image

Let’s Encrypt voorziet meer dan 260 miljoen websites van gratis tls-certificaat

donderdag 16 december 2021, 17:22 door Redactie, 13 reacties

De in 2015 opgerichte certificaatautoriteit Let's Encrypt voorziet inmiddels meer dan 260 miljoen websites van gratis tls-certificaten. Sinds de oprichting is het percentage websites dat via https wordt geladen gestegen van 40 procent naar 83 procent wereldwijd. In de Verenigde Staten gaat het zelfs om 92 procent. Dat laat ISRG-directeur Josh Aas weten in een eindejaarsbrief. De Internet Security Research Group (ISRG) is de organisatie achter Let's Encrypt.

De ISRG is een non-profitorganisatie en honderd procent afhankelijk van donaties. "Wereldwijde impact vereist geen cheques van miljoenen dollars", merkt Aas op. Sinds 2015 hebben tienduizenden mensen aan het ISRG gedoneerd "Soms gaat het om drie dollar per maand. Dat heeft bij elkaar opgeteld voor 17 miljoen dollar gezorgd dat we hebben gebruikt om het internet voor bijna iedereen te veranderen."

De ISRG-directeur zegt trots te zijn dat het een financieel efficiënte organisatie is die met een paar miljoen dollars per jaar diensten aan miljarden mensen levert.

Image

Reacties (13)
16-12-2021, 18:24 door waterlelie
Ik neem aan, dat hetgeen geld voor e-mail certificaten, namelijk dat je een geldig certificaat kan kopen bij de aanschaf van een domeinnaam die letterlijk met één letter verschilt met een andere domeinnaam, mits een en ander nog vrij is.
Nu valt het mij op, dat er in certificaten database op mijn computer geen enkele Let's Encrypt certificaat voorkomt, en ik neem aan, dat ze de naam van de uitgever voeren. Ook van de CAcert autoriteit (gratis Nederland) is er geen enkele daarvan in de certificaten database op mijn computer te vinden.
16-12-2021, 18:48 door Anoniem
Je certificaten database bevat alleen intermediate certificaten (dus die weer andere certificaten ondertekenen) en client certificaten (dus waarmee je inlogt bij websites die dat gebruiken, doet bijna niemand) en die levert letsencrypt niet.
16-12-2021, 19:06 door grizzler - Bijgewerkt: 16-12-2021, 19:06
Wat je precies met die eerste zin bedoelt, is me niet duidelijk. Wat de rest betreft, het root certificaat waaraan de op websites aanwezige Let's Encrypt certificaten zijn gekoppeld, is het ISRG Root X1 certificaat. Dat zou op je computer moeten staan.
16-12-2021, 20:33 door waterlelie
Door grizzler: Wat je precies met die eerste zin bedoelt, is me niet duidelijk. Wat de rest betreft, het root certificaat waaraan de op websites aanwezige Let's Encrypt certificaten zijn gekoppeld, is het ISRG Root X1 certificaat. Dat zou op je computer moeten staan.

De eerste zin was een discussie of een e-mail certifcaat een veilige oplossing was tegen phishing etc.., dus niet.
Inderdaad staat dit certificaat in het certificatenbeheer.
17-12-2021, 09:51 door Anoniem
Door waterlelie: Ik neem aan, dat hetgeen geld voor e-mail certificaten, namelijk dat je een geldig certificaat kan kopen bij de aanschaf van een domeinnaam die letterlijk met één letter verschilt met een andere domeinnaam, mits een en ander nog vrij is.
Nu valt het mij op, dat er in certificaten database op mijn computer geen enkele Let's Encrypt certificaat voorkomt, en ik neem aan, dat ze de naam van de uitgever voeren. Ook van de CAcert autoriteit (gratis Nederland) is er geen enkele daarvan in de certificaten database op mijn computer te vinden.
Verdiep je eens in certificaten?
Bijvoorbeeld dat een e-mail certificaat helemaal niets met een webserver certificaat te maken heeft.
Wat Let's Encrypt eigenlijk voor certificaten aanbied.
Dat jouw opmerking over domeinnaam icm 1 letter verschil ook gewoon bij websites van toepassing is.
Maar ook dat je ieder specifieke certificaat ook niet hoeft te weten op je machine. Daar heb je het root en intermediate certificaat voor.
En aangezien het root CAcert certificaat standaard niet trusted certificaat is op de machine aanwezig is, die eigenlijk gedoemd is om niet groot te worden. Waarbij de website van CAcert autoriteit ook al niet op HTTPS werkt.
17-12-2021, 10:02 door Anoniem
Is het wel handig dat Let's Encrypt als een soort Sinterklaas allemaal certificaten uitdeelt aan random websites? Ze zullen niet allemaal random zijn maar 260 miljoen is niet niks.
17-12-2021, 10:59 door waterlelie - Bijgewerkt: 17-12-2021, 11:02
Vandaag, 09:51 door Anoniem Verdiep je eens in certificaten?
Is dat nu een vraag..? of aanmoediging.
En aangezien het root CAcert certificaat standaard niet trusted certificaat is op de machine aanwezig is, die eigenlijk gedoemd is om niet groot te worden. Waarbij de website van CAcert autoriteit ook al niet op HTTPS werkt.
Leg dat eens uit, want ik zie dat CAcert website inderdaad geen HTTPS kenmerk heeft, en volgens u daarom is gedoemd is om niet te groot te worden. is dat de reden, dat ze de website niet met HTTPS, beschermen.
17-12-2021, 11:41 door Anoniem
Door Anoniem: Is het wel handig dat Let's Encrypt als een soort Sinterklaas allemaal certificaten uitdeelt aan random websites? Ze zullen niet allemaal random zijn maar 260 miljoen is niet niks.

Oorspronkelijk werden certificaten uitgereikt aan bedrijven en personen waarvan de identiteit terdege was vastgesteld.
Dus als je een certificaat wilde moest je persoonlijk langskomen, of naar een notaris gaan voor een gewaarmerkte
kopie van een identiteitsbewijs, of een gewaarmerkt uittreksen van de KVK overleggen, dat soort dingen.
Het idee was dat de gebruiker zeker wist dat hij/zij communiceerde met de partij waarvan de gegevens in het
certificaat stonden.

Op een gegeven moment werd dit als "te lastig" ervaren en "een belemmering voor de handel" (het bekende neoliberale
beleid) en kwamen er bedrijven waar je een certificaat kon aanvragen als je alleen maar kon aantonen dat je de
eigenaar was van een domein. En dat aantonen liep dan niet via de domein registratie, maar via dingen als "kun je
mail ontvangen op een adres zoals postmaster@domein of info@domein" of "kun je iets aanpassen aan de website
die op dat domein draait, bijvoorbeeld een bestandje erop zetten" of "kun je de DNS aanpassen, bijvoorbeeld een
TXT record erbij zetten".
Deze "domain-control-validated" certificaten zijn in feite de bijl aan de wortel van het systeem. Maar die zijn dus niet
door letsencrypt bedacht. Bedrijven als Comodo waren bekend in deze markt, en de door hen uitgegeven certificaten
werden nog een tijd als minderwaardig beschouwd.

De laatste stap in deze neergaande spiraal was letsencrypt, die deze dienst van domain-control-validated certificaten
zelfs gratis en zonder enige tussenkomst van een aanvraagprocedure aanbood. Nu hoef je zelfs geen account met
betaling meer te maken waar nog iets uit te traceren zou zijn, maar kan iedereen die software kan installeren een
certificaat aanvragen. Daarmee is het aspect van "vertrouw je tegenpartij" definitief tot nul gereduceerd, en is het
allemaal alleen nog voor encrypted communicatie met een domeinnaam.

De gevestigde certificaatuitgevers hebben nog geprobeerd om het oorspronkelijke idee achter certificaten terug te
brengen via de EV (extended validation) certificaten, waarbij het allemaal weer gaat zoals het vroeger voor iedereen
werkte, maar kennelijk is dat ook een doodlopend spoor.
17-12-2021, 12:07 door Anoniem
Weet iemand of LE zelf ook toegang heeft tot de private keys? Zoja lijkt het eigenlijk gewoon op een grote honeypot om HTTPS verkeer te kunnen onderscheppen.
17-12-2021, 12:21 door Anoniem
Door waterlelie:
Vandaag, 09:51 door Anoniem Verdiep je eens in certificaten?
Is dat nu een vraag..? of aanmoediging.
En aangezien het root CAcert certificaat standaard niet trusted certificaat is op de machine aanwezig is, die eigenlijk gedoemd is om niet groot te worden. Waarbij de website van CAcert autoriteit ook al niet op HTTPS werkt.
Leg dat eens uit, want ik zie dat CAcert website inderdaad geen HTTPS kenmerk heeft, en volgens u daarom is gedoemd is om niet te groot te worden. is dat de reden, dat ze de website niet met HTTPS, beschermen.
QED
17-12-2021, 13:00 door eMilt
Door Anoniem: Weet iemand of LE zelf ook toegang heeft tot de private keys?
Nee uiteraard niet. Geen enkele CA heeft toegang tot de private keys. Er zijn wel bedrijven die certificaten verkopen die voor een klant een keypair kunnen genereren en die hebben dan wel (even) toegang tot je private key.
17-12-2021, 13:14 door waterlelie
Door eMilt:
Door Anoniem: Weet iemand of LE zelf ook toegang heeft tot de private keys?
Nee uiteraard niet. Geen enkele CA heeft toegang tot de private keys. Er zijn wel bedrijven die certificaten verkopen die voor een klant een keypair kunnen genereren en die hebben dan wel (even) toegang tot je private key.

Is dat wel zo? Als ik een certificaat bij LE aanvraag, is dan de procedure niet zo, dat LE het certificaat genereert, en dat ik als aanvrager het wachtwoord voor het certificaat aan LE moet doorgeven, en dat daarna het certificaat (sleutelpaar) aan mij via email wordt opgestuurd door LE.
17-12-2021, 14:00 door Anoniem
Door waterlelie:
Door eMilt:
Door Anoniem: Weet iemand of LE zelf ook toegang heeft tot de private keys?
Nee uiteraard niet. Geen enkele CA heeft toegang tot de private keys. Er zijn wel bedrijven die certificaten verkopen die voor een klant een keypair kunnen genereren en die hebben dan wel (even) toegang tot je private key.

Is dat wel zo? Als ik een certificaat bij LE aanvraag, is dan de procedure niet zo, dat LE het certificaat genereert, en dat ik als aanvrager het wachtwoord voor het certificaat aan LE moet doorgeven, en dat daarna het certificaat (sleutelpaar) aan mij via email wordt opgestuurd door LE.
https://letsencrypt.org/how-it-works/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.