image

Gratis ssl-dienst Let's Encrypt geeft 1 miljoen certificaten uit

dinsdag 8 maart 2016, 12:37 door Redactie, 6 reacties

De uitgever van gratis ssl-certificaten Let's Encrypt heeft vandaag het 1 miljoenste certificaat uitgegeven. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) en werd mede opgericht door de Amerikaanse burgerrechtenbeweging EFF. Het wordt gesteund door Mozilla, Akamai, Cisco en verschillende andere partijen.

Let's Encrypt heeft een volledig versleuteld web als doel. Door gratis ssl-certificaten uit te geven hoopt de dienst dat meer websites het verkeer tussen de website en bezoekers gaan versleutelen en dat lijkt te lukken. Drie maanden geleden werd het testprogramma voor het publiek opengesteld. Sindsdien zijn er 1 miljoen certificaten voor 2,5 miljoen domeinnamen uitgegeven. 90% daarvan was niet eerder via een geldig ssl-certificaat bereikbaar.

Volgens de EFF moet er echter nog veel werk worden verzet voordat het internet vrij is van onveilige protocollen. "Maar dit is behoorlijke en snelle vooruitgang. Het is duidelijk dat de kosten en bureaucratie van het verkrijgen van ssl-certificaten ervoor zorgde dat veel websites het onveilige http-protocol bleven gebruiken, ook al wisten we dat https de standaard hoort te zijn."

Image

Reacties (6)
08-03-2016, 13:11 door Briolet
De vraag is natuurlijk: Welk deel van die 1 miljoen wordt ook daadwerkelijk gebruikt en welk deel is alleen aangemaakt om de aanmaak te testen. Zelf heb ik ook een aantal multidomein certificaten gemaakt om te testen, maar niet een is vanaf het internet zichtbaar.

Je kunt er expliciet geen certificaten met wildcard domeinen mee genereren, zodat je elke keer als je een subdomein toevoegt, een nieuw certificaat moet aanmaken waarin dat subdomein is opgenomen.
08-03-2016, 13:38 door Anoniem
Door Briolet: De vraag is natuurlijk: Welk deel van die 1 miljoen wordt ook daadwerkelijk gebruikt en welk deel is alleen aangemaakt om de aanmaak te testen. Zelf heb ik ook een aantal multidomein certificaten gemaakt om te testen, maar niet een is vanaf het internet zichtbaar.

Je kunt er expliciet geen certificaten met wildcard domeinen mee genereren, zodat je elke keer als je een subdomein toevoegt, een nieuw certificaat moet aanmaken waarin dat subdomein is opgenomen.

Gebruik van wildcard certificaten zou je absoluut niet willen, omdat dit simpelweg niet veilig is. Wellicht dat dit ook een overweging is geweest voor Let's Encrypt om het niet aan te bieden. Wel houdt dit in dat je management van je certificaten binnen de organisatie op orde moet hebben, omdat je veel gebruik gaat maken van host-based certificaten. Vaak wordt het gebruik van encryptie en dus ook certificaten onderschat zowel bij ondernemingen als particulieren.
08-03-2016, 14:31 door Anoniem
Door Briolet:
Je kunt er expliciet geen certificaten met wildcard domeinen mee genereren, zodat je elke keer als je een subdomein toevoegt, een nieuw certificaat moet aanmaken waarin dat subdomein is opgenomen.

Maar dat kost je niets, behalve de tijd en moeite van het aanvragen
08-03-2016, 15:18 door Anoniem
Bij ons thuis draaien sinds ruim een week alle websites met Let's Encrypt certificaten. Al die websites zijn van buiten benaderbaar. Op IPv4 via proxy, IPv6 rechtstreeks. Vanweg de proxy betekende dat dus kopieren van de certificaten, maar Let's Encrypt telt zo'n certificaat natuurlijk als enkele uitgifte. Inclusief TLSA records voor de verschillende diensten, dus inclusief TLS op SMTP en IMAP.

We gebruiken hier lego (https://github.com/xenolf/lego) voor.

Peter
08-03-2016, 19:20 door Anoniem
Aha ik zie dat ze eindelijk tijd gevonden hebben om een automatische renew te bouwen...
Nou nog een versie die je gewoon als package kunt downloaden en die niet ongevraagd je systeem gaat verbouwen
en allerlei updates gaat downloaden in een hidden directory.
09-03-2016, 08:09 door Anoniem
Het leek veelbelovend, maar al die tools maakte het een in mijn ogen onhandige manier van certificaten regelen...
Laat me gewoon mijn csr aanleveren en geef me een cert terug, en dat dan elk jaar ;)

Die tools werkte maar half...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.