Wordt de procedure voor het hackvoorstel te gehaast?

Van geld en gedoe naar gratis en gemakkelijk

Dinsdag 16 februari: informatiebijeenkomst Hackvoorstel
DOSSIER: Versleuteling

Nog steeds zijn veel van de websites die we dagelijks gebruiken alleen maar te bereiken via een onbeveiligde verbinding. Let maar eens op: bij hoeveel van de websites die je bezoekt zie je geen slotje in je adresbalk? Hoewel steeds meer beheerders van websites hun verantwoordelijkheid nemen, vinden EFF en Mozilla dat die overstap veel sneller moet. Daarom lanceerden zij afgelopen jaar Let’s Encrypt.

Er zijn veel redenen waarom je graag wilt dat het verkeer tussen jouw browser en de sites die je bezoekt versleuteld is. De meest voor de hand liggende reden is dat het voor anderen veel lastiger wordt om mee te kijken met wat jij op die website doet. Het stelt je ook in staat om zeker te weten dat je je financiële zaken wel met je eigen bank afhandelt, en niet je geld overschrijft naar de bankrekening van een crimineel. En ook niet onbelangrijk: omdat anderen niet tussen jou en de website in kunnen zitten, kunnen zij ook geen virussen injecteren en op die manier je computer besmetten. Of, minder gevaarlijk maar net zo onwenselijk, extra advertenties toevoegen.

Maar helaas zijn lang niet alle websites via een versleutelde verbinding bereikbaar. En dat geldt dan niet alleen voor de kleine websites, met nauwelijks bezoekers en beheerd door hobbyisten, maar ook voor grote websites zoals die van de media. Beheerders noemen vaak twee redenen: geld en gedoe. Wie een certificaat wil dat door een groot deel van de browsers als veilig wordt gezien, moet betalen. Het gaat niet om grote zakken geld, maar blijkbaar is het toch een drempel. Daarnaast is het aanvraagproces vaak veel gedoe, net als de installatie, de configuratie en het onderhoud.

EFF, de Amerikaanse digitale burgerrechtenorganisatie, en Mozilla, de organisatie achter de Firefox-browser, willen dat graag veranderen. Hun doel is er voor te zorgen dat elke website via een beveiligde verbinding bereikbaar is. Daarom hebben zij een nieuwe dienst opgericht, Let’s Encrypt, waar beheerders gratis en gemakkelijk beveiligingscertificaten voor hun website kunnen aanvragen. Om het zo gemakkelijk mogelijk te maken dwingen ze beheerders om het proces zoveel mogelijk te automatiseren – en reiken ze daarvoor het gereedschap aan. Met een paar eenvoudige commando’s kun je een certificaat aanvragen en eens in de zoveel tijd vernieuwen.

En precies daarom heeft dat project, denken we, de potentie om ontzettend succesvol te zijn. Er is alles aan gedaan om het de gebruiker, in dit geval de beheerder van een website, zo makkelijk mogelijk te maken zónder daarbij in te leveren op de sterkte van de beveiliging. Let’s Encrypt maakt de toepassing van encryptie zeer toegankelijk. Maar bovenal is het een mooi voorbeeld voor anderen die ook willen bijdragen aan een veilige digitale omgeving: met mooie technologie alleen kom je er niet, voor adoptie is het gebruiksgemak minstens zo belangrijk.

  1. Anoniem

    Een script dat allerlei zaken op mijn server uitvreet en configuraties aanpast? Nee, hoor! Dan betaal ik wel een tientje per jaar voor een SSL certificaat.

    • Sander

      Je kan natuurlijk ook zelf het certificaat aanvragen en configureren. Het is niet moeilijk

  2. Harld

    Inmiddels met diverse sites over op Letsencrypt en de scripts bekeken. Nog geen gekke dingen gevonden en in een cronjob nu 1 site die elke week volledig automatisch een nieuwe sleutel en certificaat krijgt. Rest automatisch elke maand (certs zijn 3 maanden geldig).

    Binnenkort maar eens een uitgebreid stuk over schrijven. Mijn ervaringen zijn positief.

  3. Nick T.

    Waar blijft de beveiligingsanalyse van hun protocol?
    Wat gebeurt er bij de voor de hand liggende aanvallen?

    • Rejo Zenger

      Op welk deel van het hele systeem bedoel je precies? De communicatie tussen het systeem van de beheerder en hun systemen? Hun systemen?

  4. Nick T.

    Ik krijg de indruk (uit het IETF document voor dit ACME protocol) dat de veiligheid van de eindgebruiker opgeofferd wordt in ruil voor extra gemak voor de systeembeheerder van de webserver.

    Als dat echt zo is, dan is jullie onkritische artikel zeer teleurstellend.

    • Rejo Zenger

      Zou je zo vriendelijk willen zijn waar je precies naar verwijst? Titel document, paragraaf? Alvast bedankt!

    • Nick T.

      Document: https://ietf-wg-acme.github.io/acme/#rfc.section.9.2
      In het bijzonder het gedeelte vanaf “There are several ways that these assumptions can be violated, both by misconfiguration and by attack.”

      Het lijkt alsof iedereen die een “man-in-the-middle” aanval op de webserver kan uitvoeren meteen in staat is om zelf een nieuw certificaat voor dat domein aan te vragen. Een hack op DNS (bijvoorbeeld) wordt dan meteen een succesvolle hack op HTTPS.

      • Rejo Zenger

        Dat begrijp ik. Maar op zich zou je de verificatiemethode(n) kunnen los zien van het automatiseren.

        Ik ben het met je eens dat als “kun je een DNS-record toevoegen voor het domein waarvoor je een TLS-certificaat aanvraagt” misbruikt kan worden als een kwaadwillende toegang heeft tot je DNS (met die kanttekening dat je dan nog wel wat meer problemen hebt), maar dat probleem geldt altijd als je die vorm van authenticatie toepast – dat staat los van Let’s Encrypt, dat over meer dan alleen dat gaat. Bij gewone certificaten vindt authenticatie vaak plaats door het klikken op een URL die je per e-mail toegestuurd krijgt. En ja, als je mailbox compromised is (of een van de andere scenario’s), ja, dan loop je een risico.

    • Nick T.

      OK – in de eerste jaren van SSL kreeg je op z’n minst een telefoontje van de Certification Authority voordat ze bereid waren om een certificaat af te geven, maar nu loopt alles via internet, ook bij andere Certification Authorities. Dat wist ik niet – bedankt voor je toelichting!

      • Rejo Zenger

        Voor sommige soorten certificaten, zoals “EV”, ligt de lat iets hoger en moeten bijvoorbeeld ook Kamer van Koophandel-uittreksels en dergelijke worden overlegt. Maar, voor het type certificaten dat ook door Let’s Encrypt wordt uitgegeven, “DV”, is het voldoende om op een technische manier het beheer over de domeinnaam aan te kunnen tonen (door e-mail te kunnen lezen of over de DNS te kunnen beschikken). Maar, zoals gezegd, er is daarbij geen verschil tussen de controles die Let’s Encrypt doet, en die van anderen.

    • Nick T.

      Juist: ooit waren alle certificaten wat nu “EV” heet maar inmiddels bestaan er ook andere soorten – vandaar de verwarring. Heldere uitleg – dank je wel!

  5. Vincent

    @HARLD
    Ik zie jouw review graag tegemoet.

Laat een antwoord achter aan Rejo Zenger Antwoord annuleren

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.