image

Let’s Encrypt voorziet meer dan 377 miljoen websites van gratis tls-certificaat

vrijdag 29 december 2023, 07:58 door Redactie, 20 reacties

Certificaatautoriteit Let's Encrypt voorziet inmiddels meer dan 377 miljoen websites van een gratis tls-certificaat, ruim 55 miljoen meer dan een jaar geleden. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG), een non-profitorganisatie die honderd procent afhankelijk van donaties is, en heeft een volledig versleuteld web als doel.

Dagelijks geeft Let's Encrypt, dat uit 27 medewerkers bestaat, drie miljoen certificaten uit, die websites gebruiken voor het opzetten van een versleutelde verbinding met gebruikers. Een jaar geleden waren dat er nog 2,5 miljoen. Volgens Sarah Gran,vicepresident van het ISRG, was Let's Encrypt een 'game changer' voor internetveiligheid. Websites kunnen via de certificaatautoriteit kosteloos, geautomatiseerd en van een betrouwbare partij een tls-certificaat verkrijgen.

De certificaten van Let's Encrypt zijn geldig voor een periode van negentig dagen, maar dat zal volgend jaar een stuk korter worden. Let's Encrypt is van plan om certificaten maximaal tien dagen geldig te laten zijn, wat de impact van gecompromitteerde private keys van het certificaat moet verminderen, aldus Gran.

Reacties (20)
29-12-2023, 08:54 door Anoniem
Zijn ze helemaal gestoord geworden 10 dagen?!!!!!
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.

Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
29-12-2023, 09:47 door Anoniem
Door Anoniem: Zijn ze helemaal gestoord geworden 10 dagen?!!!!!
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.

Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Je kunt dat toch volledig automatiseren, ik vind 10 dagen ook kort maar 90 dagen is is ook al te vaak om met de hand te doen.
29-12-2023, 11:23 door Anoniem
Als het tien dagen wordt dan stop ik er mee. Ik ga niet elke paar dagen 15 minuten zitten om twee domeinen te vernieuwen met drie certificaten. Nee, bij mijn domein beheerder Vimexx is het niet te automatiseren als je jouw eigen mailserver draait.
29-12-2023, 11:29 door Anoniem
Volgens mij kloppen hier een paar dingen niet. Zoals ik het zie is dit de bron: https://letsencrypt.org/2023/12/28/eoy-letter-2023 of in ieder geval dit is de meest betrouwbare bron.

Hier wordt gezegd dat shorter-lived certificates (de 10-dagen certs.) worden toegevoegd aan de 2024 ROADMAP, dus niet vanaf 2024 alles gaan vervangen. Zover ik het lees wordt dit een EXTRA mogelijkheid omdat ze hun scope van klanten willen vergroten: "We’re committing to this work because sub-10 day certificates significantly reduce the impact of key compromise and it broadens the universe of people who can use our certs".
29-12-2023, 12:22 door Anoniem
Door Anoniem: Zijn ze helemaal gestoord geworden 10 dagen?!!!!!
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.

Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Hoe zo je bent toch niet 10 dagen off line of gaat verlengen onder windows niet automatisch?
29-12-2023, 13:13 door Anoniem
90 dagen is ook al te vaak om met de hand te doen.
Kosten / baten: 1x per kwartaal vs 1x per jaar.
Als je met certbot heel gemakkelijk kan vernieuwen en redelijk makkelijk kan distribueren, is 4x per jaar (gratis) net zo arbeidsintensief als 1x per jaar (betaald) met minder makkelijke toegang, vooral wanneer je heel veel verschillende cerificaten hebt.

Ik wilde certbot net op een aparte server zetten, maar met dit nieuws ga ik dat maar niet onbezonnen doen.
Ik hoop maar dat de default te overrulen gaat zijn (als dat het al niet is - al lees ik er niks over in de manual).
Want elke 10 dagen alle services restarten zie ik niet zo zitten.
Jaarlijks een tientje betalen en geen hoofdpijn hebben lijkt mij beter, om schade door outage te voorkomen.

Maargoed, certbot is niet exclusief voor Let's Encrypt, en Let's Encrypt is niet de enige CA die gratis is.
We gaan dus maar eens kijken hoe het bij https://pki.goog/ gaat.
Die overigens wel een 10 dagen max heeft op certificaten op IP i.p.v. hostname.
29-12-2023, 13:15 door Briolet - Bijgewerkt: 29-12-2023, 13:21
meer dan 377 miljoen websites

Ik kan dit nergens terug vinden in de link naar Let's encrypt. Zij zeggen alleen dat dit "fully qualified domains" zijn. Het zullen lang niet altijd websites zijn die zo'n certificaat gebruiken. b.v. bij de synology nassen kun je ook een Let's encrypt certificaat installeren, maar de meesten zullen dat doen zonder dat ze een website hebben. Daar tegen over staat dat de meerderheid hiervan hetzelfde "fully qualified domain" van Synology gebruikt (met alleen een eigen subdomein) en dan als 1 domein behoort te tellen in de statistiek.

Het aantal websites zal wel duidelijk minder zijn dan de genoemde 377 miljoen. Het blijft een niet onderbouwde aanname van de redactie dat dit allemaal websites zijn.
29-12-2023, 13:19 door Anoniem
Door Anoniem: Als het tien dagen wordt dan stop ik er mee. Ik ga niet elke paar dagen 15 minuten zitten om twee domeinen te vernieuwen met drie certificaten. Nee, bij mijn domein beheerder Vimexx is het niet te automatiseren als je jouw eigen mailserver draait.
Kan prima via Ansible.
29-12-2023, 15:19 door Anoniem
Is het al 1 april?

Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
29-12-2023, 15:40 door Anoniem
We’ve added shorter-lived certificates to our 2024 roadmap. We’re committing to this work because sub-10 day certificates significantly reduce the impact of key compromise and it broadens the universe of people who can use our certs. In addition, the team started an ambitious project to develop a new Certificate Transparency implementation because the only existing option cannot scale for the future and is prone to operational fragility. These projects are led by two excellent technical leads, Aaron Gable and James Renken, who balance our ambition with our desire for a good quality of life for our teams.

Keyword is hier added en sub-10 day. De impact van gestolen keys is nogal laag. Je kunt ze niet gebruiken zonder DNS toegang. Houders van certificaten die aanvalsdoelen vormen moeten de juiste maatregelen nemen. Gebruik van Let's Encrypt ligt daar niet voor de hand.
29-12-2023, 17:27 door Anoniem
Door Anoniem:
Door Anoniem: Zijn ze helemaal gestoord geworden 10 dagen?!!!!!
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.

Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.
Je kunt dat toch volledig automatiseren, ik vind 10 dagen ook kort maar 90 dagen is is ook al te vaak om met de hand te doen.
Het is al geautomatiseerd wil alleen niet zeggen dat we als provider op onze stoel duimen kunnen gaan draaien.
Is een tls ook echt uitgevoerd is er geen conflict gaand. Naast alle false positives die je krijgt door dat bijvoorbeeld iemand extern het maildomein heeft draaien en de data hosting bij jou dan krijg je constant alerts dat mail.* bijv niet gelukt is te vernieuwen.

Stel je voor dat keer paar honderd domeinen en om de tien dagen. Ga je dan helemaal niet meer auditten of ga je intensiveren wat bakken met tijd en geld kost.

Dus ik mag hopen dat we het hier idd hebben over een product uitbreiding en niet een gefaseerde vervanging.
29-12-2023, 17:41 door Anoniem
Door Anoniem: Als het tien dagen wordt dan stop ik er mee. Ik ga niet elke paar dagen 15 minuten zitten om twee domeinen te vernieuwen met drie certificaten. Nee, bij mijn domein beheerder Vimexx is het niet te automatiseren als je jouw eigen mailserver draait.
Ook niet op je eigen site verlengen en dan met curl etc een upload....

Of via een dns update ipv een http update?
De plugins zijn behoorlijk flexivel.
29-12-2023, 17:45 door Anoniem
Door Anoniem: Is het al 1 april?

Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Dns updates kunnen ook automatisch....
29-12-2023, 23:01 door Anoniem
Door Anoniem: Zijn ze helemaal gestoord geworden 10 dagen?!!!!!
Fck that shit terug naar comodo dan. Ik ga echt niet om de 10 dagen administratieve mails auditten van honderden tls cert requests.

Als ze nu eens aan controle van uitgave deden inplaats verantwoordelijkheid af te schuiven dan waren we al veiliger geweest. Criminelen lachen zich kapot alsof gecompromiteerde servers spontaan na 10 dagen dat niet meer zijn en ook geen zelfde automatiseerde vernieuwing ophalen.

36x meer millieu vervuilend dan een jaar certificate, mongolen daar.
30-12-2023, 02:26 door Anoniem
Door Anoniem:
Door Anoniem: Is het al 1 april?

Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Dns updates kunnen ook automatisch....

Nee. Dat is een heel dom idee.
30-12-2023, 11:18 door Anoniem
Door Anoniem:
90 dagen is ook al te vaak om met de hand te doen.
Kosten / baten: 1x per kwartaal vs 1x per jaar.
Als je met certbot heel gemakkelijk kan vernieuwen en redelijk makkelijk kan distribueren, is 4x per jaar (gratis) net zo arbeidsintensief als 1x per jaar (betaald) met minder makkelijke toegang, vooral wanneer je heel veel verschillende cerificaten hebt.

Ik wilde certbot net op een aparte server zetten, maar met dit nieuws ga ik dat maar niet onbezonnen doen.
Ik hoop maar dat de default te overrulen gaat zijn (als dat het al niet is - al lees ik er niks over in de manual).
Want elke 10 dagen alle services restarten zie ik niet zo zitten.
Jaarlijks een tientje betalen en geen hoofdpijn hebben lijkt mij beter, om schade door outage te voorkomen.

Maargoed, certbot is niet exclusief voor Let's Encrypt, en Let's Encrypt is niet de enige CA die gratis is.
We gaan dus maar eens kijken hoe het bij https://pki.goog/ gaat.
Die overigens wel een 10 dagen max heeft op certificaten op IP i.p.v. hostname.
Service restarten is niet nodig hoor. Reloaden is voldoende maar onder windows misschien niet omdat jij dat zegt.
30-12-2023, 12:34 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Is het al 1 april?

Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Dns updates kunnen ook automatisch....

Nee. Dat is een heel dom idee.
Hoezo is dat een (heel) dom idee?
Het certificaat automagisch vernieuwen is oké, maar DNS moet per se handmatig?
Twijfel je aan je script-fu?

Ik ben het overigens met je eens dat 10 dagen wel erg kort is.

Tip: gebruik ook een TLSA 2 1 1, die blijft een stuk langer geldig.
30-12-2023, 17:36 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Is het al 1 april?

Ik gebruik DANE/TLSA 3 1 1 en ik moet dus zorgen dat de certificaten eerst zijn geupdate voordat ze worden ingezet. Dat kan niet worden geautomatiseerd. Let's Encrypt standaard update methode werkt direct, dus dat is dan onbruikbaar. 10 dagen is veel te kort voor DANE.
Dns updates kunnen ook automatisch....

Nee. Dat is een heel dom idee.
Hoezo is dat een (heel) dom idee?
Het certificaat automagisch vernieuwen is oké, maar DNS moet per se handmatig?
Twijfel je aan je script-fu?

Ik ben het overigens met je eens dat 10 dagen wel erg kort is.

Tip: gebruik ook een TLSA 2 1 1, die blijft een stuk langer geldig.

Waar denk je dat een gestolen certificaat vandaan komt? Doorgaans wordt die gestolen van de gecompromiteerde server. Als je dan ook nog eens de credentials voor DNS verliest (als dat al mogelijk is bij een third party DNS met een GUI), schakel je alle belemmeringen vrij om het certificaat elders te gebruiken. Credentials bewaren op een server is bijna altijd een slecht idee. Helaas is het wel nodig om certificaten op de server toegankelijk te bewaren.
31-12-2023, 15:32 door Anoniem
Door Anoniem: Waar denk je dat een gestolen certificaat vandaan komt? Doorgaans wordt die gestolen van de gecompromiteerde server. Als je dan ook nog eens de credentials voor DNS verliest (als dat al mogelijk is bij een third party DNS met een GUI), schakel je alle belemmeringen vrij om het certificaat elders te gebruiken. Credentials bewaren op een server is bijna altijd een slecht idee. Helaas is het wel nodig om certificaten op de server toegankelijk te bewaren.
Tja, als je server gecompromitteerd is, houdt alles op.

Ik werk echter met meerdere servers(*) en gebruik een apart sub.domein voor zaken als TLSA en (LE dns-01) _acme-challenge. Dat subdomein draait, samen met mijn DNSBL, in een eigen jail en dit zijn de enige DNS-zones die automagisch worden bijgewerkt. Verder is het een kwestie van CNAME's.

(*) Eigenlijk FreeBSD jails op twee VPS'en... zie:
https://docs.freebsd.org/en/books/handbook/jails/
02-01-2024, 12:05 door Anoniem
Zoveel vreemde reacties hier over de levensduur van certificaten...
Ik neem aan dat niemand dit nog handmatig doet?
Als je dat wel doet, dan moet je toch echt eens in de spiegel kijken over waar je vak voor staat.

Je gaat toch geen handmatig herhalend werk uitvoeren?
Automatisering is, neem ik aan, iedereen zijn doelstelling?

De doelstelling van LE om de levensduur zo kort mogelijk te maken is verder al sinds 2015 bekend:
https://letsencrypt.org/2015/11/09/why-90-days

Ben je het er niet mee eens?
Dan moet een ander vakgebied zoeken want dan ben je veiligheidsrisico en snap je niet eens je eigen werk..
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.