zijn voornamelijk statische websites (zonder trackers en ander soortgelijke zut), maar maak ook gebruik van de ingebouwde WebDAV functionaliteit van de server.

Echter, wanneer ik de certbot van Let's Encrypt los laat op mijn webserver, dan gaat het gigantisch mis en ben ik gauw een uur kwijt met het opruimen van de "rommel" die de certbot heeft achtergelaten en de websites weer werkend te krijgen.

De websites op die server zijn niet interactief te noemen, dus voor mijn doeleinden is HTTPS een 'nice to have', niet een bittere noodzaak. Draait ook achter een heftig dichtgeslagen firewall, waarop DPI word toegepast. Vandaar dat het niet zo'n groot punt van zorg is voor mezelf en eventuele lezers.

Maar nu browsers ook zijn begonnen met het (onnodig) angst aanjagen bij internetters, beginnen ze van hun probleem, mijn probleem te maken.

HTTPS is een nodige stap in het veilig surfen op (interactieve) sites, maar verdient zeker niet alle kwaliteiten die het word toegedicht door browser producenten. Voeg daarbij de worsthoofd beslissingen die ze tegenwoordig afdwingen over hun gebruikers en ik krijg mijn twijfels over de richting waarin zij het internet op willen duwen.

yalerta 28 februari 2020 18:16

Verdienmodel is gesponserd.

https://www.abetterinternet.org/sponsors/

En dan onder aan de pagina op sponors ... more klikken.
Heel veel grote namen als Cisco Facebook, Chrome en vele anderen.

JackBol @yalerta • 28 februari 2020 18:47

Allemaal partijen die gebaad zijn bij een veiliger internet.

yalerta @JackBol • 28 februari 2020 19:13

@JackBol
Niet alleen die partijen zijn gebaat bij een veiliger Internet, ook Jan met de Pet en Ingrid en Henk profiteren daarvan.

Verwijderd 28 februari 2020 17:50

Is het in de toekomstig mogelijk om het http protocol definitief vaarwel te zeggen?? En volledig over te stappen op https??

d1ng @Verwijderd • 28 februari 2020 17:53

https is gewoon http dus nee, dat kan niet.

CH4OS @d1ng • 28 februari 2020 21:36

Ik denk dat Meestervisser bedoeld om de unsecure variant uit te bannen, ik zie niet waarom dat niet zou kunnen.

HTTP/2 dwingt immers ook TLS versleuteling af op connecties.

d1ng @CH4OS • 2 maart 2020 19:21

Zie hier de reactie van ieperlingetje

CRL publicatie bijvoorbeeld is een goeie use case voor http. Om endless loops te voorkomen worden deze (uiteraard signed!) gepubliceerd over http ipv https.

ieperlingetje @Verwijderd • 28 februari 2020 19:55

http is nog steeds nodig voor https. Certificate revocation lists (https://security.stackexchange.com/a/129023) worden enkel maar aangeboden over http (wat logisch is, anders moet de verbinding van die crl weer gevalideerd worden, waardoor je een oneindige lus krijgt

EngineerCoding @Verwijderd • 28 februari 2020 18:20

De grap is als je via certbot een certificaat wilt krijgen die een http servertje opstart om een challenge te kunnen voltooien. Http heeft zeker nog wel nut..

ieperlingetje @EngineerCoding • 28 februari 2020 19:57

certbot kan ook via dns (https://letsencrypt.org/docs/challenge-types/) gevalideerd worden

CH4OS @Verwijderd • 28 februari 2020 21:36

Hoe meer HTTP/2 en nieuwer (die ook al in de maak zijn) gebruikt worden, hoe minder insecure HTTP gebruikt kan worden. HTTP/2 dwingt namelijk TLS versleutelde verbindingen al af namelijk.

rbr320 @CH4OS • 28 februari 2020 22:49

HTTP/2 dwingt helemaal geen TLS versleuteling af, het is nog steeds mogelijk om plain HTTP verzoeken te doen met HTTP/2. Dat de makers van de bekende browsers hebben verklaard HTTP/2 verzoeken alleen maar over TLS te willen doen maakt het nog niet verplicht.

CH4OS @rbr320 • 28 februari 2020 23:08

Ik krijg HTTP/2 onder Nginx anders niet werkend zonder TLS certificaat chain.

rbr320 @CH4OS • 28 februari 2020 23:15

Dat ligt dan aan de HTTP/2 implementatie van Nginx, volgens de standaard moet het gewoon mogelijk zijn.

Blokker_1999

Privacy

@rbr320 • 29 februari 2020 08:55

Als je geen enkele browser of server hebt die HTTP/2 ondersteund zonder TLS dan kan je de facto stellen dat het protocol dat wel degelijk afdwingt. Neen, de verplichting staat niet in de specs, maar tenzij je je eigen software gaat schrijven kan je er eigenlijk niet omheen.

rbr320 @Blokker_1999 • 29 februari 2020 12:01

Vanuit een gebruikersperspectief hebben jij en @CH4OS natuurlijk gelijk. Ik zit echter meer te denken aan caching (web)servers en dergelijke, wat uiteraard niet werkt als de verbindingen allemaal over TLS gaan. Er zal dus altijd een use-case blijven voor plain HTTP, ook met HTTP/2.

Super_Fred @Verwijderd • 28 februari 2020 17:54

Is het in de toekomstig mogelijk om het http protocol definitief vaarwel te zeggen?? En volledig over te stappen op https??

Ik denk dat de http-stekker er in de toekomst niet eens uitgetrokken hoeft te worden, als er alleen nog https-stopcontacten bestaan.

michielRB 29 februari 2020 09:10

Nu nog de duur van de geldigheid wat verlengen. Iedere 3 maanden in Thunderbird een foutmelding krijgen omdat smtp niet werkt vanwege een nog niet geaccepteerd certificaat in Thunderbird is best irritant.

CH4OS @michielRB • 2 maart 2020 20:11

Dan heb je het vernieuwen van de certificaten niet goed geautomatiseerd. Als je maandelijks of eens per 2 weken checked of de certificaten vernieuwd kunnen worden, kan Certbot dat automatisch voor je verlengen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (102)

Sorteer op:

Weergave: