Lets Encrypt heeft TLS naar elke website gebracht, wat de veiligheid van het internet heeft verbeterd.
Dit was in mijn ogen een goed ding, maar er is wel een third-party afhankelijkheid door ontstaan.

Gelukkig word dit hele DV certificaat gebeuren overbodig zodra browser DANE implementeren.

Domeinnamen witwassende parkeerders danken u alvast hartelijk voor uw bijdrage!

Miljoenen voorbeelden, van ééntje een stukje van een lange lijst, uit https://crt.sh/?q=animesub.in&Deduplicate=y:

Ik kan mijn geld besteden aan betere vrije software dan dit.
Ook CA's zijn niet heilig, en teveel afhankelijk van bepaalde partijen en landen, er moet gewoon een betere oplossing komen, maar zolang die CA's bestaan geeft niemand om een goed alternatief.
The TOR project is daarentegen beter, evenals individuele apps en bepaalde GLU+Linux-ontwikkelaars, ik doneer daar met regelmaat aan.

Wat bedoel je eigenlijk te zeggen?
Is er malware of phishing op die domeinen waar ik niks van af weet?
Of heeft het behouden van zo veel subdomeinen een of ander kwaadaardig effect?
Ik mis een puzzelstukje.

Er is al wel een betere oplossing (genaamd DANE), maar die is nog niet door browsers geïmplementeerd.
Met DANE zet je de public key van de webserver in DNS(Sec), waardoor je certificaat controle kan overslaan.
Dit maakt het hele domeincertificaten systeem overbodig, wat een grote zwakte van het internet wegneemt.
Wel heb je DNSSEC nodig om dit veilig te laten werken. (Diens uitrol is nu in volle vaart.)

Bedankt voor de informatie, dit wist ik nog niet, top!

Letsencrypt wordt op grote schaal gebruikt door cybercriminelen, tbv het creeeren van SSL certificaten, voor kwaadaardig domeinen.

Hoe veilig is het internet nog als cybercriminelen met Let's Encrypt gratis SSL-certificaten kunnen uitgeven voor kwaadaardige websites? Is dat echt een verbetering van de online veiligheid — of ondermijnt het die juist?

Ik heb het over veiligheid aan de gebruiker-kant, bijvoorbeeld via publieke Wi-Fi punten.
Door TLS te gebruiken word het een flink stuk lastiger om een AitM aanval uit te voeren.

En het verkrijgen van false certificaten is niet enkel een LetsEncrypt ding, het gebeurt ook met andere CA's.
Bogpost met voorbeeld: (https://scotthelme.co.uk/the-power-to-revoke-lies-with-the-ca/) en verschil plaatje:
https://web.archive.org/web/20180427172912/https://twitter.com/iangcarroll/status/940281927789146112/photo/1

Het "hele DV certificaatgebeuren" is sowieso grotendeels overbodig. Je hebt geen certificaat nodig voor een versleutelde verbinding. De "meerwaarde" van DV-certificaten bestaat eruit dat als de uitgever DNS raadpleegt en van kwetsbare internetroutering gebruikmaakt, dit betrouwbaarder zou zijn dan wanneer jouw browser DNS raadpleegt en van kwetsbare internetroutering gebruikmaakt.

DV-certificaten beschermen ook niet tegen ongeautoriseerde wijzigingen van DNS-records, noch tegen vergeten en "bungelende" subdomeinmamen (zie bijv. https://www.bleepingcomputer.com/news/security/hazy-hawk-gang-exploits-dns-misconfigs-to-hijack-trusted-domains/ van eergisteren, met passkey-phishing als potentieel bijkomend risico: https://infosec.exchange/@ErikvanStraten/114541021456446296).

Verder heeft een internetter nul-komma-niets aan DV-certificaten, want zij of hij heeft nog steeds geen idee wie de verantwoordelijke voor een website is. Een domeinnaam kan iets suggereren, maar voor één authentieke domeinnaam zijn er eindeloos veel misleidende te bedenken. Daarbij, domeinnamen worden gehuurd. Net als telefoonnummers. Jouw telefoonnummer is niet jouw telefoonnummer en het kan morgen "van een ander" zijn. De betrouwbaarheid van domeinnamen en telefoonnummers is beperkt, het zijn vaak lastig te onthouden tijdelijke aliases voor een entiteit.

DANE, grotendeels toekomstmuziek, gaat geen van de problemen van DV-certificaten oplossen.

Van de "zeshonderd miljoen domeinen" waar Let's Encrypt certificaten voor heeft uitgegeven of nog uitgeeft, werd of wordt hoogstwaarschijnlijk het overgrote deel gebruikt voor onwenselijke websites (*) die niet van wenselijke websites te onderscheiden zijn.

(*) Onwenselijk voor bezoekers en dus verspilling van resources. Certificaten uitgegeven voor domeinnamen voor websites gebruikt voor o.a. phishing, malwaredownloads, oplichting en misleiding. Of voor bedachte of gegenereerde domeinnamen die nog moeten worden verhuurd, maar waarvoor alvast een "goede" reputatie wordt opgebouwd - door daar een website met reclamelinks aan te koppelen. Of door in blacklists opgenomen domeinnamen wit te wassen, d.w.z. hun negatieve reputatie te laten afnemen door er, zoveel mogelijk, "onschuldige" websites achter te zetten.

Voorbeeld: als ik https://ww16.smtp.animesub·in open, zie ik een blauwe achtergrond met de volgende tekst:
Die laatste link verwijst naar about:blank#blocked

Voor bijvoorbeeld paypal.com·in heeft Let's Encrypt (inclusief subdomeinnamen) zóveel certificaten uitgegeven dat https://crt.sh/?q=paypal.com.in ze niet allemaal laat zien. Sterker, als ik de zoekopdracht met https://crt.sh/?q=paypal.com.in&exclude=expired beperk tot nog geldige certificaten (max. 3 maanden oud dus), krijg ik ze nog steeds niet allemaal te zien. Als https://crt.sh/?q=paypal.com.in&exclude=expired&Deduplicate=y niet in een foutmelding van de server resulteert, krijg ik wel alle -nog geldige- certificaten te zien (1 regel per certificaat t.g.v. "Deduplicate=y").

Kijk ook eens in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/13.248.197.209 voor een schier eindeloze reeks .bond basisdomeinnamen met voor elk een Let's Encrypt certificaat.

In het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/104.247.81.90, alsmede 104.247.81.91 t/m 104.247.81.94 en 104.247.82.90 t/m 104.247.82.94 vind je vooral subdomeinnamen van bovengenoemde (en ook nog een aantal onder 185.53.179.94) - eveneens elk met een eigen certificaat. Zie ook https://security.nl/posting/881798 m.b.t. die, naar mijn inschatting destijds 30.000 certificaten voor criminele .bond domains per dag (inclusief mijn bron daarvoor).

Sowieso zie ik een wijzigende trend: waar het de afgelopen jaren nog gebruikelijk was om max. 100 junkdomeinnamen in één certificaat op te nemen (voorbeeld: https://crt.sh/?id=15630849964) met o.a. abnoamro·nl, soms jarenlang gebruikmakend van hetzelfde sleutelpaar voor ontelbare domeinnamen), zie ik steeks vaker dat voor elke junk-(sub-)domeinnaam één certificaat wordt aangevraagd (en verkregen). Immers, aanvragen vindt geautomatiseerd plaats en certificaten zijn "gratis".

Er zitten wel een aantal voordelen aan DANE:
1. Geen afhankelijkheid meer van CA's, noch gevaar als een van de ~400 CA's compromised raakt...
2. Geen certbot meer nodig, dus minder bewegende delen die kapot kunnen gaan of gehackt kunnen worden.
3. Er hoeft dan ook niet meer naar Lets Encrypt gedoneerd te worden.

Maar het lost inderdaad niet alle problemen op.
Je zult bijvoorbeeld toch altijd een of andere instantie nodig hebben om bedrijven aan domeinen te koppelen.
(Ik had dacht ik al een idee had geopperd om HTTP certificates te introduceren? Mogelijk een uitweg voor CA's!)

Ah, je bedoelt op die manier. Daar heb je volkomen gelijk in.
Ik had verwacht dat Lets Encrypt wel enige controle zou hebben hierop. Blijkbaar niet dus...
Misschien zou LE zulke certificaten kunnen intrekken?
Dan kan er ook niet worden witgewassen of reputatie opgebouwd worden.

Encryptie is goed voor de gebruikerzodat man in the middle aanvall3n voorkomen worden. De meerwaarde van een tegenwoordig soms al na 6 dagen verlopen certificaat van een ander t.o.v. een self-signed certificaat is in de meeste gevallen nihiel.

@johanw: met jouw tweede zin spreek je de eerste tegen.

Let's Encrypt kreeg afgelopen jaar 10% van de inkomsten uit donaties. Aan uitgaven ging 48% naar de certificaten en, 10% naar marketing en 31% naar een project voor onderzoek naar veiliger geheugen en een project voor veilige telemetry.

Of ze zijn dus heel gezond en er is geen direct gevaar voor die certificaten. Of ze hebben de donaties vooral nodig omdat ze te veel geld uitgeven aan minder belangrijke bedoelingen.