image

Dienst die gratis SSL-certificaten weggeeft start in september

woensdag 17 juni 2015, 11:28 door Redactie, 16 reacties

De eerste gratis en geautomatiseerde certificaatautoriteit waar websites kosteloos SSL-certificaten kunnen aanvragen en laten installeren zal op 14 september van start gaan. Let's Encrypt, zoals de dienst heet, heeft als doel om de uitrol van HTTPS op het internet te versnellen. Volgens de Amerikaanse burgerrechtenbeweging EFF, die ook betrokken is bij Let's Encrypt, is encryptie essentieel om zowel mensen als websites tegen spionage en manipulatie te beschermen.

De EFF ziet de lancering van de gratis certificaatautoriteit dan ook als een grote mijlpaal voor de veiligheid en privacy op internet. Vroeger was het een kostbaar en lastig proces om een SSL-certificaat aan te vragen en installeren dat nodig is om het verkeer naar websites te versleutelen. Tegenwoordig zijn er gratis certificaten verkrijgbaar, maar is het nog steeds een lastig proces. Uit eigen informele tests blijkt dat een webbeheerder tussen de een en drie uur nodig heeft om een SSL-certificaat te installeren. Voor mensen die geen webbeheerder zijn is de installatie misschien helemaal niet mogelijk.

Daarom zal Let's Encrypt de uitgifte en installatie van certificaten automatiseren. Hiervoor is een API (programmeerinterface) ontwikkeld, alsmede clientsoftware die van deze API gebruik maakt. Volgens de EFF kan iedereen deze clientsoftware op hun eigen webserver draaien om automatisch een certificaat te installeren en hun server zo te configureren dat voortaan HTTPS wordt gebruikt. Voor internetgebruikers die geen eigen webserver hebben is het de verwachting dat veel hostingproviders de Let's Encrypt API zullen ondersteunen.

Deelnemers

Naast de EFF zijn ook Mozilla en een groep van de Universiteit van Michigan bij het project betrokken. Vorig jaar lanceerden deze partijen de non-profitorganisatie ISRG, die de Let's Encrypt certificaatautoriteit zal beheren. Het project wordt daarnaast gesponsord door Akamai, Cisco, IdenTrust en Automattic. Personeel en het administratieve werk worden door de Linux Foundation verzorgd.

Reacties (16)
17-06-2015, 12:47 door atoom
Even mijn alu-hoedtje opzette.
Automatisch een certificaat te installeren, geeft dus aan dat de genereerde sleutel ook bekent gemaakt wordt bij die organisatie. Ik moet er echt niet aan denken dat een Amerikaanse organisatie met , zeer waarschijnlijke connecties met de VS overheid, mijn sleutels kent.... Dank u wel.
17-06-2015, 13:02 door _R0N_
Door atoom: Even mijn alu-hoedtje opzette.
Automatisch een certificaat te installeren, geeft dus aan dat de genereerde sleutel ook bekent gemaakt wordt bij die organisatie. Ik moet er echt niet aan denken dat een Amerikaanse organisatie met , zeer waarschijnlijke connecties met de VS overheid, mijn sleutels kent.... Dank u wel.

Het gaat daar niet veel anders dan bij de gebruikelijke partijen dus in alle gevallen zijn je keys beschikbaar voor de overheid.
Dan zou ik als ik jou was geen server certificaten gebruiken maar geef zelf client certificaten uit.
17-06-2015, 13:09 door Anoniem
Door atoom: Even mijn alu-hoedtje opzette.
Automatisch een certificaat te installeren, geeft dus aan dat de genereerde sleutel ook bekent gemaakt wordt bij die organisatie. Ik moet er echt niet aan denken dat een Amerikaanse organisatie met , zeer waarschijnlijke connecties met de VS overheid, mijn sleutels kent.... Dank u wel.

Ik zie niet in hoe je die eerste conclusie trekt; dat software automatisch de CSR voor je maakt en indient betekent allerminst dat ze bij Let's Encrypt je private key hebben.

Superinitiatief. Had al jaren geleden moeten gebeuren.
17-06-2015, 13:20 door Anoniem
Door _R0N_:geef zelf client certificaten uit.
En gebruik dan DNSSEC signed TLSA records (DANE): als je het betaalde SSL conglomeraat wil doorbreken zal er een meerderheid "bleeding edge" moeten zijn voordat je van browser vendors (etc.) kan verwachten dat ze zo'n (IETF) standaard gaan ondersteunen.

Klinkt moeilijk maar is niks anders dan je certificaat's fingerprint in een daartoe bestemd DNS record hebben, en DNSSEC toepassen.
17-06-2015, 13:32 door Anoniem
Zeker nooit een echt certificaat aangevraagd ? Je geeft nooit je keys aan een CA organisatie.
17-06-2015, 14:03 door Anoniem
Ooit eens gevonden bij CaCert

http://svn.cacert.org/CAcert/Software/CSRGenerator/csr

Erg handig.
17-06-2015, 14:23 door Orion84
Mensen die geen verstand hebben van de techniek en daardoor moeite hebben met het installeren van SSL certificaten moeten zich denk ik vooral afvragen waarom ze dan wel zelf een webserver willen beheren. Besteedt dat dan lekker uit aan een partij met verstand van zaken.

En wat voor identificatie en verificatie vind hier eigenlijk plaats? Dat is uiteindelijk toch de primaire rol van een CA.

Wellicht mis ik wat, maar ik zie hier vooral een prachtige laagdrempelig loket voor kwaadwillenden om vertrouwde certificaten te ritselen, zonder al te veel controle procedures. Op deze manier biedt het ogenschijnlijk maar weinig voordelen t.o.v. self-signed certs en met de vervelende bijwerking dat je browser groen licht geeft en je het gevoel geeft dat alles helemaal veilig is.
17-06-2015, 15:08 door Joep Lunaar
Door Anoniem:
Door _R0N_:geef zelf client certificaten uit.
En gebruik dan DNSSEC signed TLSA records (DANE): als je het betaalde SSL conglomeraat wil doorbreken zal er een meerderheid "bleeding edge" moeten zijn voordat je van browser vendors (etc.) kan verwachten dat ze zo'n (IETF) standaard gaan ondersteunen.

Klinkt moeilijk maar is niks anders dan je certificaat's fingerprint in een daartoe bestemd DNS record hebben, en DNSSEC toepassen.

Helemaal mee eens. Jammer dat Mozilla (FF is mijn favoriete webbrowser) de ondersteuning voor TLSA nog steeds uitstelt; de benodigde patch is al lange tijd gereed, maar het lijkt dat Mozilla prioriteit geeft aan maatregelen die ze zelf volledig in de hand hebben. Ik sluit niet uit dat deze afweging weldoordacht is, maar begrijpen doe ik het niet.
17-06-2015, 15:28 door Anoniem
Staat al vast dat Let's Encrypt it root certificates automatisch in trusted root stores worden opgenomen?
Anders heb je alsnog weinig aan het certificate.
17-06-2015, 16:00 door Anoniem
Door atoom: Even mijn alu-hoedtje opzette.
Automatisch een certificaat te installeren, geeft dus aan dat de genereerde sleutel ook bekent gemaakt wordt bij die organisatie.
Onzin. Het sleutelpaar wordt op jouw server gegenereerd, alleen de publieke sleutel gaat naar de CA, die ondertekent hem met zijn privésleutel, en het resultaat daarvan is het certificaat dat jouw server gaat gebruiken.
Ik moet er echt niet aan denken dat een Amerikaanse organisatie met , zeer waarschijnlijke connecties met de VS overheid, mijn sleutels kent.... Dank u wel.
EFF is grofweg de tegenhanger van Bits of Freedom hier, en de software die ze ervoor maken is opensource en kan door iedereen die geïnteresseerd is geïnspecteerd worden. Misschien moet je iets verder kijken dan je neus lang is voor je dit soort conclusies trekt.
Door Orion84: Mensen die geen verstand hebben van de techniek en daardoor moeite hebben met het installeren van SSL certificaten moeten zich denk ik vooral afvragen waarom ze dan wel zelf een webserver willen beheren. Besteedt dat dan lekker uit aan een partij met verstand van zaken.
En hoe beoordeel je zonder verstand van zaken dat de partij waarmee je zaken doet degelijk is? Ik heb meegemaakt dat een hostingprovider die me met enthousiasme door verschillende collega-IT'ers was aangeraden toen er wat mis ging bleek te bestaan uit mensen die totaal geen verstand van zaken hadden. De pest is dat je dat soort dingen pas te weten komt als er iets misloopt dat te moeilijk voor ze is. En in de CA-sfeer: ik heb ooit security-mensen bij een bedrijf waar ik werkte (als ontwikkelaar), en die op mij intelligent en kundig overkwamen, heel enthousiast horen zijn over DigiNotar. Een aantal jaar later bleek dat DigiNotar het alleen op papier goed deed maar er in het echt een potje van maakte. Ook daar geldt dat dat voor een buitenstaander niet te zien is tot het misloopt.

En waarom zou iemand die op zich wél voldoende verstand van zaken heeft niet blij zijn met een oplossing die een minimum aan inspanning vergt en ongeveer doet wat je met de hand ook zou doen?
En wat voor identificatie en verificatie vind hier eigenlijk plaats? Dat is uiteindelijk toch de primaire rol van een CA.
Ze ondersteunen verschillende mechanismen waarmee automatisch kan worden gecontroleerd dat de aanvrager controle heeft over het domein waarvoor een certificaat wordt aangevraagd, zoals bewijs dat de aanvrager beschikt over privésleutels van een al aanwezig certificaat (van een andere CA), of als dat er niet is bewijs dat de aanvrager op een door de CA bepaalde URL binnen het domein waarvoor de aanvraag wordt een door de CA bepaalde payload kan plaatsen. Deze vorm van validatie bewijst niet de identiteit van de aanvrager, maar wel dat de aanvrager beschikking heeft over het domein.

Hier staat het in detaill: https://github.com/letsencrypt/acme-spec/blob/master/draft-barnes-acme.md
17-06-2015, 16:05 door Anoniem
Door Anoniem: Staat al vast dat Let's Encrypt it root certificates automatisch in trusted root stores worden opgenomen?
Anders heb je alsnog weinig aan het certificate.
Ik schat dat het opsporen van hun FAQ ongeveer evenveel tijd had gekost als het stellen van die vraag ;-)
Will certificates from Let’s Encrypt be trusted by my browser?

The short answer is “yes”.

The long answer is that our issuing intermediates will be cross-signed by a widely trusted IdenTrust root (DST Root CA X3). This will allow our certificates to be trusted while we work on propagating our own root.
https://letsencrypt.org/faq/
17-06-2015, 17:14 door Orion84 - Bijgewerkt: 17-06-2015, 17:16
Door Anoniem:
Door Orion84: Mensen die geen verstand hebben van de techniek en daardoor moeite hebben met het installeren van SSL certificaten moeten zich denk ik vooral afvragen waarom ze dan wel zelf een webserver willen beheren. Besteedt dat dan lekker uit aan een partij met verstand van zaken.
En hoe beoordeel je zonder verstand van zaken dat de partij waarmee je zaken doet degelijk is? Ik heb meegemaakt dat een hostingprovider die me met enthousiasme door verschillende collega-IT'ers was aangeraden toen er wat mis ging bleek te bestaan uit mensen die totaal geen verstand van zaken hadden. De pest is dat je dat soort dingen pas te weten komt als er iets misloopt dat te moeilijk voor ze is. En in de CA-sfeer: ik heb ooit security-mensen bij een bedrijf waar ik werkte (als ontwikkelaar), en die op mij intelligent en kundig overkwamen, heel enthousiast horen zijn over DigiNotar. Een aantal jaar later bleek dat DigiNotar het alleen op papier goed deed maar er in het echt een potje van maakte. Ook daar geldt dat dat voor een buitenstaander niet te zien is tot het misloopt.

En waarom zou iemand die op zich wél voldoende verstand van zaken heeft niet blij zijn met een oplossing die een minimum aan inspanning vergt en ongeveer doet wat je met de hand ook zou doen?
Nee, natuurlijk kan je je vergissen in een externe partij en natuurlijk kan een kundige beheerder blij zijn met een tool die zijn werk makkelijker maakt. Mijn punt is dat de tool (onder andere) gepromoot wordt als een oplossing voor mensen die wel een eigen webserver runnen (anders heb je immers niks aan die tool), maar niet over de vereiste technische vaardigheden beschikken om op de normale manier SSL certificaten te installeren. Dan vraag ik me af hoe vaardig die mensen dan zijn om zelf hun webserver op een veilige manier te beheren.

Je kan wel supermakkelijk SSL kunnen regelen, maar als je webserver dan verder nog steeds zo lek als een mandje is, dan lost dat niets op. Dus in mijn ogen moet iemand die het regelen van een SSL certificaat al moeilijk vind, niet zelf een webserver willen runnen. Uit je mening dan gewoon via een publieke blog dienst, of regel een kant en klare webserver incl. SSL via een hostingbedrijf die dit soort dingen voor je kan doen (of er op zijn minst een gebruiksvriendelijke beheertool voor biedt).

En wat voor identificatie en verificatie vind hier eigenlijk plaats? Dat is uiteindelijk toch de primaire rol van een CA.
Ze ondersteunen verschillende mechanismen waarmee automatisch kan worden gecontroleerd dat de aanvrager controle heeft over het domein waarvoor een certificaat wordt aangevraagd, zoals bewijs dat de aanvrager beschikt over privésleutels van een al aanwezig certificaat (van een andere CA), of als dat er niet is bewijs dat de aanvrager op een door de CA bepaalde URL binnen het domein waarvoor de aanvraag wordt een door de CA bepaalde payload kan plaatsen. Deze vorm van validatie bewijst niet de identiteit van de aanvrager, maar wel dat de aanvrager beschikking heeft over het domein.

Hier staat het in detaill: https://github.com/letsencrypt/acme-spec/blob/master/draft-barnes-acme.md
Dat heb ik inmiddels inderdaad ook gelezen, dat ziet er inderdaad wel goed uit.
17-06-2015, 17:36 door Anoniem
Door Anoniem: En in de CA-sfeer: ik heb ooit security-mensen bij een bedrijf waar ik werkte (als ontwikkelaar), en die op mij intelligent en kundig overkwamen, heel enthousiast horen zijn over DigiNotar. Een aantal jaar later bleek dat DigiNotar het alleen op papier goed deed maar er in het echt een potje van maakte. Ook daar geldt dat dat voor een buitenstaander niet te zien is tot het misloopt

Zelfs als het goed is kun je daar niet van op aan. Wij hadden vroeger certificaten via WideXS en daar zaten heel kundige
mensen die de zaak goed afhandelden en waar je gewoon je CSR heen kon sturen om je certificaat te krijgen.
Later werd dat overgenomen door IS (de naam zegt het al...) en toen ging dat totaal het putje in. Bij de volgende
verlenging werd het certificaat even door hen gegenereerd en werd er een mail gestuurd met het password waarmee
je de .ZIP met daar in het certificaat en de door hen gegenereerde Private Key kon downloaden! Goodbye!
18-06-2015, 16:36 door SYS 64738
EFF heeft wel goede dingen laten zien: HTTPS everywhere en Panopticlick, ik heb vertrouw ze redelijk.
Dit zorgt er ook voor dat prijs bij de gevestigde orde wat zal gaan dalen? Hopelijk niet ten koste van de kwaliteit.
22-06-2015, 13:36 door VriendP
Recent gepubliceerde, maar zonder twijfel ook ongedocumenteerde vulnerabilities in OpenSSL zorgen ervoor dat de Amerikaanse Uberheit gewoon lekker kan meelezen.

Installatie van noob-tooling op je website is ook niet echt een goed idee. Welke nieuwe vulnerabilities introduceert deze software dan? En gaat de noob zijn noob ssl cert installatiesoftware patchen?

Veel plezier met je illusie van veiligheid. Van hopeloos naar kansloos en weer terug.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.