Let's Encrypt passeert 177 miljoen uitgegeven tls-certificaten
Sinds het eerste tls-certifcaat op 14 september 2015 heeft certificaatautoriteit Let's Encrypt meer dan 177 miljoen certificaten uitgegeven die worden gebruikt voor het versleutelen van verkeer tussen websites en hun bezoekers, zo laat de Amerikaanse burgerrechtenbeweging EFF weten.
Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) en wordt gesteund door Mozilla, Akamai, Cisco, de EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van tls-certificaten zo eenvoudig mogelijk te maken. Begin dit jaar stond de teller nog op 28 miljoen uitgegeven certificaten. In juni werd het 100 miljoenste certificaat uitgegeven en inmiddels is de 177 miljoen certificaten gepasseerd.
Daardoor is er ook een stijging te zien van het aantal internetgebruikers dat via een versleutelde verbinding websites bezoekt. Zo'n 66 procent van alle websites die Firefox-gebruikers dit jaar bezochten werd via een versleutelde verbinding aangeboden. Bij Chrome-gebruikers gaat het zelfs nog om een hoger percentage. Door het gebruik van tls-certificaat is het niet mogelijk voor derden om webverkeer te onderscheppen of te manipuleren.
De volgende grote stap in het volledig versleutelen van het web is ervoor zorgen dat websites mensen niet meer naar de http-versie van hun website sturen, aldus de EFF. Dit kan via HTTP Strict Transport Security (HSTS). HSTS zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Zo zullen alle nieuwe .gov-domeinen van HSTS gebruikmaken, alsmede de .dev- en .foo-domeinen. Verder hebben Google en Mozilla plannen om alle http-sites als "onveilig" te bestempelen. Voor 2018 verwacht de EFF dan ook dat https nog verder zal groeien.
Behalve de amerikaanse regering natuurlijk.
Als het web straks HTTPS-only wordt dan moeten alle severs (ook die van IoT devices), een brakke OpenSSL service gaan draaien. Dus veel bedere attacksurface.
Beter is data die echt belangrijk is achter een VPN of darkfibers zetten en de rest van alle publieke informatie gewoon via HTTP. Wetgeving bouwen die TLS en SSL verbiedt. Meteen handig voor opsporingsdiensten ivm hun Facebook-probleem (privacy bestond toch al niet voor de gebruikers ervan).
Maar uiteraard gaan we weer voor de gammele tussenoplossing die gevoelig is voor MITM simpelweg door het bundelen van foute rootcertificaten bij software.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
