image

Peter Eckersley, medeoprichter Let's Encrypt, op 43-jarige leeftijd overleden

maandag 5 september 2022, 11:26 door Redactie, 19 reacties

Peter Eckersley, medeoprichter van certificaatautoriteit Let's Encrypt, is vorige week op 43-jarige leeftijd overleden. Eckersley was een Australische computerwetenschapper die voor de Amerikaanse burgerrechtenbeweging EFF werkzaam was en aan de wieg stond van Let's Encrypt, de certificaatautoriteit die mede verantwoordelijk is geweest voor het toenemend gebruik van https door websites. Bij de EFF lanceerde Eckersley projecten zoals Privacy Badger en HTTPS Everywhere, browser-extensies die de privacy van gebruikers beschermen.

De wetenschapper wordt vooral herinnerd wegens zijn rol bij Let's Encrypt, een certificaatautoriteit die gratis tls-certificaten uitgeeft die websites gebruiken voor het opzetten van een versleutelde verbinding met bezoekers en identificatie. Sinds de lancering eind 2015 heeft Let's Encrypt meer dan 2,53 miljard certificaten uitgegeven en een belangrijke rol gespeeld bij de groei van het aantal https-sites. Op dit moment maken meer dan 280 miljoen websites gebruik van door Let's Encrypt uitgegeven certificaten, die negentig dagen geldig zijn, en worden er tussen de twee en drie miljoen certificaten per dag uitgegeven.

Tijdens de coronapandemie adviseerde hij ontwikkelaars van contact tracing-apps hoe die op een privacyvriendelijke manier konden worden ontwikkeld. De laatste tijd was Eckersley vooral bezig met de ethiek en veiligheid van kunstmatige intelligentie en richtte hij het AI Objectives Institute op.

Reacties (19)
05-09-2022, 12:07 door Anoniem
…Peter Eckersley, may you read in peace.

And thanks for Let’s Encrypt.

It really has brought HTTPS to where it belongs – everywhere.
05-09-2022, 12:10 door Anoniem
Tja dat is jong dat hij overleden is hij had misschien nog een heel leven voor zich,met misschien een update van zijn uitvinding kunnen uitbrengen.
05-09-2022, 12:29 door Anoniem
Hij zal node gemist worden. Ethiek, privacy vriendelijkheid, AI mensvriendelijkheidsoplossingen zijn thans zeer gevraagd.

Leer de mensen/eindgebruikers uit de klauwen van onderdrukkende monster-oplossingen blijven.

Matrix.org, het ontmantelen van officieuze schoudersurfende staatsmedewerkers en diensten van het zich steeds meer totalitair opstellend 'systeem'.

luntrus
05-09-2022, 12:48 door Anoniem
Let's Encrypt. Het certificaat dat bewijst dat je de webserver hebt gepwned. Of dat je de DNS record hebt kunnen aanpassen. Zeer veilig. Alles automatisch, komt geen mens aan te pas. Ik ben altijd zeer gelukkig als ik een Let's Encrypt certificaat tegenkom. Dan weet je zeker dat het met de encryptie goed zit.
05-09-2022, 13:58 door Anoniem
Door Anoniem: Let's Encrypt. Het certificaat dat bewijst dat je de webserver hebt gepwned. Of dat je de DNS record hebt kunnen aanpassen. Zeer veilig. Alles automatisch, komt geen mens aan te pas. Ik ben altijd zeer gelukkig als ik een Let's Encrypt certificaat tegenkom. Dan weet je zeker dat het met de encryptie goed zit.
Is dit een zuur comment? Ongeacht, het is onjuist. a) je hoeft de certificaten niet per se in een webserver toe te passen, b) je kunt alles handmatig doen. Veel plezier, want handmatig is echt heel veel beter. En vergeet geen TLSA records te maken die werkelijk niemand en z'n moeder controleert...

Anyway, ikzelf ben dankbaar voor een niet commercieele partij, die het minder makkelijk maakt om bijv. journalisten en dissidenten hun surfgedrag in kaart te brengen. Zonder twijfel heeft hij daarmee mensenlevens bespaart.

Oftwel, een etisch visionair is van ons heengegaan.
05-09-2022, 14:26 door Anoniem
@anoniem van 13:58,

Dat komt ervan als men primair reageert, of je commentaar leest van een betaalde certificering verstrekker. Alle narigheid rond verschillende certificeringsdrama's vergeten. Ook waarom Symantec het afstootte, e.d. Maar men wordt tegenwoordig vaak zo opgeleid dat er zulk commentaar komt. Het systeem, weet je.
05-09-2022, 14:26 door Anoniem
Verdacht, wereldwijd haten geheime diensten hem ?
05-09-2022, 15:01 door Anoniem
Door Anoniem: Verdacht, wereldwijd haten geheime diensten hem ?
Ja verdacht door complicaties. https://abtc.ng/peter-eckersley-cause-of-death/
05-09-2022, 16:03 door Anoniem
Door Anoniem: Is dit een zuur comment?

Allicht.

Waar ik problemen met heb is:
1) Proof of control van de website (meer is er niet)
2) Geen controle door de certificaatverstrekker dat degene van die het certificaat is, is wie die zegt dat die is (gewoon een soort blanco identiteitskaart in je bus omdat je toevallig op het juiste adres woont, of daar bij kan)
3) Automatisch elke 60 dagen het vervangen van het huidige certificaat waardoor de website geen zicht meer heeft op haar eigen certificaat (een inbreker die bij Certbot kan is voor altijd binnen want er is geen menselijke controle op de juistheid van certificaten. Geen controle op fingerprints en dergelijke)

Als ik naar https://www.npostart.nl/ ga, dan staat daar:
Certificate issued to:
Stichting Nederlandse Publieke Omroep
Noord-Holland, NL
Verified by: Sectigo Limited

Vergelijk dat met bijvoorbeeld https://www.gimp.org/
Welke geeft een veiliger gevoel? Proof of control?? Ga je van de laatste website met een veilig gevoel je software ophalen?
05-09-2022, 16:48 door Anoniem
Door Anoniem:
Als ik naar https://www.npostart.nl/ ga, dan staat daar:
Certificate issued to:
Stichting Nederlandse Publieke Omroep
Noord-Holland, NL
Verified by: Sectigo Limited
https://nl.wikipedia.org/wiki/Uitgebreid_gevalideerd_SSL-certificaat
Vergelijk dat met bijvoorbeeld https://www.gimp.org/
Welke geeft een veiliger gevoel? Proof of control?? Ga je van de laatste website met een veilig gevoel je software ophalen?
Vertrouw je er wel op dat je hier op security.nl zit?
https://en.wikipedia.org/wiki/Domain-validated_certificate
05-09-2022, 17:53 door Anoniem
Is dit een zuur comment?

Allicht.

Waar ik problemen met heb is:
1) Proof of control van de website (meer is er niet)
2) Geen controle door de certificaatverstrekker dat degene van die het certificaat is, is wie die zegt dat die is (gewoon een soort blanco identiteitskaart in je bus omdat je toevallig op het juiste adres woont, of daar bij kan)
3) Automatisch elke 60 dagen het vervangen van het huidige certificaat waardoor de website geen zicht meer heeft op haar eigen certificaat

1) onjuist:
Je kunt CAA en TLSA records in DNS zetten, en dat met DNSSEC signen tegen de root.
Tenzij je zulke DNS ook niet niet vertrouwd, maar dan heb je vooral zelf een probleem, vind ik.

2) irrelevant / non-issue:
Een partij extra ferm moeten betalen om die te laten roepen dat jij betrouwbaar bent is beter?

3) irrelevant / non-issue:
zie 1
05-09-2022, 20:03 door Anoniem
Door Anoniem:
Vergelijk dat met bijvoorbeeld https://www.gimp.org/
Welke geeft een veiliger gevoel? Proof of control?? Ga je van de laatste website met een veilig gevoel je software ophalen?
Vertrouw je er wel op dat je hier op security.nl zit?
https://en.wikipedia.org/wiki/Domain-validated_certificate

Wat mij betreft gebruikt security.nl helemaal geen encryptie. Zo was dat vroeger ook toch? Alleen als je een account gebruikt om te posten, dan is SSL wel handig om te hebben. Maar ik post hier geen staatsgeheimen. Alleen wat in mijn gedachten logisch is.

Geen OpenSSL draaien op je server kan ook een vorm van hardening zijn. Vooral als een site (niet deze) niet alle updates goed bijhoudt.
05-09-2022, 21:27 door Anoniem
Valt wel mee, zie:

https://internet.nl/site/www.gimp.org/1699116/
Een 79% score is beslist niet under par.

luntrus
05-09-2022, 21:34 door Anoniem
Doch er zijn er ook, zoals John Horst, die er anders over denken:

https://medium.com/swlh/why-lets-encrypt-is-a-really-really-really-bad-idea-d69308887801
en let's encrypt een erg slecht idee vinden.

Waar ligt de waarheid, lieve vrienden hier, volgens u?
05-09-2022, 21:58 door Anoniem
Letsencrypt is ruk, want het is geen certificate organisatie, het is een jij moet je systeembeheer doen zoals wij dat willen organisatie.
Het is laten we alles encrypten zodat niemand er bij kan, behalve de amerikanen, die kunnen appeltje eitje een certificate maken voor een mim 'attack'

En nu delen ze ook nog allerlei host data, want ik zie ineens iets van 20 dns tests en niet zoals eerst van de amazon abuse cloud, maar nu ook van digital ocean etc.
06-09-2022, 09:28 door Anoniem
Hij was geen Yank, maar een Aussie.
06-09-2022, 13:53 door Anoniem
Door Anoniem: Letsencrypt is ruk, want het is geen certificate organisatie, het is een jij moet je systeembeheer doen zoals wij dat willen organisatie.
Je slaat de plank mis. Let's Encrypt is a non-profit certificate authority! https://letsencrypt.org/how-it-works/
08-09-2022, 10:55 door Anoniem
Door Anoniem: Verdacht, wereldwijd haten geheime diensten hem ?

Draag jij ook een aluminium hoedje? gebruik vooral geen 5G


OT: iemand die weer iets heeft bijgedragen waar we allemaal wat aan hebben. Jammer dat hij op zo`n enorm vroege leeftijd is gestorven. Encrypt in peace!
08-09-2022, 17:45 door Anoniem
Waarom verlaten deze wereldburgers met goede en briljante ideeën zo vroeg dit ondermaanse?

Deze Eckersley, F.R.A.V.I.A. en nog vele anderen en waarom blijven 'naarlingen' hier zo lang hangen, vaak tot over de honderd.

Nare plek zeker, dat derde brok rots vanaf de zon.

Maak er wat van coders, developers, pentesters, error-hunter en zo meer.

m.vr.gr.,

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.