Let’s Encrypt websites kwetsbaarder voor malware?


Een maand of wat geleden las ik een blog van een collega-hoster over Let’s Encrypt. Let’s Encrypt biedt gratis SSL-certificaten. Er zijn meer partijen die dat doen, maar Let’s Encrypt heeft er een ecosysteem omheen gebouwd die de aanvraag en uitrol sterk vereenvoudigt en versnelt. Klinkt goed, toch? Wat schetst echter mijn verbazing; een collega-hoster is er helemaal niet over te spreken.

Let’s Encrypt certificaten
Volgens de hoster in kwestie wordt malware verspreid via websites met Let’s Encrypt certificaten. Vervolgens wordt er een hoop ‘FUD’ over de lezer van het blog heen gestort. Een kleine greep uit de onzin in het blog. De suggestie wordt gewekt dat Let’s Encrypt websites kwetsbaarder zijn voor de generieke SSL-kwetsbaarheid ‘Drown Attack’, niet waar dus. Omdat Let’s Encrypt zorgt voor versleuteling van verkeer tussen webserver en bezoeker zijn dader en slachtoffer van internetcriminaliteit lastiger te traceren. Ook dit is niet waar.

Tot slot wordt de suggestie gewekt dat alle andere SSL-certificaataanbieders controleren of de aanvrager van een certificaat daadwerkelijk is wie hij zegt te zijn. Dat wordt ook gedaan, maar alleen voor de duurste Extended Validation (EV) certificaten. Alleen voor het type certificaten dat een groene balk in de browsers oplevert dus. Naar mijn schatting is dat maximaal 2% van alle SSL-certificaten. Voor alle andere Domain Validated (DV) SSL-certificaten worden net zo veel, of beter gezegd, net zo weinig controles op identiteit uitgevoerd als dat bij Let’s Encrypt gebeurt.

Upgraden naar betaald SSL-certificaat vanuit commercieel oogpunt
De blogschrijver eindigt zijn betoog met een oproep om te upgraden naar een premium hostingpakket waar een niet-Let’s Encrypt SSL-certificaat bij geleverd wordt. Daar komt de aap dus uit de mouw, het gaat er helemaal niet om dat Let’s Encrypt minder goed is dan een ander type certificaat. Het gaat er om de klant angst aan te jagen zodat er een premium pakket met hogere prijs afgenomen wordt. Ironisch daarbij is overigens wel dat deze hoster dan vervolgens een Domain Validated SSL-certificaat, zo één zonder controle op identiteit, levert.

Overigens benoemt de schrijver in kwestie, ongetwijfeld terecht, dat Let’s Encrypt certificaten vaker door internetcriminelen worden gebruikt dan andere al dan niet gratis SSL-certificaten. Dit heeft helemaal niets te maken met het meer of minder veilig zijn van Let’s Encrypt, maar met één ding dat Let’s Encrypt juist zo briljant maakt. Namelijk de eenvoud en snelheid waarmee SSL/TLS geconfigureerd kan worden. En internetcriminelen zijn net mensen, gemak dient de mens.

Advertentie: De inhoud van dit blok bevat een mededeling van onze partner

Vacatures van Tilaa


Geschreven door Wido Potters (BIT)

Dit ingezonden artikel is geschreven door Wido Potters van BIT.

Lees ook de onderstaande artikelen van BIT

Stuur ook uw blog, achtergrond artikel of andere bijdrage in!

Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via redactie@ispam.nl of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.

ISPam.nl Job board

Wieger, 16 november 2016 10:23 am

"De suggestie wordt gewekt dat Let’s Encrypt websites kwetsbaarder zijn voor de generieke SSL-kwetsbaarheid ‘Drown Attack’, niet waar dus. Omdat Let’s Encrypt zorgt voor versleuteling van verkeer tussen webserver en bezoeker zijn dader en slachtoffer van internetcriminaliteit lastiger te traceren. Ook dit is niet waar."

Wellus Nietus.. ik mis nogal uitleg/onderbouwing.

Sebas, 17 november 2016 8:11 am

@Wieger, de manier waarop ik dit artikel lees, is dat het vanuit commercieel oogpunt geschreven is, Lets Encrypt en de goede automatisering eromheen zorgt ervoor dat dit hosters in hun portomonnee raakt. Waarom dan niet meteen dit goede concept in de grond trappen ;-)

Wido, 18 november 2016 8:40 am

@Wieger:
Alle webservers die SSLv2 ondersteunen zijn kwetsbaar voor de Drown Attack, zie voor meer info https://drownattack.com/. En voor betreft traceertbaarheid van dader en slachtoffer; bij versleuteling middels TLS worden de source en destination niet versleuteld en zijn daardoor dus nog steeds te achterhalen. Verder is de versleuteling door LE niet anders dan die van andere certificaat leveranciers, als er dus al iets zou zijn dat traceerbaarheid lastiger maakt dan is dat niet uniek voor LE.

@Sebas:
De door mij aangehaalde blog lijkt inderdaad uit commercieel oogpunt geschreven te zijn. Dat is een prima doel. Naast commerciele redenen kunnen er ook nog eens allerlei technische redenen zijn waarom LE voor die hoster niet goed werkt. De hoster heeft er echter voor gekozen om met oneigenlijke en onjuiste argumenten zijn punt te willen maken. Dit ingezonden artikel is daar een reactie op.

Sebas, 18 november 2016 8:47 am

@Wido, dank je wel voor je aanpassing in het bericht ;-)

Mapsi, 22 november 2016 10:49 pm

Dat je niet aan bronvermelding doet, als auteur, snap ik - maar als lezer mag ik het vast wel:
https://www.hosting2go.nl/blog/ssl-check-lets-encrypt-of-betalen/

Deel uw reactie met andere ISPam.nl lezers

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

MELD U AAN VOOR DE NIEUWSBRIEF
Feedback!
Fill out my online form.
Laatste reacties

Vier hosters aan het woord: eigen hardware of uitbesteden?
Lanceanons: nice website http://longblackcock.com/bibcam-boy-bbc.html

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Uitgelicht bedrijfsnieuws van 27 januari 2017
apkdld: Enjoy most recent number one popular android apps game on your phone and tablet, also be aware that ...

Heartbleed – of de noodzaak om als provider altijd te patchen
showbox alternative: Is showbox not working? Don’t be anxious we have included a list of best Showbox alternative for y...