Let's Encrypt biedt nu ook gratis wildcardcertificaten aan
Certificaatautoriteit Let's Encrypt biedt nu ook gratis wildcardcertificaten aan, wat het eenvoudiger voor websites moet maken om op https over te stappen. Via een wildcardcertificaat is het mogelijk om via één tls-certificaat alle subdomeinen van een domein van een versleutelde verbinding te voorzien (bijvoorbeeld *.example.com).
Dit moet de uitrol van https verder vereenvoudigen, aangezien beheerders niet voor elk los subdomein een apart tls-certificaat hoeven aan te vragen. Net als gewone tls-certificaten zullen ook de wildcardcertificaten gratis worden aangeboden. Om een wildcardcertificaat aan te vragen moet er wel gebruik worden gemaakt van het ACMEv2-protocol dat Let's Encrypt nu ook ondersteunt. ACME (Automated Certificate Management Environment) is een communicatieprotocol waar webservers geautomatiseerd certificaten mee kunnen aanvragen.
Daarnaast moeten wildcarddomeinen via de "DNS-01 challenge" worden gevalideerd. Let's Encrypt beschikt over verschillende methodes om te controleren of de aanvrager van een certificaat ook de eigenaar van het bijbehorende domein is. In het geval van de DNS-01 challenge moet de aanvrager de DNS TXT-records van het domein aanpassen om aan te tonen dat hij de eigenaar is en een wildcardcertificaat heeft aangevraagd. Oorspronkelijk zou de ondersteuning van wildcardcertificaten in januari worden gelanceerd, maar dat werd wegens een beveiligingslek uitgesteld.
Let's Encrypt is een initiatief van de ISRG en wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en andere partijen. Het heeft een volledig versleuteld web als doel en is één van de grootste certificaatautoriteiten ter wereld. Onlangs passeerde Let's Encrypt nog de 50 miljoen actieve tls-certificaten.
Nou, prachtig initiatief... Een beetje serieuze webportal kan ook wel betalen voor een certificaat en https voor wat hobby wordpress sites maakt ze alleen nog maar meer kwetsbaar voor aanvallen (openssl memleaks).
Nou, prachtig initiatief... Een beetje serieuze webportal kan ook wel betalen voor een certificaat en https voor wat hobby wordpress sites maakt ze alleen nog maar meer kwetsbaar voor aanvallen (openssl memleaks).
Daar staat tegenover dat het wel heel gemakkelijk is om malware te injecteren in onversleutelde streams. Het onversleuteld laten van verkeer leidt verder tot het lekken van allerlei tokens en die zijn weer heel handig om te gebruiken in tracking mechanismen van allerlei overheden. Zoals je ziet... Elk voordeel heeft zijn nadeel... (Met dank aan Johan Cruijff...)
https://letsencrypt.org/docs/faq/
Does Let’s Encrypt issue certificates for anything other than SSL/TLS for websites?
Let’s Encrypt certificates are standard Domain Validation certificates, so you can use them for any server that uses a domain name, like web servers, mail servers, FTP servers, and many more.
Email encryption and code signing require a different type of certificate that Let’s Encrypt does not issue.
Nou, prachtig initiatief... Een beetje serieuze webportal kan ook wel betalen voor een certificaat en https voor wat hobby wordpress sites maakt ze alleen nog maar meer kwetsbaar voor aanvallen (openssl memleaks).
Het serieuze webportal zal even kwetsbaar zijn voor aanvallen (openssl memleaks). (Er zijn ook alternatieven voor OpenSSL.)
Het ACME protocol verplicht om 3 maandelijks (geautomatiseerd) te hernieuwen, en dat is een voordeel aangezien veel TLS/SSL issues vandaag de dag worden veroorzaakt door beheerdersfouten.(Gelekte private keys, slechts aangemaakte (weak) keys, etc...)
Ook voor certs in de cloud infrastructuur is dit wellicht een goede uitkomst.
Het is bedoelt voor encryptie verbeteren van servers, dus niet voor endpoints zoals email clients of VPN-gebruikers.
In het certificaat kun je dat ook zien, via het 'Extended Key Usage', zo heb je oa. 'Server Authentication', maar ook 'Client Authentication'.
Net zoals die bitcoin tumblers en VPN diensten..... helaas valt dit niet te controleren.
Precies wat ik bedoel websites (buiten portals die niet anders kunnen dan met een database werken) zouden gewoon HTTP only moeten zijn en eigenlijk ook puur HTML; geen ASP, geen PHP, geen Flash, geen Java, geen 3rd party troep maar gewoon informatieve tekst en plaatjes. Dan hoeft geen openssl (of whatever else) op die server geïnstalleerd te zijn en is de kans ook een stuk kleiner dat er mallware op terecht komt. Downloads van zo'n website zouden ondertekend moeten zijn en hashfiles via een extern kanaal zou ook een optie zijn. HTTPS geeft een vals gevoel van veiligheid omdat met een fout root CA hier ook maar gewoon een MITM aanval op uitgevoerd kan worden.
Dus leuk dat Lets Encrypt, maar waar het echt zou uitmaken (veilige e-mail voor vele miljoenen mensen en bedrijven) daar slaan ze de plank mis want daar geven ze geen certificaten voor uit.
Net zoals die bitcoin tumblers en VPN diensten..... helaas valt dit niet te controleren.
Je bedoelt Let's Encrypt gesponsord door een staat? Mogelijk, anders moet je maar betalen voor een certificaat ergens.
De beste optie is zelf certificaten genereren op je server. Je gebruikers krijgen dan wel een Untrusted Cert error en denken dat jouw server onveilig is terwijl deze mogelijk veiliger is dan een Let's Encrypt stream. Niet is wat het lijkt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.