image

Let's Encrypt zorgt voor sterke stijging van https-verkeer

vrijdag 8 december 2017, 10:34 door Redactie, 12 reacties
Laatst bijgewerkt: 08-12-2017, 11:57

Certificaatautoriteit Let's Encrypt waar websites gratis certificaten voor een versleutelde verbinding kunnen aanvragen heeft voor een stijging van het https-verkeer gezorgd. Dat blijkt uit cijfers van Let's Encrypt en Mozilla. Dit jaar zag de certificaatautoriteit het aantal actieve certificaten meer dan verdubbelen naar 46 miljoen. Het aantal domeinen dat van een Let's Encrypt-certificaat gebruikmaakt verdrievoudigde naar 61 miljoen.

Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) en wordt gesteund door Mozilla, Akamai, Cisco, de EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van ssl-certificaten zo eenvoudig mogelijk te maken. Een doel dat dit jaar weer een stuk dichterbij is gekomen, aldus cijfers van Mozilla. Van alle websites die Firefox-gebruikers dit jaar opvroegen werd 67 procent via een beveiligde https-verbinding aangeboden. Een stijging van 21 procent ten opzichte van een jaar geleden.

Voor volgend jaar wil Let's Encrypt het aantal actieve certificaten en unieke domeinen verdubbelen naar respectievelijk 90 miljoen en 120 miljoen. Daarnaast zullen er verschillende belangrijke features worden uitgerold, zoals ondersteuning van wildcard-certificaten. Nu moeten webmasters voor elk subdomein dat onder hun domein valt een apart certificaat aanvragen. Via een wildcard-certificaat zijn alle subdomeinen meteen van een beveiligde verbinding voorzien. De feature zou eind februari beschikbaar moeten zijn.

Image

Reacties (12)
08-12-2017, 11:24 door meinonA
Ik heb ook al mijn sites van een certificaat voorzien; hoe onbenullig de site ook was.
08-12-2017, 11:29 door Anoniem
Door meinonA: Ik heb ook al mijn sites van een certificaat voorzien; hoe onbenullig de site ook was.

Zelfs mijn router thuis heeft nu een Let's Encrypt certificaat.

Peter
08-12-2017, 13:13 door Briolet - Bijgewerkt: 08-12-2017, 13:15
De aanmaak van dat wildcard certificaat wordt wel via een nieuwe procedure gecontroleerd. Als domein eigenaar moet je straks speciale code in het DNS record gaan zetten.

Hier wordt een geheel nieuwe api voor gebruikt, dus het is meer dan straks even een andere naam doorgeven.
08-12-2017, 14:52 door foxonsafari
Let's Encrypt krijgt dezelfde status als Cloudflare: CrimeCrypt & Crimeflare.
Let's Encrypt geeft een schijn veiligheid naar gebruikers "Groen slotje dus de website is betrouwbaar".
Achter dat groene slotje kan een (niet/moeilijk te tracken) criminele activiteiten schuil gaan.

Dus is een Let's Encrypt certificaat nu een aanwinst voor de hosting community?
Ja, de verbinding is versleuteld........ moet je nu misschien afvragen waarom?

Eigenlijk is alleen een EV certificaat een bewijs van website eigenaar, en betrouwbaar!

Tja, en achter Cloudflare gaan veel niet te traceren nulled.... etc. websites schuil.

Trouwens wel frappant dat er alleen "Firefox Telemetry" gebruikt word.
Dankjewel, Mozilla!

.
08-12-2017, 15:10 door Anoniem
Door foxonsafari:
Eigenlijk is alleen een EV certificaat een bewijs van website eigenaar, en betrouwbaar!

Een EV certificaat vereist liability, deze zou ik alleen toepassen na implementatie van beleid voor jaarlijkse audits.
08-12-2017, 15:31 door Anoniem
Let's Encrypt geeft een schijn veiligheid naar gebruikers "Groen slotje dus de website is betrouwbaar".
De community die niet snapt wat HTTPS wel of niet is geeft schijnveiligheid. En die community is niet beperkt en nooit beperkt geweest tot alleen Lets Encrypt. Lets Encrypt is zelf helder over wat HTTPS wel en niet is, maar die diepgang bereikt de eindgebruikers nauwelijks als de community die het over Lets Encrypt of HTTPS heeft die nuance blijft weigeren mee te geven.

Lets encrypt is zich ook al lang bewust dat certificaten niet alleen door goedwillende personen aangevraagd worden dus zijn er maatregelen om dit te beperken. Maakt een gebrek aan effectiviteit van die maatregelen of de manier waarop de community HTTPS wil begrijpen Lets Encrypt of gratis HTTPS slecht? De wereld mag best zelf nadenken als het om hun eigen veiligheid gaat.
08-12-2017, 16:15 door Anoniem
Door Anoniem:
Let's Encrypt geeft een schijn veiligheid naar gebruikers "Groen slotje dus de website is betrouwbaar".
De community die niet snapt wat HTTPS wel of niet is geeft schijnveiligheid. En die community is niet beperkt en nooit beperkt geweest tot alleen Lets Encrypt.

Het is een beetje jammer dat er zo vaak gewezen wordt op "het belang van https" en dat er min of meer gedwongen wordt
om naar https over te stappen want dit leidt totaal af van het eigenlijke probleem met websites: het leeghengelen van de
database met persoonlijke gegevens bij een slechte website. Dat heeft niets maar dan ook niets met https te maken maar
jan op de straat wordt wel steeds verteld dat ie moet opletten dat er een slotje staat want dan is het een veilige site.
Op die manier heeft het gepush van Google en Let's Encrypt het veiligheidsbewustzijn op internet alleen maar verslechterd.
09-12-2017, 08:22 door Anoniem
Lopen we met zo'n gecentraliseerde massale uitgifte van certificaten ook niet een gigantisch risico? Het concentratie-risicio.
Wat gaat het betekenen voor de wereld wanneer de Let's Encrypt gecompromitteerd raakt? (denk aan Diginotar)
09-12-2017, 09:00 door Anoniem
Door foxonsafari: Let's Encrypt krijgt dezelfde status als Cloudflare: CrimeCrypt & Crimeflare.
Let's Encrypt geeft een schijn veiligheid naar gebruikers "Groen slotje dus de website is betrouwbaar".
Achter dat groene slotje kan een (niet/moeilijk te tracken) criminele activiteiten schuil gaan.

Dus is een Let's Encrypt certificaat nu een aanwinst voor de hosting community?
Ja, de verbinding is versleuteld........ moet je nu misschien afvragen waarom?

Eigenlijk is alleen een EV certificaat een bewijs van website eigenaar, en betrouwbaar!

Tja, en achter Cloudflare gaan veel niet te traceren nulled.... etc. websites schuil.

Trouwens wel frappant dat er alleen "Firefox Telemetry" gebruikt word.
Dankjewel, Mozilla!

.

Het is alleen een kwestie van tijd, dan hebben we de positive resultaten hier van.

Het doel is duidelijk: alle websites moeten HTTPS krijgen en in de browser UI alles dat niet HTTPS is krijgt een foutmelding.

HTTPS wordt de nieuwe normaal in the browser UI. Dus bij HTTPS staat straks niks meer bij als een slotje, daar en tegen HTTP betekend foutmelding. Ik ben benieuwd hoe lang het duurt voordat browsers poort 443/HTTPS als default gaan gebruiken ipv. 80/HTTP.
09-12-2017, 09:31 door Anoniem
Door foxonsafari: Let's Encrypt geeft een schijn veiligheid naar gebruikers "Groen slotje dus de website is betrouwbaar"..
SSL/TSL versleutelt de verbinding tussen een client en een server, het beschikt niet over magische machten om de server zelf te reinigen van alles wat slecht is, en ook niet om te voorkomen dat je met de verkeerde server verbinding maakt als je de verkeerde URL intikt of een verkeerde link volgt.

Er zijn grote groepen mensen aan wie dat onderscheid moeilijk uit te leggen is, die kunnen een onderscheid tussen velig en niet veilig hanteren maar als je daar nuances aan toevoegt wordt het al snel te ingewikkeld. En er zijn weer andere mensen die daarmee omgaan door de boodschap simpel genoeg te maken voor die groep, maar die het minder belangrijk vinden dat die boodschap zo simpel gemaakt is dat hij niet meer klopt. Dankzij hun zijn we met dat "slotje is veilig"-idee opgezadeld.

Het is niet Let's Encrypt dat schijnveiligheid biedt, het is van begin af aan die incorrecte boodschap over dat slotje geweest die schijnveiligheid bood.
10-12-2017, 13:53 door Anoniem
Ja en dan zijn er nog de onveilige of frauduleuze certificaten.
De cybercrimineel past zich aan.

Dan is er nog de Google Chrome versus Symantec certificeringsoorlog gaande.
Maar wel zo dat niemand er echt profijtelijk aan verliest.

Dan zijn er nog de encryptie cyphers waar met de encryptie gerotzooid is
ten behoeve van bepaalde overheid-sp**ks, verzwakte encryptie in het geniep.

Veel van de infrastructuur is even veilig als die 'balletjes betonvloeren' en vertoont steeds/reeds grote scheuren.
Soms stort er iets in, maar over het algemeen is dat nog veiliger dan waar wij het hier over hebben.

Niemand, die de kat de bel aanbindt, we weten het allemaal hier,
We praten er voortdurend over, en er gebeurd niets of alleen cosmetisch...
... niets ingrijpendst. Waarom?
11-12-2017, 13:58 door Anoniem
Waarom blijven we dan nog in deze oude technologie hangen? Waarom is glasvezel niet overal uitgerold?

Waarom niet naar gedecentraliseerd compleet anoniem verkeer met een derde partij die het via atomic swaps met dezelde encryptie time hash fuction controleert (denk aan blockchain op lightning network - trust is niet langer nodig).

Zonder bio-tracking natuurlijk, geen total control, dat zou totale onvrijheid inhouden, slaaf zijn van de machine.
Een ergere vorm van' hel op aarde' kan men zich niet indenken, maar is altijd nog mogelijk.

Neen doorgaan op oud zuig-langzaam koper, terwijl Amazon alles al zelf wil doen in de haven van Rotjeknor
en ons allemaal vol wil duwen met hun Echo spioneer smart-boxjes. Is dat wat we nodig hebben?

Doorgaan met gemanipuleerde NSA handshakes en downgraded random generator encryptie totale surveillance ,
in plaats van ze het nakijken te geven met echt veilige technologie.

Gekeken naar een video met de nu belegen teenagers, Diffie en Hellman, professor Shamir etc., die nog niet zeggen te weten wat er na Quatum gaat worden gekozen. Marlinspike, die het ook niet denkt te weten.

Zo als het nu is kunnen we niet verder, dat is dweilen met de kraan wagenwijd open. Iemand?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.