image

WordPress gaat voor sommige functies https vereisen

vrijdag 2 december 2016, 15:14 door Redactie, 11 reacties

WordPress gaat vanaf volgend jaar voor sommige functies https vereisen. Volgens de ontwikkelaars van het populaire contentmanagementsysteem, dat op zo'n 26% van alle websites op internet draait, is de aanwezigheid van ssl vergelijkbaar met het aanwezig zijn van JavaScript en een moderne PHP-versie.

"We vinden dat elke host ssl standaard moet ondersteunen, met name in een tijdperk na Snowden", zegt WordPress-ontwikkelaar Matt Mullenweg. Ergens volgend jaar zal er worden gekeken welke features, zoals api-authenticatie, het meest van ssl profiteren en zullen die alleen nog maar in ssl-omgevingen werken. Dit moet het gebruik van https onder WordPress-sites verder aanmoedigen.

Daarnaast zal WordPress vanaf begin 2017 alleen nog maar hostingpartners promoten die standaard een ssl-certificaat aan hun klanten aanbieden. Het opzetten van een WordPress-website kan op verschillende manieren. Zo kunnen internetgebruikers de software zelf binnen hun eigen hostingomgeving downloaden en installeren, kan er een website via WordPress.com worden aangemaakt en bieden allerlei hostingproviders standaard WordPress-installaties aan. WordPress maakt voor verschillende van deze hostingpartners reclame.

Reacties (11)
02-12-2016, 15:49 door Anoniem
'Sommige functions', want zo maak je de impact duidelijk.
Zeg 'login' en je verplicht praktisch elke WP website om https te draaien.

Ik ben benieuwd hoe alle webhosters hierop gaan reageren (heb het hier over de installatron Wordpress installaties).
Hopelijk pakken ze gewoon Let's Encrypt in plaats van een grandioze kostenverhoging.
(paar cent vindt ik prima, het is dan immers nog een service die ze draaien)
02-12-2016, 16:27 door Anoniem
Als ze nou eens regelen dat ze een moderne PHP versie ondersteunen ipv vast te blijven houden aan PHP 5.2.4. Die versie wordt al sinds 6 januari 2011 (!) meer ondersteunt!

Aan HTTPS heb je niks in deze context.
02-12-2016, 16:46 door Anoniem
Nu encrypted leeggezogen via een foute plugin.
Nee, dat is veel beter. (zie je het in ieder geval niet in plain text voorbij komen, de gehele inhoud van je userdatabase).
02-12-2016, 18:21 door Anoniem
Mijn website is alleen via https beschikbaar. Maar toch vind ik het een beetje jammer als Google, Mozilla en Wordpress gaan bepalen hoe ik mijn diensten moet aanbieden.
02-12-2016, 21:36 door Anoniem
Goede ondersteuning van Content Security Policy mag ook wel eens aan de wenslijst van WordPress Core worden toegevoegd.
Al die template ontwikkelaars die het nog steeds niet snappen hoe ze output encoding goed doen, valt me nog mee hoe vaak je er wat over leest.
03-12-2016, 06:56 door Anoniem
Google is mede-eigenaar van Lets Encrypt, dus de data is versleuteld voor iedereen behalve voor.....
03-12-2016, 11:25 door Anoniem
Door Anoniem: Google is mede-eigenaar van Lets Encrypt, dus de data is versleuteld voor iedereen behalve voor.....

De insinuatie: Dit klopt neem ik aan niet?
03-12-2016, 13:27 door [Account Verwijderd]
[Verwijderd]
03-12-2016, 17:36 door Anoniem
In de volgende link wordt er een beetje anders tegen het Let's Encrypt initiatief aangekeken en wel vanuit het oogpunt van veiligheid. Lees over deze standpunten: http://www.datamation.com/security/lets-encrypt-the-good-and-the-bad.html

Het geeft een vals gevoel van veiligheid voor mensen, die verder geen " CMS best practices" beoefenen.

Het pret-certificaatje, geïnstalleerd als root, maakt tevens het "groene slotje" ook wat gemakkelijker toegankelijk voor malcreants met allerlei soorten van misbruik in gedachten.

Waar de interesse van het propageren door Google precies in is gelegen, kan misschien een iets van gemakkelijker vorm van tracking zijn. Iemand nog andere kennis van de reden hier? Ook in hoeverre de e van e2e gaat kan in dit opzicht belangrijk zijn. Allemaal overwegingen of het de zaak veiliger of eerder schijn-veiliger maakt.
03-12-2016, 18:47 door SecOff
Door Anoniem: Google is mede-eigenaar van Lets Encrypt, dus de data is versleuteld voor iedereen behalve voor.....
Duidelijk dat je niets van SSL certificaten begrijpt als je denkt dat CA's de mogelijkheid hebben alle data decypten die beveiligd is met de certificaten die ze uitgeven. check: https://info.ssl.com/faq-what-is-a-private-key
05-12-2016, 14:06 door Anoniem
Let's Encrypt certificaten zijn precies dat. Om te authenticiteit van de website te verifiëren. De versleuteling vindt plaats tussen browser en server, niet tussen browser, Let's Encrypt en de server.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.