Let's Encrypt biedt nu ook gratis wildcardcertificaten aan
Certificaatautoriteit Let's Encrypt biedt nu ook gratis wildcardcertificaten aan, wat het eenvoudiger voor websites moet maken om op https over te stappen. Via een wildcardcertificaat is het mogelijk om via één tls-certificaat alle subdomeinen van een domein van een versleutelde verbinding te voorzien (bijvoorbeeld *.example.com).
Dit moet de uitrol van https verder vereenvoudigen, aangezien beheerders niet voor elk los subdomein een apart tls-certificaat hoeven aan te vragen. Net als gewone tls-certificaten zullen ook de wildcardcertificaten gratis worden aangeboden. Om een wildcardcertificaat aan te vragen moet er wel gebruik worden gemaakt van het ACMEv2-protocol dat Let's Encrypt nu ook ondersteunt. ACME (Automated Certificate Management Environment) is een communicatieprotocol waar webservers geautomatiseerd certificaten mee kunnen aanvragen.
Daarnaast moeten wildcarddomeinen via de "DNS-01 challenge" worden gevalideerd. Let's Encrypt beschikt over verschillende methodes om te controleren of de aanvrager van een certificaat ook de eigenaar van het bijbehorende domein is. In het geval van de DNS-01 challenge moet de aanvrager de DNS TXT-records van het domein aanpassen om aan te tonen dat hij de eigenaar is en een wildcardcertificaat heeft aangevraagd. Oorspronkelijk zou de ondersteuning van wildcardcertificaten in januari worden gelanceerd, maar dat werd wegens een beveiligingslek uitgesteld.
Let's Encrypt is een initiatief van de ISRG en wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en andere partijen. Het heeft een volledig versleuteld web als doel en is één van de grootste certificaatautoriteiten ter wereld. Onlangs passeerde Let's Encrypt nog de 50 miljoen actieve tls-certificaten.
Nou, prachtig initiatief... Een beetje serieuze webportal kan ook wel betalen voor een certificaat en https voor wat hobby wordpress sites maakt ze alleen nog maar meer kwetsbaar voor aanvallen (openssl memleaks).
Nou, prachtig initiatief... Een beetje serieuze webportal kan ook wel betalen voor een certificaat en https voor wat hobby wordpress sites maakt ze alleen nog maar meer kwetsbaar voor aanvallen (openssl memleaks).
Daar staat tegenover dat het wel heel gemakkelijk is om malware te injecteren in onversleutelde streams. Het onversleuteld laten van verkeer leidt verder tot het lekken van allerlei tokens en die zijn weer heel handig om te gebruiken in tracking mechanismen van allerlei overheden. Zoals je ziet... Elk voordeel heeft zijn nadeel... (Met dank aan Johan Cruijff...)
https://letsencrypt.org/docs/faq/
Does Let’s Encrypt issue certificates for anything other than SSL/TLS for websites?
Let’s Encrypt certificates are standard Domain Validation certificates, so you can use them for any server that uses a domain name, like web servers, mail servers, FTP servers, and many more.
Email encryption and code signing require a different type of certificate that Let’s Encrypt does not issue.
Nou, prachtig initiatief... Een beetje serieuze webportal kan ook wel betalen voor een certificaat en https voor wat hobby wordpress sites maakt ze alleen nog maar meer kwetsbaar voor aanvallen (openssl memleaks).
Het serieuze webportal zal even kwetsbaar zijn voor aanvallen (openssl memleaks). (Er zijn ook alternatieven voor OpenSSL.)
Het ACME protocol verplicht om 3 maandelijks (geautomatiseerd) te hernieuwen, en dat is een voordeel aangezien veel TLS/SSL issues vandaag de dag worden veroorzaakt door beheerdersfouten.(Gelekte private keys, slechts aangemaakte (weak) keys, etc...)
Ook voor certs in de cloud infrastructuur is dit wellicht een goede uitkomst.
Het is bedoelt voor encryptie verbeteren van servers, dus niet voor endpoints zoals email clients of VPN-gebruikers.
In het certificaat kun je dat ook zien, via het 'Extended Key Usage', zo heb je oa. 'Server Authentication', maar ook 'Client Authentication'.
Net zoals die bitcoin tumblers en VPN diensten..... helaas valt dit niet te controleren.
Precies wat ik bedoel websites (buiten portals die niet anders kunnen dan met een database werken) zouden gewoon HTTP only moeten zijn en eigenlijk ook puur HTML; geen ASP, geen PHP, geen Flash, geen Java, geen 3rd party troep maar gewoon informatieve tekst en plaatjes. Dan hoeft geen openssl (of whatever else) op die server geïnstalleerd te zijn en is de kans ook een stuk kleiner dat er mallware op terecht komt. Downloads van zo'n website zouden ondertekend moeten zijn en hashfiles via een extern kanaal zou ook een optie zijn. HTTPS geeft een vals gevoel van veiligheid omdat met een fout root CA hier ook maar gewoon een MITM aanval op uitgevoerd kan worden.
Dus leuk dat Lets Encrypt, maar waar het echt zou uitmaken (veilige e-mail voor vele miljoenen mensen en bedrijven) daar slaan ze de plank mis want daar geven ze geen certificaten voor uit.
Net zoals die bitcoin tumblers en VPN diensten..... helaas valt dit niet te controleren.
Je bedoelt Let's Encrypt gesponsord door een staat? Mogelijk, anders moet je maar betalen voor een certificaat ergens.
De beste optie is zelf certificaten genereren op je server. Je gebruikers krijgen dan wel een Untrusted Cert error en denken dat jouw server onveilig is terwijl deze mogelijk veiliger is dan een Let's Encrypt stream. Niet is wat het lijkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.