Goed dat zij de trend zien van crimminele pop-up shops, zo hoeven zij in hun database nog maar kort die gegevens hebben

Dit lijkt mij onverstandig.
Deze beslissing maakt het hele internet gevoeliger voor storingen bij Lets Encrypt.
Als zij offline gaan voor wat voor reden dan ook, dan heb je gemiddeld minder dan drie dagen speling!
Daarna beginnen dan een hele hoop websites uit te vallen wegens zo'n verlopen midweek certificaat.

Trouwens, als een key gecompromitteerd is, dan is de server dat waarschijnlijk ook.
Bij ontdekking behoor je die keys eigenlijk in te trekken in plaats van te laten verlopen!

In het ergste geval is het domein verkocht terwijl er nog een geldig certificaat is.
Dan zou de registrar eigenlijk alle certificaten moeten laten verlopen op moment van transfer.
(Of zouden CA's oude certificaten moeten intrekken bij het aanvragen van een nieuwe.)

Als je elke HTTPS sessie een nieuw Let's Encrypt certificaat aanvraagt, is dat nog veiliger. Het is ondertekend door het root certificaat van Let's Encrypt dus altijd te vertrouwen. Als je twee keer hetzelfde certificaat tegenkomt dan weet je dat de site gehackt is. Het root certificaat van Let's Encrypt neemt dan eigenlijk de functie van het domein certificaat van de website over.

Tja, 6 dagen.. nou snap ik wel waarom je OCSP / CRL servers wil uitzetten met deze onzin.
Minimaliseren van tijd is ook alleen nodig OMDAT je de OCSP servers uit zet... zo veroorzaak je een probleem en heb je de oplossing klaar? beetje teveel van munchhausen/proxy of hero-syndrome geslikt daar bij LE?

Nog steeds absurd dat waar de bek vol van hebben over beveiliging, lekgevoeligheid enz, ze wel EISEN dat je een http interface op poort 80 open hebt staan om het cert te updaten. Voor een HTTPS cert op 443 of andere poorten...

https://letsencrypt.org/docs/challenge-types/#tls-alpn-01
Gaat wél via 443... er staat dat apache dit niet support, maar dat klopt niet. Met mod_md kun je namelijk zowel via 80, 443 als DNS een challenge uitvoeren.

Leuk tot er eens een grote storing komt omdat de certificaat dienst overbelast is en honderduizenden certificaten erdoor verlopen. Of zijn we de verstoringen bij COMODO, Sectigo etc uit het verleden vergeten waar het dagen duurde om soms auto requests er door te krijgen omdat ze een queue limit hadden per provider.

Dit dient geen enkel ander onderdeel dan dat Let's encrypt zich meer in de picture wil drukken en gelobby van Google wegens hun 90 dagen TLS plan.

Wat je nu gaat krijgen is dat bedrijven moeten gaan vertrouwen op een volledig geautomatiseerde uitgave en niet eens meer de moeite gaan nemen om te controleren want als je paar honderd certificaten hebt allemaal met andere uitgifte tijd dan ga je dat echt niet meer in je planning krijgen. Gevolg teams gaan vertrouwen op dat alerts van verlopen certificaten en uitol goed gaat en we gaan potentieel veel meer ellende krijgen. Autorotate werkt zolang het werkt en daarna is het je worst nightmare.

Ik ga gesprekken voorbereiden met leveranciers om garanties te krijgen dat er langdurige certificaten blijven qua inkoop want ik ga dit gezeik niet toestaan in onze infra dan desnoods duurdere inkoop zodat we alles kunnen inplannen en auditten wanneer de middelen er voor zijn en niet wanneer het een leverancier uitkomt.

Zo te zien is het dus een keuze tussen 90 en 6 dagen. Hoe te kiezen zie ik in het artikel https://letsencrypt.org/2024/12/11/eoy-letter-2024/ ook niet.

Vertel dat tegen bijvoorbeeld SonicWalls, Fortigates en Sophos appliances.. Die ACME draait alleen op tcp80.

U laat u foppen

OCSP uitzetten betekent nog niet dat er geen adres voor CRL en/of OCSP in de certificaten zit.
Indien wel, dan zal steeds een validatieping naar Lets-Encrypt gaan. Die vraagt minimaal
- ik vraag aan Lets-Encrypt of dat certificaat van die website geldig is.
- ik (mijn IP adres) is nodig omdat Lets-Encrypt anders geen antwoord kan geven.
- die website is nodig omdat alleen die website dat certificaat heeft.
- dan weet Lets-Encrypt precies welke websites ik bezoek
- en kan daarmee mij profileren voor allerhande toepassingen.
Omdat Lets-Encrypt (door gratis certificaten - hoera) zo groot is (dominant),
daarom is Lets-Encrypt een goudmijn voor toepassingen als targeted reclameboodschappen

En je weet het
- als iets gratis, dan ben jij het product.
- in dit geval niet de website eigenaar (die de certificaten gratis heet gekregen)
- maar de website bezoeker (die niets te zeggen heeft over welke certificaten op de website staan)
En je kan dit niet uitzetten (zoals bij tracking cookies wel het geval is)

Wat Lets-Encrypt helemaal niet doet
- identiteit van de website eigenaar vaststellen
- en dus kunnen ook bewust bekwame slechteriken rogue websites maken en daarop de o-zo-vertrouwde lets-encrypt certificaten plaatsen
- waardoor de bewust bekwame slechteriken niet opspoorbaar zijn als er frauduleus wordt gehandeld
- en daarmee enabled Lets-Encrypt de frauduleuze websites

Lets-Encrypt (en bigtech) vertellen dit ook
onder het motto dat certificaten alleen maar zijn bedoeld voor transportveiligheid.
En negeren daarmee de belangrijkste aanvalsvector (impersonisatie)
In technisch opzicht is dat ook niet het geval, maar in functioneel opzicht wel.

Overweeg eens een Qualified Website Authentication Certificate (QWAC).
De erkenning ervan (dus ook door BigTech) is bij wet (de eIDAS verordening) verplicht gesteld.
Zoek een QTSP (QWAC uitgever) die langere geldigheidsduur hebben.
Dat kan best
- er is nooit een RSA sleutelpaar gekraakt
- de gedocumenteerde 1024 bits sleutel kraak is alleen mogelijk als men de hardware in handen heeft waar die sleutel op staat.
- dus vanuit de publieke sleutel alleen is zelfs ook nooit een 1024 bits RSA sleutel gekraakt.


Vraag aan CoPilot:
Hoe lang is de geldigheid van een QWAC?

Antwoord van CoPilot
De geldigheid van een Qualified Website Authentication Certificate (QWAC) varieert, maar meestal is deze geldig voor een periode van één tot drie jaar. Dit hangt af van de certificeringsautoriteit (CA) die het certificaat uitgeeft en de specifieke vereisten van de organisatie die het certificaat aanvraagt.

Is het open moeten staan van poort 80 dan een EIS van LE, of van SonicWall, Fortigate of Sophos?

Ik wist van EV certificaten af, maar niet van QWACs.
Hoe is een QWAC anders dan een EV cert?

En waarom bemoeid big brother er ineens mee?
Als je het verhaal daar achter weet, hoor ik het graag.

Als je ontdekt dat een key gecompromitteerd is laat je die intrekken ja. Dat kan bij LE ook gewoon.

Het voordeel van de OPTIE om je cert een geldigheid van 6 dagen te geven, is dat als je key zonder dat je het ontdekt gecompromiteerd raakt, deze alsnog maar max. 6 dagen gebruikt kan worden door kwade doeleinden.

Verder is het dus een optie. Dat geeft de mogelijkheid een risicoafweging te maken. Welk risico vindt men aanvaardbaarder? Het risico dat een gecompromiteerde key tot 30 dagen gebruikt kan worden, of het risico dat een storing bij Let's Encrypt downtime oplevert? Dit kan per toepassing verschillen. En het is een belangrijk aspect van security. In kaart brengen en prioritiseren van risico's.