image

EFF gaat gratis SSL-certificaten voor websites uitgeven

woensdag 19 november 2014, 10:23 door Redactie, 20 reacties

De Amerikaanse burgerrechtenbeweging EFF gaat begin volgend jaar gratis SSL-certificaten voor websites uitgeven, zodat die hiermee het verkeer van en naar hun bezoekers kunnen versleutelen. Daarnaast zorgen SSL-certificaten ervoor dat internetgebruikers de identiteit van een website kunnen controleren.

Volgens de EFF is het gebruik van SSL-certificaten een belangrijke maatregel om de internetveiligheid voor gebruikers te vergroten. Om de certificaten uit te geven zal er een non-profitorganisatie genaamd Let's Encrypt worden opgericht. Als certificaatautoriteit kan Let's Encrypt SSL-certificaten uitgeven, wat het geheel kosteloos zal doen. De uitgegeven certificaten zullen automatisch worden verlengd. Ook zal informatie over uitgegeven en ingetrokken certificaten openbaar zijn.

"Dit project zal de databescherming van bijna iedereen die het internet gebruikt vergroten", zegt Peter Eckersley, directeur bij de EFF. "Als je nu het web gebruikt, is veel van je communicatie, je gebruikersnamen, wachtwoorden en surfgeschiedenis, kwetsbaar voor hackers en anderen. Door het eenvoudig, snel en gratis voor websites te maken om encryptie voor hun gebruikers te installeren, zullen we allemaal veiliger online zijn." De Internet Security Research Group zal toezicht op Let's Encrypt houden en werkt hierbij onder andere samen met Mozilla, Cisco en Akamai.

Reacties (20)
19-11-2014, 11:04 door Anoniem
En dat betekent dat Amerika ook een kopie heeft van jouw private key?
19-11-2014, 12:03 door Erik van Straten
Door Redactie: De Amerikaanse burgerrechtenbeweging EFF gaat begin volgend jaar gratis SSL-certificaten voor websites uitgeven, zodat die hiermee het verkeer van en naar hun bezoekers kunnen versleutelen.
Zolang webbrowsers niet volstrekt duidelijk maken, hoe zeker het is dat de webbrowser uitsluitend met de bedoelde webserver communiceert, is dit een heel slecht plan dat slechts een vals gevoel van veiligeid zal geven. Hoe goed de intenties ook mogen zijn, dit plan zal, uiteindelijk, meer kwaad doen dan goed.

De afhandeling van EV-certificaten leek een stap in de goede richting, maar is, onder de motorkap, een farce.

Momenteel heb ik geen tijd om deze statements te onderbouwen, maar zal dat doen zodra ik daar wat meer ruimte voor vind. Ik wilde ze (deze statements) in elk geval gemaakt hebben op deze plaats en op dit tijdstip.
19-11-2014, 12:24 door Anoniem
Door Anoniem: En dat betekent dat Amerika ook een kopie heeft van jouw private key?
Ik weet niet of je weet hoe het systeem werkt?
Als je alles goed regelt en geen gebruik maakt van "klik hier en dan is het snel geregeld" diensten dan heeft de certificaat
uitgever NIET je private key!

Echter dat is helemaal niet de issue. De issue is hoe goed weet men te verifieren dat jij inderdaad de aanvrager bent die
je claimt te zijn, en ook niet een of andere aanvrager met een verwarrende naam die bezoekers zullen herkennen als de
naam van een andere instantie.
Bijvoorbeeld je registreert een domein ABN-BANK-ONLINE.NL en je vraagt een certificaat aan, krijg je dat dan?
Want daarmee kun je bezoekers het idee geven dat je iets met die bank te maken hebt.

(dit staat overigens los van EFF, dit is een makke in het systeem zelf)
19-11-2014, 12:24 door Michiel T
Door Anoniem: En dat betekent dat Amerika ook een kopie heeft van jouw private key?
Wie EFF een beetje kent weet dat zij de laatsten zullen zijn om ook maar iets aan de overheid te overhandigen.

Klinkt voor mij als een goed plan. Zoals ik het zie, worden dit eenvoudige Domain-validation certs (die je tegenwoordig al voor minder dan $5 per jaar kunt krijgen, en hoe goed zijn die dan), maar:
1. Gratis
2. Veel makkelijker te installeren / onderhouden (ACME)
3. Nieuwe technologieën voor automatische verificatie, zoals o.a. Google's Certificate Transparency.

Doelgroep is dus niet bestaande grootwarenhuizen en banken, maar juist al persoonlijke kleine blogs, sites van clubs en verenigingen, etc. Die zijn nu allemaal http terwijl er vaak wel ingelogd kan worden en met persoonlijke data omgegaan wordt. Het gratis en makkelijker maken om daar https sites van te maken kan naar mijn mening alleen maar vooruitgang betekenen. Ben benieuwd wat het tegenargument is.
19-11-2014, 13:26 door Briolet
Door Anoniem: Bijvoorbeeld je registreert een domein ABN-BANK-ONLINE.NL en je vraagt een certificaat aan, krijg je dat dan?

Dat vroeg ik me ook af. In hun aankondiging stellen ze dat het bij hun minder bureaucratisch toe zal gaan dan nu gebeurd en daardoor kunnen ze ook de kosten zeer laag houden zodat het gratis kan. Dat klinkt bij mij als dat er niets gecontroleerd wordt want mensen inzetten om alles te verifiëren kost geld.

Maar we zullen zien. Als zij er een zootje van gaan maken, zullen de meeste browsers het rootcertificaat uit de standaardset verwijderen.
19-11-2014, 13:39 door denii
Doet me aan het TK domein denken. Alleen was geen enkele betrouwbare site aanwezig op deze tld. Nu is het onderscheid tussen authentiek en malicious echter lastiger waar te nemen voor een gemiddelde surfer. Laten we hopen dat het aanvraagproces voldoende bescherming biedt.
19-11-2014, 14:01 door Anoniem
CAcert doet dat al langer, jammer dat de meeste OS'en het root CAcert certificaat niet standaard als trusted opgenomen hebben.
19-11-2014, 14:42 door Michiel T
Door Anoniem:
Bijvoorbeeld je registreert een domein ABN-BANK-ONLINE.NL.
Ik zeg niet dat het onmogelijk is, maar volgens mij is het al niet eenvoudig om een dergelijk domein bij SIDN te krijgen (tenzij je ABNAMRO bent)..
19-11-2014, 15:00 door Briolet - Bijgewerkt: 19-11-2014, 15:04
Door Michiel T:
Door Anoniem:
Bijvoorbeeld je registreert een domein ABN-BANK-ONLINE.NL.
Ik zeg niet dat het onmogelijk is, maar volgens mij is het al niet eenvoudig om een dergelijk domein bij SIDN te krijgen (tenzij je ABNAMRO bent)..

Ik heb net even bij hostnet geprobeerd en volgens hun kan ik gewoon nog AMRO-ABN-ONLINE.nl aanvragen. Als ik dan bij EFF een certificaat aanvraag op die naam, zien alle gebruikers een slotje en als ze het certificaat bekijken zal het er voor het gros veilig genoeg uitzien. Dus is het goed als er nog een 'bureaucratische' check achter zit.

Of je registreert een 'fancynaam.nl' domein en maakt zelf een 'ABN-Amro.fancynaam.nl' subdomein en maakt daar een certificaat op aan.
19-11-2014, 15:06 door Anoniem
Ik ben benieuwd hoe dit zal verschillen van CAcert, wat volgens mij hetzelfde doel heeft, maar er na meer dan 10 jaar nog steeds niet in is geslaagd om hun root-cert in alle gangbare browsers te krijgen, iets wat volgens http://en.wikipedia.org/wiki/CAcert.org#Inclusion_status ook niet binnen afzienbare tijd te verwachten is...
19-11-2014, 15:11 door Michiel T - Bijgewerkt: 19-11-2014, 15:16
Ik heb net even bij hostnet geprobeerd en volgens hun kan ik gewoon nog AMRO-ABN-ONLINE.nl aanvragen..

Bedoel je niet: je hebt gecheckt dat dat domein volgens hostnet nog beschikbaar is. Niet dat het je ook zal lukken om het ook daadwerkelijk te krijgen ? EUR 0,49. Leuke test, probeer 't eens :)

Overigens wil ik niet beweren dat allerlei problemen die nu al bestaan in het systeem straks door EFF opgelost worden. Een voordeel van het automatische update systeem zou wel zijn dat certificaten dus voor een veel kortere duur dan de huidige paar 2 to 5 jaar kunnen worden uitgegeven. Voorbeeld; een certificaat dat elke dag automatisch update, en slechts enkele dagen geldig is. Is er een probleem, dan stopt EFF de updates en na enkele dagen is het certificaat niet meer geldig. Dat is een hele verbetereing t.o.v. het huidige Revocation systeem dat in browsers meestal maar half en op verschillende manieren ondersteund wordt.
19-11-2014, 15:21 door Anoniem
Dit is wel een goed plan, elke website moet veilig zijn. Als er domme gebruikers bij zijn kunnen browsers wel een anders soort kleur slotje geven voor gratis certificaat. Naar een slotje kijken heeft niets te maken met welke website je bezoekt. Naar een slotje kijken in plaats van de hostname is gewoon dom. Als alle verbindingen versleuteld zijn kan niemand het verkeer zien als beide endpoint veilig zijn. Downloads kunnen nu nog worden aangepast worden als je dat via http doet, maar straks kan iedereen het veilig aanbeiden.
19-11-2014, 17:07 door Briolet
@Michiel T: Je hebt gelijk dat je de aanvraag echt moet doorzetten om het zeker te weten.

Door Anoniem: Dit is wel een goed plan, elke website moet veilig zijn.

Als het om veiligheid gaat, kan een website ook gewoon self-signed certificaten gebruiken. Die kun je nu al overal gratis krijgen of zelf met een simpel OpenSSL commando aanmaken. Persoonlijk vind ik die certificaten bijna veiliger omdat je er dan bij elke site over moet nadenken of je dat certificaat wilt accepteren (en zelf opslaan) of de verbinding ongecontroleerd wilt voortzetten. In dat laatste geval is de versleuteling nog steeds net zo veilig als die van een vergelijkbaar CA ondertekend certificaat.
Je bent met self-signed certificaten veel bewuster met de certificaten, en de controle ervan, bezig.
19-11-2014, 17:46 door Anoniem
Door Anoniem: Bijvoorbeeld je registreert een domein ABN-BANK-ONLINE.NL en je vraagt een certificaat aan, krijg je dat dan?
Waarom niet. Het certificaat bewijst alleen maar dat jij de eigenaar bent van ABN-BANK-ONLINE.NL. EFF/certificaat maakt niet de claim dat ABN-BANK-ONLINE.NL iets met ABN Amro te maken heeft.

Dat is een stukje common sense voor de bezoeker, en misschien voor ABN Amro zelf een mogelijkheid om zulk soort sites plat te halen bij de hoster op basis van merkrecht.
19-11-2014, 20:14 door Whoops - Bijgewerkt: 19-11-2014, 20:19
Door Anoniem: Dit is wel een goed plan, elke website moet veilig zijn.
Klakkeloos elke website van SSL voorzien is volstrekt overbodig...
Waarom een puur informatieve website via HTTPS benaderen?
Bijvoorbeeld buienradar: Geen formulieren, geen persoonlijke gegevens, geen login, etc
19-11-2014, 21:19 door Anoniem
Door denii: Doet me aan het TK domein denken. Alleen was geen enkele betrouwbare site aanwezig op deze tld.
Ik vind volvo.tk, apple.tk, google.tk of rabobank.tk best wel even betrouwbaar als de .be varianten.

Door Michiel T: EUR 0,49. Leuke test, probeer 't eens :)
Wat denk je zelf?
SIDN doet aan registraties, geen IP defence a la Markmonitor.
Oftewel:

De domeinnaam is ingevoerd. (Ticketnummer: 86401893)
De domeinnaam is verwijderd. (Ticketnummer: 86402157)
20-11-2014, 10:04 door Anoniem
Door Anoniem:
De domeinnaam is ingevoerd. (Ticketnummer: 86401893)
De domeinnaam is verwijderd. (Ticketnummer: 86402157)
Ok je hebt hem aangemaakt en hij is weer verwijderd.
Maar waar het om gaat is: heb je hem zelf aangemaakt en is hij door Markmonitor verwijderd of heb je
hem zelf snel weer verwijderd?
20-11-2014, 12:43 door Michiel T
Door Whoops:
Waarom een puur informatieve website via HTTPS benaderen?
Bijvoorbeeld buienradar: Geen formulieren, geen persoonlijke gegevens, geen login, etc

Voorbeeld: http://www.wired.com/2014/10/verizons-perma-cookie/

In het kort zorgt het er dus voor dat niemand zomaar aan de verzonden data kan komen, of dat nu een russische crimineel of je eigen ISP is...
Ook in simpele informative websites zitten tegenwoordig al talloze trackers en andere externe rommel verstopt. Op jouw eigen voorbeeld, Buienradar zitten al 6 trackers: Digital Analytix, Doubleclick, Google Analytics, Google+ Platform, Pinterest, Usabilia. Die zouden een etxra tracking cookie van jouw ISP best handig vinden. Met https is dit niet mogelijk.
20-11-2014, 17:01 door Anoniem
uote]Door Whoops: Klakkeloos elke website van SSL voorzien is volstrekt overbodig...
Waarom een puur informatieve website via HTTPS benaderen?
Bijvoorbeeld buienradar: Geen formulieren, geen persoonlijke gegevens, geen login, etc[/quote]Gebruik je verbeelding.

Voorbeeld: de hebberige strandtenteigenaar.

Scenario: bar slechte zomer, de eeste prachtige zondag. Terras van de strandtent zit bomvol en er wordt gretig gebruik gemaakt van gratis WiFi. De avond ervoor was tijdens het weerbericht gewaarschuwd voor een kleine kans op onweer en heel misschien koude mist komend van zee. Veel gasten raadplegen af en toe buienradar.

De hebberige strandtenteigenaar raadpleegt zelf ook buienradar en ziet een superverse update: over ca. 3 uur komt er slecht weer.

Need I say more? Kwaadwillenden zijn vaak veel inventiever dan de doorsnee internetter zich wil realiseren.
Dergelijke internetters, vooral als ze notabene security.nl bezoeken, noem ik naïef.
24-11-2014, 10:58 door Anoniem
Door Anoniem:
Door Anoniem:
De domeinnaam is ingevoerd. (Ticketnummer: 86401893)
De domeinnaam is verwijderd. (Ticketnummer: 86402157)
Ok je hebt hem aangemaakt en hij is weer verwijderd.
Maar waar het om gaat is: heb je hem zelf aangemaakt en is hij door Markmonitor verwijderd of heb je
hem zelf snel weer verwijderd?
Waar het om ging was of ie te registreren was (en dat de SIDN niet aan preventieve conflict resolution doet).
Ja, ik heb 'm uiteraard zelf verwijdert (had liever -de momenteel beschikbare- abn-amro.ml of ABN-AMR0.NL).

Markmonitor kan zoiets simpelweg echt niet in de .nl zone!
Maar, waar haal je Markmonitor ineens vandaan? Zit je mij klakkeloos na te praten ofzo?
ABN-Amro gebruikt Melbourne IT - hihi!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.