image

"Let's Encrypt inmiddels onderdeel van hoe het internet werkt"

vrijdag 26 mei 2023, 09:05 door Redactie, 18 reacties

Het is deze week tien jaar geleden dat de Internet Security Research Group (ISRG) werd opgericht, met als doel de ontwikkeling van Let’s Encrypt. Inmiddels is de certificaatautoriteit onderdeel van hoe het internet werkt, zo stelt ISRG-directeur Josh Aas. Let's Encrypt geeft gratis tls-certificaten uit waarmee websites een versleutelde verbinding met bezoekers kunnen opzetten. Inmiddels maken honderden miljoenen websites gebruik van Let's Encrypt certificaten.

De komende jaren wil het ISRG zich met Let's Encrypt richten om ook op de lange termijn certificaten uit te kunnen blijven geven. "Let's Encrypt is nu gewoon onderdeel van hoe het internet werkt, en dat is voor meerdere redenen fantastisch, maar het houdt ook in dat het voor lief kan worden genomen", aldus Aas. "We zorgen ervoor dat dit niet zal gebeuren en we Let's Encrypt betrouwbaar kunnen laten draaien en investeringen in diens toekomst kunnen doen."

De ISRG-directeur merkt op dat het internet niet met security en privacy in het achterhoofd is ontwikkeld. "Er zijn dus voldoende kansen voor ons om de infrastructuur te verbeteren. Het internet is ook continu aan het groeien en veranderen, dus het is ook onze taak om naar de toekomst te kijken en ons zo goed als mogelijk voor te bereiden op de volgende reeks dreigingen en uitdagingen."

Reacties (18)
26-05-2023, 10:09 door Anoniem
Het is wel een onderdeel van hoe het internet werkt, maar het heeft ook een boel definitief kapot gemaakt...
Hopelijk komt er ooit een vervolg in de vorm van een "Let's confirm identity" die dat weer repareert.

(TLS/SSL is ooit ontwikkeld met niet alleen het doel van encrypten van de informatie op het netwerk, maar ook het
vaststellen van de identiteit van het systeem waarmee je communiceert. in de begintijd werkte dat heel goed, maar
de race-to-the-bottom in de certificaatuitgeverij heeft dat de nek omgedraaid, met Let's encrypt ais de finale doodsteek)
26-05-2023, 10:43 door Anoniem
Een website certificaat is tegenwoordig praktisch verplicht.

Deze zou gratis bij een domein naam inbegrepen moeten worden.
Net zoals IPv6 bij een Internet pakket hoort bijvoorbeeld.
26-05-2023, 11:17 door Anoniem
Door Anoniem: Een website certificaat is tegenwoordig praktisch verplicht.

Deze zou gratis bij een domein naam inbegrepen moeten worden.
Net zoals IPv6 bij een Internet pakket hoort bijvoorbeeld.
Je bent ook verplicht om een rijbewijs te hebben om auto te mogen rijden maar die krijg je ook niet gratis.
Je bent ook verplicht om een zorgverzekering te hebben die krijg je ook niet gratis

Dus nee moment dat jij zo nodig een domein wilt hebben (wat je niet verplicht bent) betaal je maar gewoon voor het TLS product of je regelt het zelf in via een gratis leverancier. Maar er zit wel een verschil tussen het drukken van een knopje voor gratis TLS en zoals het eigenlijk hoort juiste CAA records configureren voor de aanvraag de administratie bijhouden en TLS monitoren.
26-05-2023, 11:47 door Anoniem
Met Dane DNSSEC TLSA is geen geld te verdienen dus werd niet in de browsers gestopt. Nu LE het verdien profiel heeft weggeslagen is zijn de verkopers boos terwijl zij zelf een mooie tool de nek hebben omgedraaid.
26-05-2023, 12:02 door Anoniem
Door Anoniem: Het is wel een onderdeel van hoe het internet werkt, maar het heeft ook een boel definitief kapot gemaakt...
Hopelijk komt er ooit een vervolg in de vorm van een "Let's confirm identity" die dat weer repareert.

(TLS/SSL is ooit ontwikkeld met niet alleen het doel van encrypten van de informatie op het netwerk, maar ook het
vaststellen van de identiteit van het systeem waarmee je communiceert. in de begintijd werkte dat heel goed, maar
de race-to-the-bottom in de certificaatuitgeverij heeft dat de nek omgedraaid, met Let's encrypt ais de finale doodsteek)

Alsof realistisch gezien iemand ooit daadwerkelijk een identity confirmation deed met die certificates op websites. Het idee was leuk, maar dat heeft nooit echt gewerkt. Een gemiddelde gebruiker zag een slotje, en of die nu groen was of niet, dat verschil kende men niet.
26-05-2023, 12:14 door Anoniem
Door Anoniem:
Door Anoniem: Een website certificaat is tegenwoordig praktisch verplicht.

Deze zou gratis bij een domein naam inbegrepen moeten worden.
Net zoals IPv6 bij een Internet pakket hoort bijvoorbeeld.
Je bent ook verplicht om een rijbewijs te hebben om auto te mogen rijden maar die krijg je ook niet gratis.
Je bent ook verplicht om een zorgverzekering te hebben die krijg je ook niet gratis
Heeft niets met gratis te maken. LE heeft het gewoon goed ingericht. En ja, the authenticatie zijn we kwijt, maar daar werd door de gemiddelde internet gebruiker toch al niets mee gedaan, maar we hebben er wel veilige verbindingen voor terug gekregen die blijven werken.
26-05-2023, 12:18 door Anoniem
Door Anoniem: Het is wel een onderdeel van hoe het internet werkt, maar het heeft ook een boel definitief kapot gemaakt...
Hopelijk komt er ooit een vervolg in de vorm van een "Let's confirm identity" die dat weer repareert.

(TLS/SSL is ooit ontwikkeld met niet alleen het doel van encrypten van de informatie op het netwerk, maar ook het
vaststellen van de identiteit van het systeem waarmee je communiceert. in de begintijd werkte dat heel goed, maar
de race-to-the-bottom in de certificaatuitgeverij heeft dat de nek omgedraaid, met Let's encrypt ais de finale doodsteek)
TLS/SSL is gewoon versleuteling, er is nooit echt een situatie geweest (ook niet voordat letsencrypt er was) waarbij je een website certificaat als betrouwbare indentiteitscheck kon gebruiken (zelf niet met een EV cetrificaat, die validatie stelt geen zak voor), Lets Encrypt heeft dus ook niets kapot gemaakt maar juist gezorgd voor een enorme toename van het aantal versleutelde verbindingen: wat een enorme verbetering is t.o.v de oude situatie.
26-05-2023, 12:20 door Anoniem
Door Anoniem:
Door Anoniem: Een website certificaat is tegenwoordig praktisch verplicht.

Deze zou gratis bij een domein naam inbegrepen moeten worden.
Net zoals IPv6 bij een Internet pakket hoort bijvoorbeeld.
Je bent ook verplicht om een rijbewijs te hebben om auto te mogen rijden maar die krijg je ook niet gratis.
Je bent ook verplicht om een zorgverzekering te hebben die krijg je ook niet gratis

Dus nee moment dat jij zo nodig een domein wilt hebben (wat je niet verplicht bent) betaal je maar gewoon voor het TLS product of je regelt het zelf in via een gratis leverancier. Maar er zit wel een verschil tussen het drukken van een knopje voor gratis TLS en zoals het eigenlijk hoort juiste CAA records configureren voor de aanvraag de administratie bijhouden en TLS monitoren.

CAA records configureren? Eenmalig en retesimpel. TLS monitoren? Dat doet Let’s encrypt al voor je. Dus nee. Niet ingewikkeld en prima. Een zelfde mechanisme kun je gebruiken als bedrijf voor je interne websites. Nooit meer verlopen certificaten.
26-05-2023, 14:05 door Anoniem
Door Anoniem: Het is wel een onderdeel van hoe het internet werkt, maar het heeft ook een boel definitief kapot gemaakt...
Hopelijk komt er ooit een vervolg in de vorm van een "Let's confirm identity" die dat weer repareert.

(TLS/SSL is ooit ontwikkeld met niet alleen het doel van encrypten van de informatie op het netwerk, maar ook het
vaststellen van de identiteit van het systeem waarmee je communiceert. in de begintijd werkte dat heel goed, maar
de race-to-the-bottom in de certificaatuitgeverij heeft dat de nek omgedraaid, met Let's encrypt ais de finale doodsteek)
Er zijn de nodige mensen die er zo over denken als jij. Ik denk dat jullie ongelijk hebben.

Bedenk dat EV-certificaten al in 2008 werden geïntroduceerd. Dat zijn certificaten die waarmaken wat jij van certificaten verwacht, met een goede controle op de identiteit van de website-eigenaar. Die introduceerde men in 2008 omdat het toen al vele jaren niet meer waar was (als het dat al ooit is geweest) dat alle certificaten zijn wat we nu EV-certificaten noemen. In de praktijk werden er al vele jaren op grote schaal goedkope DV-certificaten verstrekt door diverse CA's.

Het was in 2008 dus al kapot, en dat was het toen al jaren.

Let's Encrypt begon pas zo'n 8 jaar daarna (de eerste beta-certificaten in 2015; in 2016 begon men echt). Dat is rijkelijk laat om ze aan te kunnen wrijven dat ze de doodsteek hebben gegeven aan het idee dat elk certificaat is wat we nu een EV-certificaat noemen. En Let's Encrypt heeft nooit geclaimd EV-certificaten te leveren, ze leveren alleen DV-certificaten en zijn daar duidelijk in. Ze hebben dus ook niets kapot gemaakt aan het onderscheid tussen EV- en DV-certificaten.
26-05-2023, 15:20 door Anoniem
Ik snap niet dat niemand zich afvraagd of dit niet gewoon een reuzactige NSA honeypot is.Beetje doemdenken misschien, maar als je volledige toegang hebt tot Let's Encrypt kan je MITM aanvallen doen alsof het gehele internet gewoon zonder HTTPS werkt.

Zeer kwalijk om zoveel eieren in 1 mandje te leggen.

Ik zou gewoon liever zien dat we onze eigen certificaten kunnen uitgeven en op 1 of andere manier browsers niet gaan mekkeren.
26-05-2023, 18:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Een website certificaat is tegenwoordig praktisch verplicht.

Deze zou gratis bij een domein naam inbegrepen moeten worden.
Net zoals IPv6 bij een Internet pakket hoort bijvoorbeeld.
Je bent ook verplicht om een rijbewijs te hebben om auto te mogen rijden maar die krijg je ook niet gratis.
Je bent ook verplicht om een zorgverzekering te hebben die krijg je ook niet gratis
Heeft niets met gratis te maken. LE heeft het gewoon goed ingericht. En ja, the authenticatie zijn we kwijt, maar daar werd door de gemiddelde internet gebruiker toch al niets mee gedaan, maar we hebben er wel veilige verbindingen voor terug gekregen die blijven werken.

Hoezo goed? Heb je de source dan gezien van de software die certifcates genereert? Het is appeltje eitje om valse certificates te genereren in de amazon cloud. Daarom zitten ze daar, plausible deniability.
Het feit dat le bepaald hoe jij je systeem beheer moet doen is al in beginsel fout.
26-05-2023, 18:02 door Anoniem
Door Anoniem: Ik snap niet dat niemand zich afvraagd of dit niet gewoon een reuzactige NSA honeypot is.Beetje doemdenken misschien, maar als je volledige toegang hebt tot Let's Encrypt kan je MITM aanvallen doen alsof het gehele internet gewoon zonder HTTPS werkt.

Zeer kwalijk om zoveel eieren in 1 mandje te leggen.

Ik zou gewoon liever zien dat we onze eigen certificaten kunnen uitgeven en op 1 of andere manier browsers niet gaan mekkeren.

Ik heb nieuwe hoop op funding, dan gaan we het eens lekker goed doen (goed vanuit consumenten oogpunt bekeken)
26-05-2023, 18:15 door Anoniem
Door Anoniem: Ik snap niet dat niemand zich afvraagd of dit niet gewoon een reuzactige NSA honeypot is.Beetje doemdenken misschien, maar als je volledige toegang hebt tot Let's Encrypt kan je MITM aanvallen doen alsof het gehele internet gewoon zonder HTTPS werkt.
Wellicht heb ik er teveel verstand van, maar ik zie niet hoe dit zou werken.
26-05-2023, 19:13 door Anoniem
Het hele systeem met CA's is sowieso een wassen neus. Kijk maar eens welke CA's je browser en/of je OS vertrouwd, zitten daar überhaupt bedrijven tussen die je (her)kent?
Was er niet iets met DANE om TLS zonder CA mogelijk te maken? Daar hoor je schrikbarend weinig over.
27-05-2023, 09:57 door Anoniem
Door Anoniem: Het is wel een onderdeel van hoe het internet werkt, maar het heeft ook een boel definitief kapot gemaakt...
Hopelijk komt er ooit een vervolg in de vorm van een "Let's confirm identity" die dat weer repareert.

(TLS/SSL is ooit ontwikkeld met niet alleen het doel van encrypten van de informatie op het netwerk, maar ook het
vaststellen van de identiteit van het systeem waarmee je communiceert. in de begintijd werkte dat heel goed, maar
de race-to-the-bottom in de certificaatuitgeverij heeft dat de nek omgedraaid, met Let's encrypt ais de finale doodsteek)
Die is zelfs ouder dan letsencrypt en leeft onder de naam http://www.cacert.org/
Er is ook een https versie maar dan moet je certificaten eerst vertrouwen. Ze hebben een web of trust, dat is wezenlijk anders dan een trust of communication.
28-05-2023, 12:57 door Anoniem
Door Anoniem: Ik snap niet dat niemand zich afvraagd of dit niet gewoon een reuzactige NSA honeypot is.Beetje doemdenken misschien, maar als je volledige toegang hebt tot Let's Encrypt kan je MITM aanvallen doen alsof het gehele internet gewoon zonder HTTPS werkt.

Kijk eens in je browser CA store hoeveel CAs er allemaal trusted root zijn.
Je praat alsof *alleen* LetsEncrypt een trusted CA is.

Zomaar :

"China Financial Certification Authority"

"Microsoft RSA Root Certificate Authority 2017"

"Staat der Nederlanden Root CA - G3"

"The Go Daddy Group, Inc."

"Turkiye Bilimsel ve Teknolojik Arastirma Kurumu - TUBITAK"

"Krajowa Izba Rozliczeniowa S.A."

Een kleine selectie van partijen die *allemaal* heel grote fracties van het internet zouden kunnen MITM'en.

(alleen applicaties die certificate pinning doen zouden dat merken : op die manier werd Stuxnet ontdekt , DANKZIJ chrome/gmail/google )

En daarom praat niemand alsof LetsEncrypt vooral een NSA honeypot zou zijn.



Zeer kwalijk om zoveel eieren in 1 mandje te leggen.


Ik zou gewoon liever zien dat we onze eigen certificaten kunnen uitgeven en op 1 of andere manier browsers niet gaan mekkeren.

Het hele gemekker is natuurlijk perfect - want wie zegt dat jouw eigen certificatie JOUW eigen certificaat is ?
Zonder dat gemekker kun jij ook - ongemerkt - tekenen dat jouw server ing.nl is .

Dat is het _moeilijke_ probleem ; de crypto is makkelijk .
Dat stelsel van CAs is een - niet perfecte - manier om die identiteit te koppelen.

Als je fan bent van iedereen z'n eigen CA, verdiep je in DANE .
Daarin wordt de trust/CA check verschoven naar DNS records , waarin staat wat het geldige certificaat is voor een site .
Om het echt zinvol te maken is natuurlijk DNSSEC wel vereist - en verschuift de "trust" / root-CA factor naar domain registries.
29-05-2023, 17:32 door Joep Lunaar
Door Anoniem:

Heeft niets met gratis te maken. LE heeft het gewoon goed ingericht. En ja, the authenticatie zijn we kwijt, maar daar werd door de gemiddelde internet gebruiker toch al niets mee gedaan, maar we hebben er wel veilige verbindingen voor terug gekregen die blijven werken.

Hoezo goed? Heb je de source dan gezien van de software die certifcates genereert? Het is appeltje eitje om valse certificates te genereren in de amazon cloud. Daarom zitten ze daar, plausible deniability.
Het feit dat le bepaald hoe jij je systeem beheer moet doen is al in beginsel fout.

Ik durf te stellen dat LE de zaken beter voor elkaar heeft dan menig commerciële RA/CA waar je niet in de keuken kan kijken hoe de boel is geïmplementeerd (denk aan het drama met Diginotar). LE is open source (zie [2]), kent een heel scala van founding members waaronder Mozilla, Cisco, EFS enz., gerenommeerde partijen en instituties. Zie [1]. Daarnaast is de ketting van vertrouwen in de eerste plaats afhankelijk van het root certificaat. Zie [3].

[1] https://en.wikipedia.org/wiki/Let%27s_Encrypt#Software_implementation
[2] https://github.com/orgs/letsencrypt/repositories
[3] https://letsencrypt.org/certificates/
31-05-2023, 09:58 door swa
Door Anoniem:
Door Anoniem: Ik snap niet dat niemand zich afvraagd of dit niet gewoon een reuzactige NSA honeypot is.Beetje doemdenken misschien, maar als je volledige toegang hebt tot Let's Encrypt kan je MITM aanvallen doen alsof het gehele internet gewoon zonder HTTPS werkt.
Wellicht heb ik er teveel verstand van, maar ik zie niet hoe dit zou werken.
:D

Inderdaad niet mogelijk. Een CA beschikt niet over private keys, die zitten niet in een CSR.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.