Nieuws
image

Let's Encrypt gaf wegens incident twee uur lang geen certificaten uit

zaterdag 9 mei 2026, 09:30 door Redactie, 6 reacties

Certificaatautoriteit Let's Encrypt heeft gisterenavond wegens een incident ruim twee uur lang geen certificaten uitgegeven. Het probleem is inmiddels opgelost. Let's Encrypt geeft gratis certificaten uit die worden gebruikt voor het versleutelen van verkeer tussen websites en bezoekers. Het is de grootste certificaatautoriteit op internet. Vorig jaar september genereerde Let's Encrypt twee nieuwe Root Certification Authorities en zes nieuwe Intermediate Certification Authorities gebruikt voor het uitgeven van certificaten.

In een incidentrapport staat dat deze Certification Authorities niet voldoen aan de regels van de Common CA Database (CCADB) Policy. De CCADB Policy stelt regels aan certificaatautoriteiten waarvan de rootcertificaten aanwezig zijn in de root stores van onder andere Mozilla, Google, Apple en Microsoft. Eén van de regels van de CCADB stelt dat de serverAuth EKU extensie moet zijn ingeschakeld, wat bij de betreffende Certification Authorities van Let's Encrypt niet het geval was. Daarop besloot de certificaatautoriteit tijdelijk het uitgeven van nieuwe certificaten te staken. Vervolgens zijn configuratie-aanpassingen doorgevoerd om te voorkomen dat de betreffende Certification Authorities certificaten uitgeven, waarna de uitgifte van certificaten na bijna 2,5 uur werd hervat.

Reacties (6)
Reageer met quote
09-05-2026, 18:49 door johanw
Leuk is dat, gecombineerd met die neiging om de levensduur van certificaten sreeds korter te maken en browsers die weigeren een verlopen certificaat te gebruiken kan dat websites onbereikbaar maken.
Reageer met quote
10-05-2026, 10:00 door Anoniem
Door johanw: Leuk is dat, gecombineerd met die neiging om de levensduur van certificaten sreeds korter te maken en browsers die weigeren een verlopen certificaat te gebruiken kan dat websites onbereikbaar maken.
De default is 90 dagen, je kan als domeinnaamhouder zelf kiezen voor 6 dagen. Hier gaat het om een uitval van 2 uur.

Net zoals bij de meeste dingen is dit niet een heel simpel zwart/wit-onderscheid van "dit is ideaal, zonder enig nadeel" tegenover "dit is vreselijk, zonder enig voordeel". Als je de knop de ene kant op draait neemt het ene risico af en het andere toe, als je de knop de andere kant op draait neemt dat eerste risico toe en het tweede juist af. Er is geen punt in het midden waarop er geen enkel risico is en je met utopische perfectie om je oren wordt geslagen, het gaat om het vinden van een optimum met een laag totaal risico, zonder dat je werkelijk op nul uit kan komen.

De reden voor Let's Encrypt om de levensduur van certificaten te verkorten is dat de mechanismen om gecompromitteerde certificaten in te trekken domweg niet perfect zijn en zelf weer hun eigen nadelen hebben. De geldigheidsduur van certificaten kort houden is een alternatieve manier om de schade te beperken. Een korter wordende geldigheidsduur doet dan inderdaad weer het risico dat uitvallende CA-infrastructuur oplevert toenemen.

Als je dergelijke diensten gebruikt, besef dan dat je verschillende risico's tegen elkaar af te wegen hebt en een voor jou goede balans moet vinden. Besef ook dat die verschillende risico's niet hetzelfde zijn. Een gecompromitteerd certificaat kan misbruikt worden door criminelen om derden op te lichten, ten koste van jouw reputatie. Een verlopen certificaat op je site is ook geen feest voor je reputatie, maar van een andere orde dan dat anderen uit jouw naam worden opgelicht.
Reageer met quote
10-05-2026, 10:17 door Anoniem
Door johanw: Leuk is dat, gecombineerd met die neiging om de levensduur van certificaten sreeds korter te maken en browsers die weigeren een verlopen certificaat te gebruiken kan dat websites onbereikbaar maken.
Als je certificaat vernieuwingen hebt geautomatiseerd dan raakt dit je niet. Als het goed is vraag na op 2/3 van de levensduur van het huidige certificaat al een nieuwe aan. Je hebt dan ruim de tijd om te verlengen, ook als er een tijdelijke storing is.
Juist met handmatig verlengen, in de praktijk soms zelfs pas na de verloopdatum, loop je het risico op onbereikbaarheid.
Reageer met quote
10-05-2026, 14:30 door Anoniem
Als iets gratis is, dan ben jij het product.

Uitkomst uit een gedachtenexperiment:
Bij letsencrypt ligt dat iets genuanceerder.
Niet de webpagina eigenaar is het product, maar elke webpaginabezoeker is het product.
Eigenlijk nog gemener.
Reageer met quote
10-05-2026, 17:01 door Anoniem
Door Anoniem:
Niet de webpagina eigenaar is het product, maar elke webpaginabezoeker is het product.
Eigenlijk nog gemener.

En hoe zie je dat voor je dan? Want het is niet zo dat ze van elke gebruiker een ping krijgt van hey Anonymous was hier om 14.30 op een zondag!
Reageer met quote
Gisteren, 13:39 door Anoniem
Door Anoniem: Als iets gratis is, dan ben jij het product.

Uitkomst uit een gedachtenexperiment:
Bij letsencrypt ligt dat iets genuanceerder.
Niet de webpagina eigenaar is het product, maar elke webpaginabezoeker is het product.
Eigenlijk nog gemener.

Wat een domme en ondoordachte uitspraak...
De Linux kernel is gratis.. leg eens uit hoe iemand daar het product is...
De zon komt verder ook gewoon gratis op...

Wat je waarschijnlijk bedoelt te zeggen: wanneer een dienst gratis is, dan ben jij waarschijnlijk het product...
Met de nadruk op 'waarschijnlijk'... De gehele uitspraak is bedoeld om mensen kritisch te laten denken..
Dat lukt zo te zien niet altijd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components