Let’s Encrypt voorziet meer dan 377 miljoen websites van gratis tls-certificaat
Certificaatautoriteit Let's Encrypt voorziet inmiddels meer dan 377 miljoen websites van een gratis tls-certificaat, ruim 55 miljoen meer dan een jaar geleden. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG), een non-profitorganisatie die honderd procent afhankelijk van donaties is, en heeft een volledig versleuteld web als doel.
Dagelijks geeft Let's Encrypt, dat uit 27 medewerkers bestaat, drie miljoen certificaten uit, die websites gebruiken voor het opzetten van een versleutelde verbinding met gebruikers. Een jaar geleden waren dat er nog 2,5 miljoen. Volgens Sarah Gran,vicepresident van het ISRG, was Let's Encrypt een 'game changer' voor internetveiligheid. Websites kunnen via de certificaatautoriteit kosteloos, geautomatiseerd en van een betrouwbare partij een tls-certificaat verkrijgen.
De certificaten van Let's Encrypt zijn geldig voor een periode van negentig dagen, maar dat zal volgend jaar een stuk korter worden. Let's Encrypt is van plan om certificaten maximaal tien dagen geldig te laten zijn, wat de impact van gecompromitteerde private keys van het certificaat moet verminderen, aldus Gran.
Reacties (20)
Zijn ze helemaal gestoord geworden 10 dagen?!!!!!
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.
Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.
Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Door Anoniem: Zijn ze helemaal gestoord geworden 10 dagen?!!!!!
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.
Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Je kunt dat toch volledig automatiseren, ik vind 10 dagen ook kort maar 90 dagen is is ook al te vaak om met de hand te doen.Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.
Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Als het tien dagen wordt dan stop ik er mee. Ik ga niet elke paar dagen 15 minuten zitten om twee domeinen te vernieuwen met drie certificaten. Nee, bij mijn domein beheerder Vimexx is het niet te automatiseren als je jouw eigen mailserver draait.
Volgens mij kloppen hier een paar dingen niet. Zoals ik het zie is dit de bron: https://letsencrypt.org/2023/12/28/eoy-letter-2023 of in ieder geval dit is de meest betrouwbare bron.
Hier wordt gezegd dat shorter-lived certificates (de 10-dagen certs.) worden toegevoegd aan de 2024 ROADMAP, dus niet vanaf 2024 alles gaan vervangen. Zover ik het lees wordt dit een EXTRA mogelijkheid omdat ze hun scope van klanten willen vergroten: "We’re committing to this work because sub-10 day certificates significantly reduce the impact of key compromise and it broadens the universe of people who can use our certs".
Hier wordt gezegd dat shorter-lived certificates (de 10-dagen certs.) worden toegevoegd aan de 2024 ROADMAP, dus niet vanaf 2024 alles gaan vervangen. Zover ik het lees wordt dit een EXTRA mogelijkheid omdat ze hun scope van klanten willen vergroten: "We’re committing to this work because sub-10 day certificates significantly reduce the impact of key compromise and it broadens the universe of people who can use our certs".
Door Anoniem: Zijn ze helemaal gestoord geworden 10 dagen?!!!!!
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.
Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Hoe zo je bent toch niet 10 dagen off line of gaat verlengen onder windows niet automatisch?Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.
Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
90 dagen is ook al te vaak om met de hand te doen.
Kosten / baten: 1x per kwartaal vs 1x per jaar.Als je met certbot heel gemakkelijk kan vernieuwen en redelijk makkelijk kan distribueren, is 4x per jaar (gratis) net zo arbeidsintensief als 1x per jaar (betaald) met minder makkelijke toegang, vooral wanneer je heel veel verschillende cerificaten hebt.
Ik wilde certbot net op een aparte server zetten, maar met dit nieuws ga ik dat maar niet onbezonnen doen.
Ik hoop maar dat de default te overrulen gaat zijn (als dat het al niet is - al lees ik er niks over in de manual).
Want elke 10 dagen alle services restarten zie ik niet zo zitten.
Jaarlijks een tientje betalen en geen hoofdpijn hebben lijkt mij beter, om schade door outage te voorkomen.
Maargoed, certbot is niet exclusief voor Let's Encrypt, en Let's Encrypt is niet de enige CA die gratis is.
We gaan dus maar eens kijken hoe het bij https://pki.goog/ gaat.
Die overigens wel een 10 dagen max heeft op certificaten op IP i.p.v. hostname.
meer dan 377 miljoen websites
Ik kan dit nergens terug vinden in de link naar Let's encrypt. Zij zeggen alleen dat dit "fully qualified domains" zijn. Het zullen lang niet altijd websites zijn die zo'n certificaat gebruiken. b.v. bij de synology nassen kun je ook een Let's encrypt certificaat installeren, maar de meesten zullen dat doen zonder dat ze een website hebben. Daar tegen over staat dat de meerderheid hiervan hetzelfde "fully qualified domain" van Synology gebruikt (met alleen een eigen subdomein) en dan als 1 domein behoort te tellen in de statistiek.
Het aantal websites zal wel duidelijk minder zijn dan de genoemde 377 miljoen. Het blijft een niet onderbouwde aanname van de redactie dat dit allemaal websites zijn.
Door Anoniem: Als het tien dagen wordt dan stop ik er mee. Ik ga niet elke paar dagen 15 minuten zitten om twee domeinen te vernieuwen met drie certificaten. Nee, bij mijn domein beheerder Vimexx is het niet te automatiseren als je jouw eigen mailserver draait.
Kan prima via Ansible.Is het al 1 april?
Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
We’ve added shorter-lived certificates to our 2024 roadmap. We’re committing to this work because sub-10 day certificates significantly reduce the impact of key compromise and it broadens the universe of people who can use our certs. In addition, the team started an ambitious project to develop a new Certificate Transparency implementation because the only existing option cannot scale for the future and is prone to operational fragility. These projects are led by two excellent technical leads, Aaron Gable and James Renken, who balance our ambition with our desire for a good quality of life for our teams.
Keyword is hier added en sub-10 day. De impact van gestolen keys is nogal laag. Je kunt ze niet gebruiken zonder DNS toegang. Houders van certificaten die aanvalsdoelen vormen moeten de juiste maatregelen nemen. Gebruik van Let's Encrypt ligt daar niet voor de hand.
Door Anoniem:
Het is al geautomatiseerd wil alleen niet zeggen dat we als provider op onze stoel duimen kunnen gaan draaien.Door Anoniem: Zijn ze helemaal gestoord geworden 10 dagen?!!!!!
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.
Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Je kunt dat toch volledig automatiseren, ik vind 10 dagen ook kort maar 90 dagen is is ook al te vaak om met de hand te doen.Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.
Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Is een tls ook echt uitgevoerd is er geen conflict gaand. Naast alle false positives die je krijgt door dat bijvoorbeeld iemand extern het maildomein heeft draaien en de data hosting bij jou dan krijg je constant alerts dat mail.* bijv niet gelukt is te vernieuwen.
Stel je voor dat keer paar honderd domeinen en om de tien dagen. Ga je dan helemaal niet meer auditten of ga je intensiveren wat bakken met tijd en geld kost.
Dus ik mag hopen dat we het hier idd hebben over een product uitbreiding en niet een gefaseerde vervanging.
Door Anoniem: Als het tien dagen wordt dan stop ik er mee. Ik ga niet elke paar dagen 15 minuten zitten om twee domeinen te vernieuwen met drie certificaten. Nee, bij mijn domein beheerder Vimexx is het niet te automatiseren als je jouw eigen mailserver draait.
Ook niet op je eigen site verlengen en dan met curl etc een upload....Of via een dns update ipv een http update?
De plugins zijn behoorlijk flexivel.
Door Anoniem: Is het al 1 april?
Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Dns updates kunnen ook automatisch....Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Door Anoniem: Zijn ze helemaal gestoord geworden 10 dagen?!!!!!
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.
Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.
Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
36x meer millieu vervuilend dan een jaar certificate, mongolen daar.
Door Anoniem:
Door Anoniem: Is het al 1 april?
Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Dns updates kunnen ook automatisch....Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Nee. Dat is een heel dom idee.
Door Anoniem:
Als je met certbot heel gemakkelijk kan vernieuwen en redelijk makkelijk kan distribueren, is 4x per jaar (gratis) net zo arbeidsintensief als 1x per jaar (betaald) met minder makkelijke toegang, vooral wanneer je heel veel verschillende cerificaten hebt.
Ik wilde certbot net op een aparte server zetten, maar met dit nieuws ga ik dat maar niet onbezonnen doen.
Ik hoop maar dat de default te overrulen gaat zijn (als dat het al niet is - al lees ik er niks over in de manual).
Want elke 10 dagen alle services restarten zie ik niet zo zitten.
Jaarlijks een tientje betalen en geen hoofdpijn hebben lijkt mij beter, om schade door outage te voorkomen.
Maargoed, certbot is niet exclusief voor Let's Encrypt, en Let's Encrypt is niet de enige CA die gratis is.
We gaan dus maar eens kijken hoe het bij https://pki.goog/ gaat.
Die overigens wel een 10 dagen max heeft op certificaten op IP i.p.v. hostname.
Service restarten is niet nodig hoor. Reloaden is voldoende maar onder windows misschien niet omdat jij dat zegt.90 dagen is ook al te vaak om met de hand te doen.
Kosten / baten: 1x per kwartaal vs 1x per jaar.Als je met certbot heel gemakkelijk kan vernieuwen en redelijk makkelijk kan distribueren, is 4x per jaar (gratis) net zo arbeidsintensief als 1x per jaar (betaald) met minder makkelijke toegang, vooral wanneer je heel veel verschillende cerificaten hebt.
Ik wilde certbot net op een aparte server zetten, maar met dit nieuws ga ik dat maar niet onbezonnen doen.
Ik hoop maar dat de default te overrulen gaat zijn (als dat het al niet is - al lees ik er niks over in de manual).
Want elke 10 dagen alle services restarten zie ik niet zo zitten.
Jaarlijks een tientje betalen en geen hoofdpijn hebben lijkt mij beter, om schade door outage te voorkomen.
Maargoed, certbot is niet exclusief voor Let's Encrypt, en Let's Encrypt is niet de enige CA die gratis is.
We gaan dus maar eens kijken hoe het bij https://pki.goog/ gaat.
Die overigens wel een 10 dagen max heeft op certificaten op IP i.p.v. hostname.
Door Anoniem:
Nee. Dat is een heel dom idee.
Hoezo is dat een (heel) dom idee?Door Anoniem:
Door Anoniem: Is het al 1 april?
Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Dns updates kunnen ook automatisch....Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Nee. Dat is een heel dom idee.
Het certificaat automagisch vernieuwen is oké, maar DNS moet per se handmatig?
Twijfel je aan je script-fu?
Ik ben het overigens met je eens dat 10 dagen wel erg kort is.
Tip: gebruik ook een TLSA 2 1 1, die blijft een stuk langer geldig.
Door Anoniem:
Het certificaat automagisch vernieuwen is oké, maar DNS moet per se handmatig?
Twijfel je aan je script-fu?
Ik ben het overigens met je eens dat 10 dagen wel erg kort is.
Tip: gebruik ook een TLSA 2 1 1, die blijft een stuk langer geldig.
Door Anoniem:
Nee. Dat is een heel dom idee.
Hoezo is dat een (heel) dom idee?Door Anoniem:
Door Anoniem: Is het al 1 april?
Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Dns updates kunnen ook automatisch....Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Nee. Dat is een heel dom idee.
Het certificaat automagisch vernieuwen is oké, maar DNS moet per se handmatig?
Twijfel je aan je script-fu?
Ik ben het overigens met je eens dat 10 dagen wel erg kort is.
Tip: gebruik ook een TLSA 2 1 1, die blijft een stuk langer geldig.
Waar denk je dat een gestolen certificaat vandaan komt? Doorgaans wordt die gestolen van de gecompromiteerde server. Als je dan ook nog eens de credentials voor DNS verliest (als dat al mogelijk is bij een third party DNS met een GUI), schakel je alle belemmeringen vrij om het certificaat elders te gebruiken. Credentials bewaren op een server is bijna altijd een slecht idee. Helaas is het wel nodig om certificaten op de server toegankelijk te bewaren.
Door Anoniem: Waar denk je dat een gestolen certificaat vandaan komt? Doorgaans wordt die gestolen van de gecompromiteerde server. Als je dan ook nog eens de credentials voor DNS verliest (als dat al mogelijk is bij een third party DNS met een GUI), schakel je alle belemmeringen vrij om het certificaat elders te gebruiken. Credentials bewaren op een server is bijna altijd een slecht idee. Helaas is het wel nodig om certificaten op de server toegankelijk te bewaren.
Tja, als je server gecompromitteerd is, houdt alles op.Ik werk echter met meerdere servers(*) en gebruik een apart sub.domein voor zaken als TLSA en (LE dns-01) _acme-challenge. Dat subdomein draait, samen met mijn DNSBL, in een eigen jail en dit zijn de enige DNS-zones die automagisch worden bijgewerkt. Verder is het een kwestie van CNAME's.
(*) Eigenlijk FreeBSD jails op twee VPS'en... zie:
https://docs.freebsd.org/en/books/handbook/jails/
Zoveel vreemde reacties hier over de levensduur van certificaten...
Ik neem aan dat niemand dit nog handmatig doet?
Als je dat wel doet, dan moet je toch echt eens in de spiegel kijken over waar je vak voor staat.
Je gaat toch geen handmatig herhalend werk uitvoeren?
Automatisering is, neem ik aan, iedereen zijn doelstelling?
De doelstelling van LE om de levensduur zo kort mogelijk te maken is verder al sinds 2015 bekend:
https://letsencrypt.org/2015/11/09/why-90-days
Ben je het er niet mee eens?
Dan moet een ander vakgebied zoeken want dan ben je veiligheidsrisico en snap je niet eens je eigen werk..
Ik neem aan dat niemand dit nog handmatig doet?
Als je dat wel doet, dan moet je toch echt eens in de spiegel kijken over waar je vak voor staat.
Je gaat toch geen handmatig herhalend werk uitvoeren?
Automatisering is, neem ik aan, iedereen zijn doelstelling?
De doelstelling van LE om de levensduur zo kort mogelijk te maken is verder al sinds 2015 bekend:
https://letsencrypt.org/2015/11/09/why-90-days
Ben je het er niet mee eens?
Dan moet een ander vakgebied zoeken want dan ben je veiligheidsrisico en snap je niet eens je eigen werk..
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?