Let's Encrypt stopt volgend jaar augustus met support van OCSP
Let's Encrypt stopt volgend jaar augustus met de support van het Online Certificate Status Protocol (OCSP), zo heeft de certificaatautoriteit aangekondigd. Het einde van de ondersteuning vindt gefaseerd plaats. Volgens Let's Encrypt is de voornaamste reden om met de OCSP-support te stoppen dat het een aanzienlijk risico voor de privacy op internet vormt.
Tls-certificaten, zoals Let's Encrypt uitgeeft, zorgen voor een versleutelde verbinding tussen website en bezoekers en maken het mogelijk om websites te identificeren. Vertrouwen in deze certificaten is dan ook belangrijk. Wanneer een certificaat niet meer is te vertrouwen, bijvoorbeeld door een incident zoals bij DigiNotar, kan het tls-certificaat worden ingetrokken.
Deze informatie moet vervolgens aan de browser van gebruikers worden gecommuniceerd. Hiervoor zijn Certificate Revocation Lists (CRLs) en het Online Certificate Status Protocol (OCSP) bedacht. CRLs zijn eigenlijk gewoon lijsten met alle ingetrokken certificaten van een bepaalde certificaatautoriteit. Dergelijke lijsten zijn dan ook vaak zeer groot en daardoor inefficiënt om te downloaden als de browser één specifiek certificaat van een bezochte website wil controleren.
Als alternatief werd OCSP ontwikkeld. Hierbij wordt alleen het certificaat van de bezochte website gecontroleerd. De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren.
Doordat de browser voor elke bezochte website een OCSP-request verstuurt kan een malafide of gedwongen certificaatautoriteit die de OCSP responder beheert daarnaast bijhouden welke websites iemand vanaf een bepaald ip-adres bezoekt. "Zelfs wanneer een certificaatautoriteit deze informatie niet bewaart, zoals het geval is met Let's Encrypt, kunnen certificaatautoriteiten juridisch worden gedwongen dit te doen. Dit speelt niet bij CRLs", zegt Josh Aas van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt.
Daarnaast wordt de OCSP-support uitgefaseerd om de infrastructuur van Let's Encrypt zo eenvoudig mogelijk te houden, voegt Aas toe. Het ondersteunen van OCSP zou 'aanzienlijke middelen' kosten die de certificaatautoriteit liever aan andere onderdelen uitgeeft. Aas roept alle organisaties en partijen op die van OCSP-services gebruikmaken om deze afhankelijkheid zo snel mogelijk af te bouwen.
Let's Encrypt zal het einde van de support gefaseerd laten plaatsvinden. Zo wordt vanaf januari de support van 'OCSP Must-Staple requests' gestopt. Vanaf 7 mei zullen er geen OCSP URL's meer aan uitgegeven certificaten worden toegevoegd. Op 6 augustus schakelt Let's Encrypt de eigen OCSP responders uit. "CRLs worden breed door browsers ondersteund en kunnen privacyvoordelen aan alle sites bieden, zonder dat hiervoor een speciale webserverconfiguratie is vereist", aldus Aas.
Privacy helpen bewaken doe ik met meer dan liefde.
Maar je eigen voordeur op slot doen moet je zelf doen.
Privacy helpen bewaken doe ik met meer dan liefde.
Maar je eigen voordeur op slot doen moet je zelf doen.
Alhoewel de security die HTTPS biedt t.o.v. HTTP vaak gezien als "privacy" (confidentialiteit), biedt het ook een nog belangrijker voordeel: Integrity.
Door HTTPS te gebruiken i.p.v. HTTP heb je een garantie van integritiet van je gegevens, m.a.w. data onderweg kan niet gemanipuleerd worden.
oscp servers kosten een hoop geld en gezien de relatief korte levensduur van letscorrupt certs, groeit dat als een gezwel.
puur kosten en een compleet zwamverhaal over privacy...
alsof een dns query niet gezien kan worden, en als je dan al https dns gebruikt heb je ook hetzelfde probleem.
oscp servers kosten een hoop geld en gezien de relatief korte levensduur van letscorrupt certs, groeit dat als een gezwel.
puur kosten en een compleet zwamverhaal over privacy...
alsof een dns query niet gezien kan worden, en als je dan al https dns gebruikt heb je ook hetzelfde probleem.
Zie:
https://blog.mozilla.org/security/2020/01/09/crlite-part-1-all-web-pki-revocations-compressed/
https://blog.mozilla.org/security/2020/01/09/crlite-part-2-end-to-end-design/
https://blog.mozilla.org/security/2020/01/21/crlite-part-3-speeding-up-secure-browsing/
https://blog.mozilla.org/security/2020/12/01/crlite-part-4-infrastructure-design/
Firefox's preferred about:config settings (according to https://github.com/arkenfox/user.js ):
user_pref("security.remote_settings.crlite_filters.enabled", true);
user_pref("security.pki.crlite_mode", 2);
"De browser moet hiervoor wel verbinding met een OCSP-server kunnen maken. Wanneer de browser geen antwoord ontvangt zal die in veel gevallen het certificaat in kwestie gewoon accepteren. Aanvallers kunnen hier misbruik van maken door al het verkeer naar de OCSP-server te blokkeren."
Dit kun je zelf aanpassen met de settings, browser makers zouden dat ook default kunnen doen.
Zie:
https://blog.mozilla.org/security/2020/01/09/crlite-part-1-all-web-pki-revocations-compressed/
https://blog.mozilla.org/security/2020/01/09/crlite-part-2-end-to-end-design/
https://blog.mozilla.org/security/2020/01/21/crlite-part-3-speeding-up-secure-browsing/
https://blog.mozilla.org/security/2020/12/01/crlite-part-4-infrastructure-design/
Firefox's preferred about:config settings (according to https://github.com/arkenfox/user.js ):
user_pref("security.remote_settings.crlite_filters.enabled", true);
user_pref("security.pki.crlite_mode", 2);
Wordt dit uberhaupt nog door Mozilla ontwikkeld? Al die blogposts zijn uit 2020 en ik zie in mijn settings dat het nog steeds niet default aan staat.
CRLITE (Mozilla Firefox) is uitontwikkeld en alleen via about:config te activeren en configureren in Firefox.
Met bovengenoemde about:config settings als aangegeven door arkenfox user.js (*)
neemt het aantal OCSP requests blijkens mijn OpenSnitch firewal logs op Linux sterk af (security.pki.crlite_mode", 2).
*: The arkenfox user.js (for Firefox) is a template which aims to provide as much privacy and enhanced security as possible, and to reduce tracking and fingerprinting as much as possible - while minimizing any loss of functionality and breakage (but it will happen).
Onderstaand de relevante passage uit https://github.com/arkenfox/user.js met voorgestelde about:config instellingen:
/** CERTS / HPKP (HTTP Public Key Pinning) ***/
/* 1223: enable strict PKP (Public Key Pinning)
* 0=disabled, 1=allow user MiTM (default; such as your antivirus), 2=strict
* [SETUP-WEB] MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE ***/
user_pref("security.cert_pinning.enforcement_level", 2);
/* 1224: enable CRLite [FF73+]
* 0 = disabled
* 1 = consult CRLite but only collect telemetry
* 2 = consult CRLite and enforce both "Revoked" and "Not Revoked" results
* 3 = consult CRLite and enforce "Not Revoked" results, but defer to OCSP for "Revoked" (default)
* [1] https://bugzilla.mozilla.org/buglist.cgi?bug_id=1429800,1670985,1753071
* [2] https://blog.mozilla.org/security/tag/crlite/ ***/
user_pref("security.remote_settings.crlite_filters.enabled", true);
user_pref("security.pki.crlite_mode", 2);
Privacy helpen bewaken doe ik met meer dan liefde.
Maar je eigen voordeur op slot doen moet je zelf doen.
Geloof niet dat jij helemaal begrijp waar zo'n beveiligde verbinding allemaal handig / verstandig voor is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?