image

WordPress schakelt ssl in voor alle gehoste domeinen

zondag 10 april 2016, 07:57 door Redactie, 8 reacties

WordPress heeft besloten om voor meer dan een miljoen domeinen die het host gratis ssl in te schakelen. Zodoende is de verbinding tussen deze websites en hun bezoekers automatisch versleuteld en kunnen bezoekers de websites identificeren, zo heeft WordPress bekendgemaakt.

WordPress.com ondersteunde al sinds 2014 ssl voor subdomeinen op WordPress.com. Nu zal het echter automatisch worden ingeschakeld voor eigen gekozen domeinen die via WordPress.com worden gehost. Hiervoor is WordPress een samenwerkingsverband met Let's Encrypt aangegaan. Dit initiatief heeft als doel om het verkeer van alle websites op internet te versleutelen. Hiervoor kunnen eigenaren van websites eenvoudig en gratis een ssl-certificaat aanvragen.

Sinds de lancering van Let's Encrypt heeft de dienst ruim 1,5 miljoen gratis ssl-certificaten uitgegeven. De werkwijze die Let's Encrypt hanteert maakt het ook voor WordPress mogelijk om voor alle gehoste domeinen nu ssl-certificaten aan te vragen en te installeren. Via WordPress.com worden meer dan een miljoen zelf gekozen domeinen gehost, wat inhoudt dat het aantal uitgegeven ssl-certificaten via Let's Encrypt sterk zal stijgen. De maatregel van WordPress geldt niet voor websites die zelf een WordPress-installatie hebben geïnstalleerd.

Reacties (8)
10-04-2016, 09:24 door Anoniem
OK, even de realiteit:
Ik heb een "eigen domein naam" lopen bij Wordpress
En inderdaad, die draait nu op SSL. Maar ik weet van niets, ik heb geen certificaat aangevraagd.
Het certificaat wat nu op de website staat wordt overigens gedeeld met ongeveer 20 andere SAN namen van mensen die ik niet ken.
10-04-2016, 10:47 door Anoniem
Door Anoniem: OK, even de realiteit:
Ik heb een "eigen domein naam" lopen bij Wordpress
En inderdaad, die draait nu op SSL. Maar ik weet van niets, ik heb geen certificaat aangevraagd.
Het certificaat wat nu op de website staat wordt overigens gedeeld met ongeveer 20 andere SAN namen van mensen die ik niet ken.

Ik gebruik Letsencrypt ook. De authenticatie voor Letsencrypt werkt door een bestand op de docroot van de website te plaatsen. De bovenomschreven situatie is dus geen inbruik op het eigendom van het domein, noch een lek in het systeem van SSL-certificaten (zoals sommigen beweren). Het is een goed doordacht en opgezet systeem.
10-04-2016, 13:45 door Anoniem
Ja, beter een echte veilige uitrol van https everywhere als via zulk een goedwillende en halfbakken poging. Niet alleen vereist de echte veilige verbinding wat meer kennis bij degenen die het implementeren, het is ook zo'n twintig keer duurder. Nog niet genoeg van BEAST, POODLE en DROWn gezien? WP is trouwens iets wat de professional nog al gauw laat liggen en smalend op reageert, leer eens een echt CMS gebruiken. Scan her en der en zie wat er allemaal aan onveilige code dient te worden afgeserveerd voor WP bij: https://hackertarget.com/wordpress-security-scan/ en voor jQuery libraries via deze scanner: http://retire.insecurity.today/
Om de veiligheid van SSL te checken, scannen we online bij https://www.ssllabs.com/ssltest/ en een leuk certificaat rapportje krijgen we bij: https://cryptoreport.websecurity.symantec.com/checker/views/certCheck.jsp
Zet de scan resultaten eens op een rijtje en je ziet dat we er met een gimmick oplossing van WordPress en EFF niet echt komen. NSA surveillance ligt in een deuk, zo makkelijk is het hen nog nooit gemaakt, weg zijn je meta-data en je data via onveilige IDs tracking. Wat je 's avonds op je laptopje intikte zie je 's morgens als queries op je smartphone. Laten we ons toch geen illusies maken, mensen. Het zijn allemaal achterhoede gevechten, de strijd met Big Gov en Big Commerce is al lang verloren. We hebben het allemaal al uit handen gegeven.
10-04-2016, 18:25 door Anoniem
W00t! Nu kun je dus via https je exploits uitvoeren!
De beherende partij moet nu echter wel meer moeite gaan doen om dergelijke aanvallen vroegtijdig te detecteren, slim inderdaad. Vooral voor al die WP-sites die helemaal geen CMS hebben (en dus helemaal geen https nodig hebben).
10-04-2016, 21:14 door Erik van Straten
Door Anoniem: OK, even de realiteit:
Ik heb een "eigen domein naam" lopen bij Wordpress
En inderdaad, die draait nu op SSL. Maar ik weet van niets, ik heb geen certificaat aangevraagd.
Het certificaat wat nu op de website staat wordt overigens gedeeld met ongeveer 20 andere SAN namen van mensen die ik niet ken.
In dit geval zit het voordeel er vooral in dat "eigenaren" die op hun site inloggen, dit nu via een versleutelde verbinding doen. Als zij dat doen vanuit de trein, terrasje etc. (via publiek WiFi) kan hun wachtwoord niet meer simpel worden afgeluisterd. Een Let's Encrypt certificaat biedt geen enkele bescherming tegen MitM aanvallen dichterbij de server. Maar de kans daarop, bij eenvoudige consumentensites, is natuurlijk wel een stuk kleiner.

Voor andere bezoekers is de waarde nagenoeg nul; immers, een https certificaat dient ter authenticatie van een website.

Terzijde, toelichting voor geïnteresseerden: bij gebruik van het, geadviseerde, Diffie-Hellman key agreement protocol, wordt de public key (meestal RSA), namelijk op geen enkele wijze gebruikt voor de versleuteling van de verbinding. M.a.w., voor een versleutelde verbinding heb je, in de basis, helemaal geen certificaat nodig. Het https protocol vereist echter een certificaat, maar zit zo in elkaar dat een self-signed prima certificaat voldoet.

Het zijn de browserfabrikanten die menen dat webbrowsers wel een ernstige waarschuwing moeten geven bij self-signed certificaten (d.w.z. certificaten die een derde, buiten jou om, kan maken voor jouw site, en dus geen garantie bieden m.b.t. de authenticiteit van jouw site) en tegelijkertijd niet waarschuwen voor Let's Encrypt certificaten (d.w.z. certificaten die een derde, buiten jou om, kan maken voor jouw site, en dus geen garantie bieden m.b.t. de authenticiteit van jouw site).

Gevolg: doorsnee gebruikers kunnen geen onderscheid meer maken tussen betrouwbare non-EV certificaten (zoals van digid.nl) en speelgoedcertificaten zoals uitgegeven door Let's Encrypt.
11-04-2016, 07:43 door Anoniem
Waarom gebruikt iedereen nog de naam SSL?
SSL is lek, TLS moet je nu gebruiken (ook als naam).
11-04-2016, 08:57 door Anoniem
"d.w.z. certificaten die een derde, buiten jou om, kan maken voor jouw site, en dus geen garantie bieden m.b.t. de authenticiteit van jouw site"

bij Let's Encrypt is er wel degelijk verificatie dat diegene die het certificaat aanvraagt de controle heeft over een bepaald domain. In dit geval kan Wordpress dit dus doen aangezien de domains bij hen gehost worden, en bieden deze het aldus aan als "service" naar de klant. Als je Wordpress niet vertrouwd, dan moet je je site maar niet bij hen hosten...
11-04-2016, 10:18 door Anoniem
Het enige verschil is dat nu wordpress lekken (en die zijn er echt veeeeel te veel) en plugin lekken (is er eigenlijk wel een plugin die nog niet lek is geweest?) nu ook encrypted kunnen werken...

Klinkt een beetje als kinderen op de zolder onveilig aan vrijen zijn en dan betrapt worden en zeggen 'maar ik rook niet!".

Ja, duh, maar je sterft een langzame dood door SOA's...

Wordpress wordt betrapt keer op keer op onveilige software en plugins en roept "maar we gebruiken SSL (of TLS)!"...

Net zo zinloos.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.