image

150 miljoen websites gebruiken tls-certificaat Let's Encrypt

dinsdag 1 januari 2019, 12:12 door Redactie, 17 reacties

Meer dan 150 miljoen websites maken inmiddels gebruik van een tls-certificaat van Let's Encrypt voor het aanbieden van een versleutelde verbinding aan bezoekers en dat aantal zal naar verwachting dit jaar naar 215 miljoen stijgen. Dat meldt de Internet Security Research Group (ISRG), de partij achter Let's Encrypt.

Het initiatief wordt gesteund door Mozilla, Akamai, Cisco en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door tls-certificaten gratis uit te geven en de installatie zo eenvoudig mogelijk te maken. Het afgelopen jaar steeg het aantal door Firefox geladen https-pagina's van 67 procent naar 77 procent. "Dit is een ongekende verandering", zegt Josh Aas, directeur van de ISRG.

Het gebruik van https moet zowel de veiligheid als privacy van internetgebruikers verbeteren. Het maakt het veel lastiger voor kwaadwillenden om het webverkeer van gebruikers te onderscheppen en bijvoorbeeld wachtwoorden en andere gevoelige informatie te achterhalen. Voor dit jaar heeft de ISRG de verwachting dat het aantal websites met een certificaat van Let's Encrypt naar 215 miljoen zal stijgen.

Aas merkt op dat Let's Encrypt dit jaar weer een groot deel van het web zal beschermen met een budget van slechts 3,6 miljoen dollar. Verschillende grote partijen hebben ook dit jaar weer in Let's Encrypt geïnvesteerd, maar er worden nog donateurs gezocht om alle kosten van 2019 te kunnen dekken.

Image

Reacties (17)
01-01-2019, 13:34 door Anoniem
Wat ik mij afvraag dat is, hoe zit het dan met het surfgedrag? Kan tls-certificaten ons surfgedrag volgen? Zoja, dan is dit niet zo best. De Let's Encrypt company moet toch ook hun boterham kunnen verdienen, wss hebben ze de facebook sdk ergens in hun closed source server verstopt die onze ip adressen naar facebook stuurt?

Of ben ik nu helemaal paranoid aan het worden...
01-01-2019, 15:18 door Briolet
Met de jaarwisseling heb ik oliebollen besteld op de site met een Let's Encrypt certificaat van een locale vereniging . Alleen hadden deze amateurs het certificaat aangevraagd zonder www voor hun domeinnaam, omdat ze op zich geen www gebruiken voor hun website. Maar, op hun folder stond er wel www voor en die kwam ook op hun site uit. #$%

Gelukkig hadden ze meer verstand van oliebollen. (-:

Een voorspoedig 2019 aan iedereen.
01-01-2019, 17:39 door Anoniem
Door Anoniem:
Of ben ik nu helemaal paranoid aan het worden...

Ja.
01-01-2019, 19:24 door MathFox
Door Anoniem: Wat ik mij afvraag dat is, hoe zit het dan met het surfgedrag? Kan tls-certificaten ons surfgedrag volgen? Zoja, dan is dit niet zo best. De Let's Encrypt company moet toch ook hun boterham kunnen verdienen, wss hebben ze de facebook sdk ergens in hun closed source server verstopt die onze ip adressen naar facebook stuurt?

Of ben ik nu helemaal paranoid aan het worden...
Een beetje kennis kan helpen: Let's encrypt is een CA die o.a. door de EFF is opgericht; een stichting (naar Amerikaans recht), geen commercieel bedrijf. https://en.wikipedia.org/wiki/Let's_Encrypt
Het TLS-certificaat zelf kan je surfgedrag niet volgen; met zo'n certificaat kan een webserver aantonen dat hij de "echte" website serveert. Er zit wel een mogelijk informatielek in de "revocation check", maar dat is wel ietsje kleiner dan de informatie die door dns-lookups gelekt wordt.
01-01-2019, 20:31 door Anoniem
Door Anoniem: Wat ik mij afvraag dat is, hoe zit het dan met het surfgedrag? Kan tls-certificaten ons surfgedrag volgen? Zoja, dan is dit niet zo best. De Let's Encrypt company moet toch ook hun boterham kunnen verdienen, wss hebben ze de facebook sdk ergens in hun closed source server verstopt die onze ip adressen naar facebook stuurt?

Of ben ik nu helemaal paranoid aan het worden...
Kort antwoord: JA
01-01-2019, 23:23 door Anoniem
Waarom vertrouw ik de gratis certs van letsencrypt niet?

Faceboek was ook gratis of ben ik paranoide?
02-01-2019, 00:07 door Anoniem
Door Anoniem:
Door Anoniem: Wat ik mij afvraag dat is, hoe zit het dan met het surfgedrag? Kan tls-certificaten ons surfgedrag volgen? Zoja, dan is dit niet zo best. De Let's Encrypt company moet toch ook hun boterham kunnen verdienen, wss hebben ze de facebook sdk ergens in hun closed source server verstopt die onze ip adressen naar facebook stuurt?

Of ben ik nu helemaal paranoid aan het worden...
Kort antwoord: JA

Dat dacht ik een paar jaar geleden al maar blijkbaar is alles "geheim" en boze blikken en gekverklaringen. Ik heb maar een mbo opleiding, ben ik dan toch helderziend of vooruitziend of gewoon normaal?

Als je een veilige TLS stream wilt moet je toch echt selfsigned buiten de grote servers om maar krijgt iedere sitebezoeker een error, denkend dat je site onveilig is. Boven is beneden en beneden is boven.
02-01-2019, 10:17 door Bitwiper - Bijgewerkt: 02-01-2019, 10:18
Door MathFox: Er zit wel een mogelijk informatielek in de "revocation check"
Ik ben geen fan van DV (Domain Validated) speelgoedcertificaten (waaronder de gratis en "no questions asked" Let's Encrypt certs) voor websites bedoeld voor bezoek door vreemden, vanwege het gemak waarmee criminelen fake websites kunnen optuigen. Maar als ik me niet vergis is het de bedoeling van Let's Encrypt dat er van OCSP stapling gebruik gemaakt wordt, en dan speelt dit privacyaspect geen rol.

Namelijk indien de webserver voor OSCP stapling is geconfigureerd, zal de webserver zelf frequent OSCP requests doen (naar o.a. http://ocsp.int-x3.letsencrypt.org) en het laatste antwoord daarvan meesturen naar jouw browser tijdens het opzetten van de TLS verbinding (vaak direct nadat de server het certificaat naar de browser heeft gestuurd).

Voor zover ik weet is het dus alleen zo dat als iemand zijn/haar webserver bewust anders geconfigureerd heeft, en jouw webbrowser geconfigureerd is om OCSP requests te verzenden, dat een Let's Encrypt OCSP server "weet" dat jij op dat moment een specifieke website bezoekt.

Door MathFox: , maar dat is wel ietsje kleiner dan de informatie die door dns-lookups gelekt wordt.
Niet voor niets heeft Google een gratis en bloedsnelle DNS server op o.a. 8.8.8.8; als je dat IP-adres als DNS server hebt ingesteld, weet Google precies welke site jij wanneer bezoekt (naast via de andere manieren waarop Google dit monitort).
02-01-2019, 11:14 door Anoniem
Door Anoniem:
Door Anoniem:
Of ben ik nu helemaal paranoid aan het worden...

Ja.

Nee.
02-01-2019, 12:41 door Anoniem
Door Anoniem: Waarom vertrouw ik de gratis certs van letsencrypt niet?

Die vraag moet je aan @Anoniem 23:23 stellen.
02-01-2019, 13:19 door -karma4
Door Briolet: Met de jaarwisseling heb ik oliebollen besteld op de site met een Let's Encrypt certificaat van een locale vereniging . Alleen hadden deze amateurs het certificaat aangevraagd zonder www voor hun domeinnaam, omdat ze op zich geen www gebruiken voor hun website. Maar, op hun folder stond er wel www voor en die kwam ook op hun site uit. #$%

https://letsencrypt.org/2017/07/06/wildcard-certificates-coming-jan-2018.html

(*.domeinnaam.tld)
02-01-2019, 14:09 door Anoniem
Door Anoniem: Waarom vertrouw ik de gratis certs van letsencrypt niet?
Het is opgericht door EFF ;-) Ik voel me allersinds alweer wat gerust.

Hoewel dat EFF toch ook ergens zijn boterham moet kunnen verdienen, leven ze misschien van donaties?
02-01-2019, 16:14 door Anoniem
Door Anoniem:
Door Anoniem: Waarom vertrouw ik de gratis certs van letsencrypt niet?
Het is opgericht door EFF ;-) Ik voel me allersinds alweer wat gerust.

Hoewel dat EFF toch ook ergens zijn boterham moet kunnen verdienen, leven ze misschien van donaties?

Hmm EFF is een terreurorganisatie dus dan zit het misschien toch goed. Ik hoop dat de grap goed valt.
02-01-2019, 16:19 door Anoniem
Ik zou wel eens het hele kasboekje van EFF willen zien. Dan kun je afleiden hoe ze het doen. Van donaties alleen komen ze niet rond want ze doen regelmatig aan fundraisen. Ik heb totaal geen zicht op deze organisatie. Ze hebben toffe tshirts en waren cool totdat Snowden in beeld kwam met EFF stickers op zijn laptop. De Che Guevara stickers zijn blijkbaar uit de mode. :)
02-01-2019, 17:41 door Anoniem
Door Anoniem:
Door Anoniem: Waarom vertrouw ik de gratis certs van letsencrypt niet?
Het is opgericht door EFF ;-) Ik voel me allersinds alweer wat gerust.

Hoewel dat EFF toch ook ergens zijn boterham moet kunnen verdienen, leven ze misschien van donaties?

https://www.eff.org/thanks
02-01-2019, 21:00 door 0101
Door Bitwiper:
Door MathFox: , maar dat is wel ietsje kleiner dan de informatie die door dns-lookups gelekt wordt.
Niet voor niets heeft Google een gratis en bloedsnelle DNS server op o.a. 8.8.8.8; als je dat IP-adres als DNS server hebt ingesteld, weet Google precies welke site jij wanneer bezoekt (naast via de andere manieren waarop Google dit monitort).

Ik denk dat je er wat teveel achter zoekt. De privacy policy (https://developers.google.com/speed/public-dns/privacy) van Google Public DNS is best goed, en ook als ze zoals ze zeggen het niet gebruiken om je te tracken hebben ze nog steeds een goede reden om het te draaien: Google heeft er alle belang bij dat hun sites en diensten zoals Google AdSense snel geladen worden.
03-01-2019, 09:31 door Anoniem
Door Anoniem: Ik zou wel eens het hele kasboekje van EFF willen zien. Dan kun je afleiden hoe ze het doen. Van donaties alleen komen ze niet rond want ze doen regelmatig aan fundraisen. Ik heb totaal geen zicht op deze organisatie. Ze hebben toffe tshirts en waren cool totdat Snowden in beeld kwam met EFF stickers op zijn laptop. De Che Guevara stickers zijn blijkbaar uit de mode. :)
Leef je uit: https://www.eff.org/nl/about/annual-reports-and-financials

Fundraising is trouwens niets meer of minder dan om donaties vragen. Fundraising betekent niet dat ze niet rondkomen van donaties, het is een middel om genoeg donaties binnen te halen om ervan rond te komen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.