Let's Encrypt komt eind dit jaar met tls-certificaten die zes dagen geldig zijn
Certificaatautoriteit Let's Encrypt zal eind dit jaar tls-certificaten gaan uitgeven die zes dagen geldig zijn. Volgens Josh Aas, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt, zijn certificaten met een korte levensduur goed voor security. "Wanneer de private key van een certificaat is gecompromitteerd, is het advies om het certificaat in te trekken zodat mensen weten het niet te gebruiken. Helaas werkt het intrekken van certificaten niet erg goed", stelt Aas.
Certificaten met een gecompromitteerde key kunnen daardoor worden gebruikt totdat ze zijn verlopen. Hoe langer de levensduur van een certificaat, hoe meer kans op misbruik. Tls-certificaten, zoals Let's Encrypt uitgeeft, zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het certificaat worden ingetrokken.
Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Certificaten die maar zes dagen geldig zijn zouden de periode dat misbruik kan plaatsvinden drastisch verminderen, omdat ze juist zo snel verlopen, merkt Aas op. "Dit verkleint de noodzaak voor het intrekken van certificaten, wat historisch gezien onbetrouwbaar is." De certificaten die Let's Encrypt gaat uitgeven en zes dagen geldig zijn beschikken niet over OCSP of CRL.
Wanneer een certificaat is ingetrokken moet dit aan de browser van gebruikers worden gecommuniceerd. Hiervoor zijn Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren.
Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren. Let's Encrypt liet eerder al weten dat het met de ondersteuning van OCSP gaat stoppen.
Let's Encrypt is van plan om volgende maand het eerste 'short-lived' certificaat voor zichzelf uit te geven. Rond april zullen de certificaten voor een kleine groep early adopters beschikbaar komen. Eind dit jaar zouden de certificaten met een levensduur van zes dagen voor iedereen beschikbaar moeten zijn. Het zal vooralsnog mogelijk blijven om certificaten met een levensduur van negentig dagen te kiezen.
Lijkt me dan ook dat het minder snel opvalt als de amazon cloud een duplicaat certificate genereerd...
zodat je gewoon wekelijk een cron had kunnen draaien.
Dit is geen reden om OCSP als onbetrouwbaar te bestempelen. Hier is het de browser die onbetrouwbaar is. Als je vind dat dit belangrijk is moet je bevorderen dat de browsers dit beter toepassen.
Op de mac kon je vroeger in de sleutelhanger programma instellen dat een certificaat alleen geldig verklaard kan worden na een geslaagde OCSP validatie. Default stond de verplichting echter uit. Tegenwoordig is dit niet meer in te stellen. Jammer.
Let's encrypt draait om meer dan 60% van de websites wereldwijd. Dit lijkt mij een ware honeypot voor de inlichtingendiensten.
Certificaten zijn gebaseerd op vertrouwen, meer is het niet. En het feit dat 60% van het internet hun vertrouwen stelt in één partij lijkt me hoe dan ook problematisch. Zijn ze niet al gecompromitteerd dan worden ze het wel. En dan doel ik niet op de certificaatjes, maar de CA (root). En wat is het alternatief? Geen enkele dienst die zo simpel werkt en zo wijdverbreid is als Let's Encrypt.
Wat mij betreft hoog tijd om te kijken naar dit eco systeem. Iets meer CA's zou ook al gewoon een goede risico spreiding zijn.
Let's encrypt draait om meer dan 60% van de websites wereldwijd. Dit lijkt mij een ware honeypot voor de inlichtingendiensten.
Certificaten zijn gebaseerd op vertrouwen, meer is het niet. En het feit dat 60% van het internet hun vertrouwen stelt in één partij lijkt me hoe dan ook problematisch. Zijn ze niet al gecompromitteerd dan worden ze het wel. En dan doel ik niet op de certificaatjes, maar de CA (root). En wat is het alternatief? Geen enkele dienst die zo simpel werkt en zo wijdverbreid is als Let's Encrypt.
Wat mij betreft hoog tijd om te kijken naar dit eco systeem. Iets meer CA's zou ook al gewoon een goede risico spreiding zijn.
Ik vertrouw dit initatief voor geen meter. niemand in de industrie vroeg hier om het helpt niks met de veiligheid als je binnen seconden toch wel weer een ongekeurd tls kan uitdraaien die genoeg lijkt op een andere partij.
Terwijl anderzijds zelden binnen zes dagen uberhaubt exploitstie wordt herkend. Dat zijn echt zeldzaamheden en dan is de grootste schade al lang gedaan en heeft een revoke bar weinig effect.
Wat mij betreft hoog tijd om te kijken naar dit eco systeem. Iets meer CA's zou ook al gewoon een goede risico spreiding zijn.
Kijk 's in je browser CA store .
Uit Wiki
En iij wilt "iets meer CAs voor risico spreiding" ?
Ik voorzie een opmars naar betaalde dienst waar je voor de korte duur niks betaald maar wil je 30 of 90 dagen aanhouden dan ga je dokken.
Toch mooi dat je het verleden van de laatste decennia kunt voorspellen.
Gast - DAT BESTAAT AL . (en nog steeds - ondanks de gratis concurrentie van Let's Encrypt)
Ben je nou werkelijk zo groen dat je nooit gewerkt hebt met 'certificaat kopen voor 1/2/5 jaar' ?
Let's encrypt draait om meer dan 60% van de websites wereldwijd. Dit lijkt mij een ware honeypot voor de inlichtingendiensten.
Certificaten zijn gebaseerd op vertrouwen, meer is het niet. En het feit dat 60% van het internet hun vertrouwen stelt in één partij lijkt me hoe dan ook problematisch. Zijn ze niet al gecompromitteerd dan worden ze het wel. En dan doel ik niet op de certificaatjes, maar de CA (root). En wat is het alternatief? Geen enkele dienst die zo simpel werkt en zo wijdverbreid is als Let's Encrypt.
Wat mij betreft hoog tijd om te kijken naar dit eco systeem. Iets meer CA's zou ook al gewoon een goede risico spreiding zijn.
Welke investeerder geeft geld voor een gratis alternatief??? Onze eigen gierigheid maakt dit mogelijk.
Ik voorzie een opmars naar betaalde dienst waar je voor de korte duur niks betaald maar wil je 30 of 90 dagen aanhouden dan ga je dokken.
Toch mooi dat je het verleden van de laatste decennia kunt voorspellen.
Gast - DAT BESTAAT AL . (en nog steeds - ondanks de gratis concurrentie van Let's Encrypt)
Ben je nou werkelijk zo groen dat je nooit gewerkt hebt met 'certificaat kopen voor 1/2/5 jaar' ?
>1 jaar kan toch niet meer?
Ik voorzie een opmars naar betaalde dienst waar je voor de korte duur niks betaald maar wil je 30 of 90 dagen aanhouden dan ga je dokken.
Toch mooi dat je het verleden van de laatste decennia kunt voorspellen.
Gast - DAT BESTAAT AL . (en nog steeds - ondanks de gratis concurrentie van Let's Encrypt)
Ben je nou werkelijk zo groen dat je nooit gewerkt hebt met 'certificaat kopen voor 1/2/5 jaar' ?
>1 jaar kan toch niet meer?
Ik heb niet recent gekeken wat er te koop is als je wilt betalen.
Nu maar even gedaan :
voor 2015 - 5 jaar.
Sinds 2018 - (max) 2 jaar
Sinds 2020 - max 13 maanden.
Let's encrypt draait om meer dan 60% van de websites wereldwijd. Dit lijkt mij een ware honeypot voor de inlichtingendiensten.
Certificaten zijn gebaseerd op vertrouwen, meer is het niet. En het feit dat 60% van het internet hun vertrouwen stelt in één partij lijkt me hoe dan ook problematisch. Zijn ze niet al gecompromitteerd dan worden ze het wel. En dan doel ik niet op de certificaatjes, maar de CA (root). En wat is het alternatief? Geen enkele dienst die zo simpel werkt en zo wijdverbreid is als Let's Encrypt.
Wat mij betreft hoog tijd om te kijken naar dit eco systeem. Iets meer CA's zou ook al gewoon een goede risico spreiding zijn.
Je stuurt je privatekeys niet naar LetsEncrypt, dus wat is de attack vector?
Let's encrypt draait om meer dan 60% van de websites wereldwijd. Dit lijkt mij een ware honeypot voor de inlichtingendiensten.
Certificaten zijn gebaseerd op vertrouwen, meer is het niet. En het feit dat 60% van het internet hun vertrouwen stelt in één partij lijkt me hoe dan ook problematisch. Zijn ze niet al gecompromitteerd dan worden ze het wel. En dan doel ik niet op de certificaatjes, maar de CA (root). En wat is het alternatief? Geen enkele dienst die zo simpel werkt en zo wijdverbreid is als Let's Encrypt.
Wat mij betreft hoog tijd om te kijken naar dit eco systeem. Iets meer CA's zou ook al gewoon een goede risico spreiding zijn.
Je stuurt je privatekeys niet naar LetsEncrypt, dus wat is de attack vector?
De attack vector is door het compromitteren (hacken, malicious insider) van Let's Encrypt en het stelen van de CA-keys van Let's Encrypt ze trusted certificaten kunnen maken (gesigned door Let's Encrypt) om dan als actieve Man-in-the-Middle het verkeer van Let's Encrypt gebruikende sites kunnen onderscheppen.
Om de één of andere reden denken onze leunsteul intelligence analysten dat juist LetsEncrypt sites/gebruikers aantrekt die super interessant zijn om af te luisteren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?