image

Let's Encrypt gaat wildcard certificaten aanbieden in 2018

vrijdag 7 juli 2017, 11:01 door Redactie, 14 reacties

Certificaatautoriteit Let's Encrypt gaat vanaf volgend jaar wildcard certificaten aanbieden, wat de uitrol van ssl-certificaten eenvoudiger moet maken. Let's Encrypt geeft gratis ssl-certificaten uit en passeerde onlangs de 100 miljoen uitgegeven certificaten. Het is daarmee de grootste of op één na grootste certificaatautoriteit ter wereld. Het was echter nog niet mogelijk om een wildcard certificaat aan te vragen.

Via een wildcard certificaat is het mogelijk om via één ssl-certificaat alle subdomeinen van een domein van een versleutelde verbinding te voorzien (bijvoorbeeld *.example.com). Dit moet de uitrol van https vereenvoudigen, aangezien beheerders niet voor elk los subdomein een apart ssl-certificaat hoeven aan te vragen, zo laat Let's Encrypt in de aankondiging weten. Net als gewone ssl-certificaten zullen ook de wildcard certificaten gratis worden aangeboden.

Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) en wordt gesteund door Mozilla, Akamai, Cisco, de EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van ssl-certificaten zo eenvoudig mogelijk te maken.

Reacties (14)
07-07-2017, 11:43 door [Account Verwijderd]
[Verwijderd]
07-07-2017, 11:52 door Anoniem
Door Neb Poorten: Top initiatief dat Let's Encrypt!

Een wildcard certificaat heeft zijn voor maar ook grote nadelen. Immers je certificaat kan zeer gemakkelijk misbruikt worden. Immers het certificaat is voor je volledige domain te gebruiken. Je moet dus heel veel vertrouwen hebben in je hoster wil je dit gaan gebruiken. En als het toch al automatisch gaan, waarom zou je dan dit risico willen nemen?
07-07-2017, 12:55 door Anoniem
Kijk de race to the bottom gaat weer verder - doe mij maar een certificaatje voor *.nl
07-07-2017, 13:22 door Anoniem
Behalve als het verkeerd geconfigureerd staat als root op de server en je je cloud niet kan vertrouwen.

Tegenwoordig moet je alles maar op de blauwe ogen geloven, de developert klopt in en technische veiligheid is nauuwelijks gegarandeerd.

Https-only en anywhere ook zo'n initiatief om alles achter de non-public cloudgordijnen te krijgen.
Wat doet men daar? Veilig, ja je bent van de verantwoording af en kan met vingertjes naar elders gaan wijzen.

Dat willen we allemaal liever dan zelf verantwoordelijkheid nemen voor een veilige interface. Microsoft ziet het wel zitten, ontslaat alvast duizenden medewerkers buiten de V.S. vanwege de verwachte cloud service drukte (krijg het zuur met je Azure ;)).

Vind je het leuk als je sub-domeinen de jouwe niet meer zijn omdat je een gratis account hebt bij afraid dot org?

Weet je hoe daar naamservers staan geconfigureerd? Bind versie info proliferatie misschien. Evil: API-sleutels toegankelijk? Cloudbleed en andere narigheid waar we nog niet van weten?

Alle Google en EFF gedreven initiatieven zijn wel om het makkelijker te maken, maar veiliger?
Ik kijk graag zelf op een server wat daar allemaal staat, weet ik met Intellitamper bijvoorbeeld,
waar ik me tegen te wapenen heb.

Ik heb genoeg gezien om niet gelijk de loftrompet te gaan blazen over een wat veilger connectie-campagne.

Vertrouw niets wat je niet zelf heb getest als veilig of laat dat doen door iemand met de nodige know-how.
"Once bitten twice shy", is een goede grondhouding eer donkere "wolken" zich samenpakken.
07-07-2017, 14:32 door Anoniem
Ik ben er niet zo'n voorstander van deze ontwikkeling. Het spaart hun veel uit als zij voor grote afnemers van certificaten hier onder kunnen brengen. Ik hoop dat zij het restrictief gaan verstrekken en allen bij uitzondering aan kleinere domeinen verstrekken.
07-07-2017, 15:36 door Briolet
Dit moet de uitrol van https vereenvoudigen, aangezien beheerders niet voor elk los subdomein een apart ssl-certificaat hoeven aan te vragen, zo laat Let's Encrypt in de aankondiging weten.

Heb ik wat gemist? Volgens mij kun je al vanaf het begin tot 100 alternatieve domeinen opnemen in het certificaat. Dus die reden zou pas geldig zijn als er beheerders zijn met boven de 100 subdomeinen, want dan moet je voor elke 100 een eigen certificaat aanvragen.
07-07-2017, 15:53 door allestein
Wildcards? Hoe zit dat dan met dynamic dns sites als NO-IP. Lijkt mij niet zo handig....
07-07-2017, 17:02 door Anoniem
Door Anoniem: Kijk de race to the bottom gaat weer verder - doe mij maar een certificaatje voor *.nl
Laat .nl nou geen domein zijn dus kan je er ook geen wildcard voor maken DUH!
07-07-2017, 17:13 door Briolet
Door allestein: Wildcards? Hoe zit dat dan met dynamic dns sites als NO-IP. Lijkt mij niet zo handig....

Zal wel meevallen omdat er altijd een controle gedaan wordt. Als je bv *.no-ip.com probeert te registreren, dan probeert hij met een server op no-ip.com te verifiëren. En dat zal falen als no-ip.com dit zelf niet aanvraagt. Dus, als je geen controle over het domein hebt, kun je ook geen wildcard voor dat domein aanvragen.

Als je zelf echter een domein "mijndomein.no-ip.com" bezit, kun je wel een certificaat aanvragen. Wildcards van subdomeinen zal Let's Encrypt niet ondersteunen, volgens hun aankondiging.
08-07-2017, 13:55 door Anoniem
Door Anoniem:
Een wildcard certificaat heeft zijn voor maar ook grote nadelen. Immers je certificaat kan zeer gemakkelijk misbruikt worden. Immers het certificaat is voor je volledige domain te gebruiken. Je moet dus heel veel vertrouwen hebben in je hoster wil je dit gaan gebruiken. En als het toch al automatisch gaan, waarom zou je dan dit risico willen nemen?
Je moet zowieso vertrouwen hebben in je hoster. Deze kan zich immers ook zeer eenvoudig als jou voordoen en een nieuw certificaat autoriseren.
10-07-2017, 12:23 door Anoniem
Via CAA-record kan je altijd aangeven dat Let's Encrypt geen wilcard-certificaten mag uitgeven voor je domein, dus je hebt zelf wel controle.
10-07-2017, 13:00 door Anoniem
Door Anoniem: Kijk de race to the bottom gaat weer verder - doe mij maar een certificaatje voor *.nl

Zijn de issues uit de jaren 90 weer terug?
Geen enkele browser zal een dergelijke certificaat als geldig aanzien...
10-07-2017, 13:05 door Anoniem
Door Briolet:
Dit moet de uitrol van https vereenvoudigen, aangezien beheerders niet voor elk los subdomein een apart ssl-certificaat hoeven aan te vragen, zo laat Let's Encrypt in de aankondiging weten.

Heb ik wat gemist? Volgens mij kun je al vanaf het begin tot 100 alternatieve domeinen opnemen in het certificaat. Dus die reden zou pas geldig zijn als er beheerders zijn met boven de 100 subdomeinen, want dan moet je voor elke 100 een eigen certificaat aanvragen.

Misschien wil de organisatie achter "subdomein 1" niet dat het via het certificaat te achterhalen is dat die 99 andere websites ook op dezelfde server staan?
Op die manier heeft een aanvaller 100 kansen om een fout in een webapplicatie te vinden...

Er zijn soms ook legale redenen om het een en ander van elkaar gescheiden te houden.
11-07-2017, 20:23 door Anoniem
Door Neb Poorten: Top initiatief dat Let's Encrypt!

Ja inderdaad nog meer data naar de VS
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.