image

Let's Encrypt gaat tls-certificaten uitgeven die zes dagen geldig zijn

donderdag 12 december 2024, 10:52 door Redactie, 8 reacties

Certificaatautoriteit Let's Encrypt houdt er rekening mee dat het over een aantal jaar honderd miljoen certificaten per dag uitgeeft, wat mede komt omdat het certificaten gaat aanbieden die zes dagen geldig zijn. Dat laat Josh Aas weten, directeur van de Internet Security Research Group (ISRG), de organisatie achter Let's Encrypt. Volgens Aas maken inmiddels meer dan een half miljard websites gebruik van de gratis certificaten die Let's Encrypt uitgeeft.

Op dit moment zijn de door Let's Encrypt uitgegeven tls-certificaten negentig dagen geldig. Volgend jaar gaat de certificaatautoriteit ook certificaten aanbieden met een levensduur van zes dagen. "Dit is een grote upgrade voor de veiligheid van het tls-ecosysteem, omdat het de tijd minimaliseert als er een key is gecompromitteerd", aldus Aas.

Deze 'short-lived' certificaten zorgen er wel voor dat Let's Encrypt meer certificaten gaat uitgeven. Daarbij stelt Aas dat de certificaatautoriteit mogelijk voorbereid moet zijn op honderd miljoen certificaten per dag. "Dat klinkt me nu gek in de oren, maar het uitgeven van vijf miljoen certificaten per dag had me tien jaar geleden ook gek geklonken."

Reacties (8)
Vandaag, 11:16 door Anoniem
Goed dat zij de trend zien van crimminele pop-up shops, zo hoeven zij in hun database nog maar kort die gegevens hebben
Vandaag, 11:54 door Named
Dit lijkt mij onverstandig.
Deze beslissing maakt het hele internet gevoeliger voor storingen bij Lets Encrypt.
Als zij offline gaan voor wat voor reden dan ook, dan heb je gemiddeld minder dan drie dagen speling!
Daarna beginnen dan een hele hoop websites uit te vallen wegens zo'n verlopen midweek certificaat.

Trouwens, als een key gecompromitteerd is, dan is de server dat waarschijnlijk ook.
Bij ontdekking behoor je die keys eigenlijk in te trekken in plaats van te laten verlopen!

In het ergste geval is het domein verkocht terwijl er nog een geldig certificaat is.
Dan zou de registrar eigenlijk alle certificaten moeten laten verlopen op moment van transfer.
(Of zouden CA's oude certificaten moeten intrekken bij het aanvragen van een nieuwe.)
Vandaag, 12:07 door Anoniem
Als je elke HTTPS sessie een nieuw Let's Encrypt certificaat aanvraagt, is dat nog veiliger. Het is ondertekend door het root certificaat van Let's Encrypt dus altijd te vertrouwen. Als je twee keer hetzelfde certificaat tegenkomt dan weet je dat de site gehackt is. Het root certificaat van Let's Encrypt neemt dan eigenlijk de functie van het domein certificaat van de website over.
Vandaag, 12:13 door Anoniem
Tja, 6 dagen.. nou snap ik wel waarom je OCSP / CRL servers wil uitzetten met deze onzin.
Minimaliseren van tijd is ook alleen nodig OMDAT je de OCSP servers uit zet... zo veroorzaak je een probleem en heb je de oplossing klaar? beetje teveel van munchhausen/proxy of hero-syndrome geslikt daar bij LE?

Nog steeds absurd dat waar de bek vol van hebben over beveiliging, lekgevoeligheid enz, ze wel EISEN dat je een http interface op poort 80 open hebt staan om het cert te updaten. Voor een HTTPS cert op 443 of andere poorten...
Vandaag, 12:45 door Anoniem
Door Anoniem: Nog steeds absurd dat waar de bek vol van hebben over beveiliging, lekgevoeligheid enz, ze wel EISEN dat je een http interface op poort 80 open hebt staan om het cert te updaten. Voor een HTTPS cert op 443 of andere poorten...
https://letsencrypt.org/docs/challenge-types/#tls-alpn-01
Gaat wél via 443... er staat dat apache dit niet support, maar dat klopt niet. Met mod_md kun je namelijk zowel via 80, 443 als DNS een challenge uitvoeren.
Vandaag, 12:47 door Anoniem
Leuk tot er eens een grote storing komt omdat de certificaat dienst overbelast is en honderduizenden certificaten erdoor verlopen. Of zijn we de verstoringen bij COMODO, Sectigo etc uit het verleden vergeten waar het dagen duurde om soms auto requests er door te krijgen omdat ze een queue limit hadden per provider.

Dit dient geen enkel ander onderdeel dan dat Let's encrypt zich meer in de picture wil drukken en gelobby van Google wegens hun 90 dagen TLS plan.

Wat je nu gaat krijgen is dat bedrijven moeten gaan vertrouwen op een volledig geautomatiseerde uitgave en niet eens meer de moeite gaan nemen om te controleren want als je paar honderd certificaten hebt allemaal met andere uitgifte tijd dan ga je dat echt niet meer in je planning krijgen. Gevolg teams gaan vertrouwen op dat alerts van verlopen certificaten en uitol goed gaat en we gaan potentieel veel meer ellende krijgen. Autorotate werkt zolang het werkt en daarna is het je worst nightmare.

Ik ga gesprekken voorbereiden met leveranciers om garanties te krijgen dat er langdurige certificaten blijven qua inkoop want ik ga dit gezeik niet toestaan in onze infra dan desnoods duurdere inkoop zodat we alles kunnen inplannen en auditten wanneer de middelen er voor zijn en niet wanneer het een leverancier uitkomt.
Vandaag, 14:18 door Anoniem
Volgend jaar gaat de certificaatautoriteit ook certificaten aanbieden met een levensduur van zes dagen.
Zo te zien is het dus een keuze tussen 90 en 6 dagen. Hoe te kiezen zie ik in het artikel https://letsencrypt.org/2024/12/11/eoy-letter-2024/ ook niet.
Vandaag, 14:52 door Anoniem
Door Anoniem:
Door Anoniem: Nog steeds absurd dat waar de bek vol van hebben over beveiliging, lekgevoeligheid enz, ze wel EISEN dat je een http interface op poort 80 open hebt staan om het cert te updaten. Voor een HTTPS cert op 443 of andere poorten...
https://letsencrypt.org/docs/challenge-types/#tls-alpn-01
Gaat wél via 443... er staat dat apache dit niet support, maar dat klopt niet. Met mod_md kun je namelijk zowel via 80, 443 als DNS een challenge uitvoeren.

Vertel dat tegen bijvoorbeeld SonicWalls, Fortigates en Sophos appliances.. Die ACME draait alleen op tcp80.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.