Let's Encrypt stopt met versturen van e-mails over verlopen certificaten
Certificaatautoriteit Let's Encrypt stopt vanaf 4 juni met het versturen van e-mails over certificaten die op het punt staan te verlopen. Partijen die toch gewaarschuwd willen worden krijgen het advies diensten van derden te gebruiken. Let's Encrypt biedt gratis tls-certificaten aan die worden gebruikt voor het versleutelen van de verbinding tussen websites en bezoekers en maken het mogelijk om websites te identificeren. De certificaten zijn negentig dagen gelden en moeten dan worden vernieuwd.
Gebruikers van Let's Encrypt kunnen zich aanmelden om door de certificaatautoriteit te worden gewaarschuwd als hun certificaat op het punt staat te verlopen. Let's Encrypt heeft nu besloten om hier over een aantal maanden mee te stoppen. Als reden wordt gegeven dat steeds meer gebruikers hun certificaten automatisch laten vervangen. Daarnaast beschikt Let's Encrypt nu over miljoenen e-mailadressen om organisaties te kunnen waarschuwen, iets waar het naar eigen zeggen wegens privacyredenen niet blij mee is.
Het versturen van de e-mails kost jaarlijks tienduizenden dollars die de certificaatautoriteit ook aan andere onderdelen van de infrastructuur kan uitgeven. Als laatste noemt Let's Encrypt dat het bieden van 'expiration notifications' complexiteit aan de infrastructuur toevoegt, wat tijd kost om te beheren en de kans op fouten vergroot. Voor organisaties die wel waarschuwingsmails willen blijven ontvangen wijst Let's Encrypt naar third-party diensten zoals Red Sift Certificates Lite.
Tegenwoordig gebruiken alle IT Partijen (zo niet zou het wel moeten) monitoring software om allerlei soorten triggers te volgen.
Certificaten zijn hier doorgaans makkelijk aan toe te voegen.
Plus als hun een mail versturen naar een (vaak het geval) algemene IT / Beheer mailbox verdwijnt het ergens in de troep en wordt het alsnog niet gelezen.
Kan het net zo goed niet verzonden worden, toch?
~FF
Dus dat was iets te voorbarig.
Wees blij dat er 'ns een partij is die minder data wil hebben, ik geef ze groot gelijk, opheffen is de beste stap hierbij.
Dat is jouw zaak om te bewaken als beheerder.
Een derde partij voor een basis functie als een mail?
Ja, bulk mail versturen is echt gespecialiseerd werk geworden.
Stop met denken als hobbyist .
Jij gaat geen 20.000 mailtjes aan gmail, outlook.com kunnen afleveren.
Je server kan het technisch wel, maar het inrichten van de feedback loops en reputatie management is Echt Werk.
Lets Encrypt is goed bezig zichzelf uit de markt te prijzen.
hahaha. gratis dienst "prijst zich uit de markt".
Pas op - dadelijk stop ik met jullie gratis gebruiken, en ga ik geld betalen aan jullie concurrent ! Als je dat maar weet !
Ja de grotere jongens hebben eigen alert systemen maar particulieren en mkb zie ik echt niet actieve monitoring diensten afnemen nog beheren.
Die moeten dat ook niet zelf beheren maar bij een hostertje zetten die de monitoring doet.
overal waar centen te schrapen zijn wordt geschaaft.. deden ze bij ford ook ooit... totdat ze er achter kwamen dat overcapaciteit belangrijk is voor marges.. wanneer je een excelsheetridder hebt die kijkt naar 'oow, de gemiddelde belasting van een cylinder is 30kw, dus als die 31kw aan kan zit ik goed.. totdat je motorblok in een camper komt, in een file, met slechte diesel, in 35 graden op de payage... dan is die 1kw marge op het gemiddelde ineens te weinig... en als je dan ook de radiator op dezelfde manier hebt beknibbeld, is daar geen extra koeling, de schokdempers, aandrijfassen, spoelpoorten, aluminiumkwaliteit enz enz...
dat gaat hier ook gebeuren...
trouwens, suc6 met je 30 dagen cronscript wanneer ze (certs) verlopen na 6 dagen omdat dat weer op een andere plek wen paar centen scheelt... dan krijg je ook dus 3 weken te laat een bericht, maar jij had alles geautomatiseerd, dus geen probleem toch?
overigens, dit wordt juist gebruikt door niet bedrijven of kleinere organisaties, die niet 150 man op de afdeling hebben lopen, dan had je namelijk zelf certs... Wel een beetje vreemd de reacties op Sec.nl... of de reacties zijn, 'ja, ik heb thuis een datacenter, dus dat is geen probleem voor een 70 jarige opa die nog schrikt van de nieuwe afstandsbediening tv, of het tegenovergestelde..., lijkt wel of iedereen alleen maar uit eigen referentiekader kan redeneren...
Je kan renew ook na na verlopen gebruiken. Opnieuw aanvragen is niet nodig.
Dan is je automatische renew niet goed ontworpen. Nu is het wel zo dat de huidige renews ervan uit gaan dat Lat's Encrypt de waarschuwing stuurt en doen ze het daarom niet zelf.
Ik heb een Synology nas die eens per week de certificaten naloopt en alles wat binnen 1 maand afloopt vernieuwt. Als dit mis gaat geven ze nu nog geen waarschuwing, maar proberen het over 1 week opnieuw. Met deze aankondiging van LE zullen ze hun besturingssysteem moeten updaten zodat ze zelf die waarschuwing geven. De tijd is er om dit bij een volgende update te implementeren.
En de mensen die het handmatig deden hebben die mail niet eens nodig. Die kunnen in hun elektronische agenda gewoon een herinnering plaatsen die elke 70 à 90 dagen herhaalt.
Ik heb hier ook gewoon certificaat checks lopen, om te kijken of certificaten verlopen, meerdere zelfs. Als failover.
Bovendien kan je zelf zien wanner je vertificaat verloopt en dat ook autmatisch lokaal monitoren (en desnoods jezelf een mail daaover sturen).
Probleem is hier vooral dat die vage kennis van het neefje van de baas, die de website geregeld heeft, z'n werk niet afgemaakt heeft en verzuimd heeft het onderhoud goed te regelen.
Bovendien kan je zelf zien wanner je vertificaat verloopt en dat ook autmatisch lokaal monitoren (en desnoods jezelf een mail daaover sturen).
Probleem is hier vooral dat die vage kennis van het neefje van de baas, die de website geregeld heeft, z'n werk niet afgemaakt heeft en verzuimd heeft het onderhoud goed te regelen.
Nu ja, maar hoe erg is het nou als de website die door de vage kennis van het neefje van de baas geregeld is zonder onderhoud een tijdje kaduke TLS heeft ? Kan (/hoort) nooit wat belangrijks op te staan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Adviseur
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan informatie-technologie (IT) en operationele technologie (OT) binnen onze taken, is het essentieel om deze veilig te houden.
Security Specialist
Directie Informatievoorziening & Inkoop
Als security specialist is je primaire taak het detecteren en het afhandelen van (mogelijke) security incidenten. Hiervoor vergaar je dreigingsinformatie en richt je op basis van risico's detectieregels in, opdat aanvallers in een zo vroeg mogelijk stadium geïdentifi-ceerd kunnen worden. Wanneer een dreiging wordt gedetecteerd, zorg jij ervoor dat de juiste acties worden uitgezet.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?