Gra­tis SSL/TLS-cer­ti­fi­ca­ten voor ie­der­een

Gra­tis SSL/TLS-cer­ti­fi­ca­ten voor ie­der­een

C’t Magazine - - Inhoud - Uli Ries

Ie­de­re web­si­te- en ser­ver­be­heer­der kan op dit mo­ment ver­sleu­te­ling in­scha­ke­len Om er­voor te zor­gen dat al­le brow­sers die ver­sleu­te­ling ook ver­trou­wen en geen fout­mel­din­gen ge­ven, moet een Cer­ti­fi­ca­ti­on Aut­ho­ri­ty (CA) een cer­ti­fi­caat on­der­te­ke­nen Dat wordt met be­hulp van Let's En­crypt een fluit­je van een cent, ge­beurt vol­au­to­ma­tisch en kost nie­mand wat

Gra­tis SSL/TLS-cer­ti­fi­ca­ten voor al­les en ie­der­een – het con­cept van Let's En­crypt heeft zich in­mid­dels wel be­we­zen: in­tus­sen zijn meer dan 63 mil­joen do­mei­nen voor­zien van een cer­ti­fi­caat van de­ze gra­tis cer­ti­fi­ce­rings­au­to­ri­teit, om ver­sleu­tel­de ver­bin­din­gen via HTT­PS aan te kun­nen bie­den. Let's En­crypt geeft in­mid­dels meer SSL/TLS-cer­ti­fi­ca­ten uit dan com­mer­ci­ë­le zwaar­ge­wich­ten als Co­mo­do en Di­giCert. Door het ge­bruik van wild­card-cer­ti­fi­ca­ten (*.example.com) wordt het gra­tis aan­bod nu nog in­te­res­san­ter. Be­te­kent dat het ein­de van de be­taal­de aan­bie­ders?

Het is de droom van el­ke start-up: bin­nen 24 maan­den na de op­rich­ting een com­ple­te markt op­rol­len en meer pro­duc­ten aan klan­ten le­ve­ren dan de al ja­ren ge­ves­tig­de con­cur­ren­ten. Dat is pre­cies wat het eind 2015 ge­star­te pro­ject Let's En­crypt is ge­lukt. Vol­gens een re­cen­te ana­ly­se van NetTrack heeft de gra­tis CA zich ont­popt tot met af­stand de po­pu­lair­ste bron voor SSL/TLS­cer­ti­fi­ca­ten. NetTrack pro­beer­de voor dat on­der­zoek ver­sleu­tel­de ver­bin­din­gen te ma­ken met ser­vers die via zo'n drie mil­joen do­mei­nen be­reik­baar zijn. Als zo'n ver­bin­ding luk­te, dan bleek daar­bij in 40 pro­cent van de ge­val­len een cer­ti­fi­caat van Let's En­crypt ge­bruikt te wor­den. Co­mo­do werd daar­bij met on­ge­veer 20 pro­cent een dui­de­lijk min­de­re twee­de, al­le an­de­re CA's kwa­men niet ver­der dan een paar pro­cent.

Ach­ter Let's En­crypt (LE) zit de In­ter­net Se­cu­ri­ty Re­search Group( ISRG), waar on­der meer Aka­mai, Cis­co, de Elec­tro­nic Fron­tier Foun­da­ti­on (EFF) en Mo­zil­la bij ho­ren. Het suc­ces­re­cept is snel ver­klaard: sim­pel en gra­tis. Het ini­ti­a­tief heeft zich tot doel ge­steld om ver­sleu­tel­de ver­bin­din­gen op 100 pro­cent te krij­gen. Dat doel is nog lang niet be­reikt, maar het gaat wel de goe­de kant op: bij het be­gin van de gra­tis CA eind 2015 – of­te­wel 20 jaar na de start van HTT­PS – wa­ren am­per 40 pro­cent van al­le web­pa­gi­na-aan­roe­pen ver­sleu­teld, maar he­den ten da­ge gaat het om meer dan 67 pro­cent. Dat blijkt vol­gens LE uit de door Mo­zil­la Fi­re­fox ge­mel­de te­le­me­trie­da­ta. Goog­le komt zelfs tot 73 pro­cent. Welk markt­aan­deel daar­bij door LE wordt in­ge­no­men is vol­gens het pro­ject zelf niet re­le­vant voor het suc­ces er­van. Daar­om wil LE de sta­tis­tie­ken van NetTrack ook niet be­ves­ti­gen.

Het staat vol­gens LE in ie­der ge­val wel vast dat 95 pro­cent van al­le door LE uit­ge­ge­ven cer­ti­fi­ca­ten aan do­mei­nen zijn toe­ge­kend die eer­der geen open­baar zicht­baar – en zeer waar­schijn­lijk dus he­le­maal geen – SSL/TLS-cer­ti­fi­caat had­den. On­der de LE-ge­brui­kers be­vin­den zich in­mid­dels ook il­lus­te­re or­ga­ni­sa­ties als de Ame­ri­kaan­se ruim­te­vaart­or­ga­ni­sa­tie NASA, die in zijn een­tje al bij­na 1800 cer­ti­fi­ca­ten bij Let's En­crypt heeft aan­ge­vraagd. Ook en­ke­le hard­wa­re­fa­bri­kan­ten als Sy­no­lo­gy en Asus heb­ben Let's En­crypt ont­dekt en rus­ten hun NAS­sys­te­men en rou­ters uit met een LE-client (zie pa­gi­na's 108 en 109). De gra­tis cer­ti­fi­ca­ten kun je over­al toe­pas­sen waar TLS ge­bruikt wordt – dus bij­voor­beeld ook bij een mail­ser­ver.

Licht met een beet­je scha­duw

Vol­gens een woord­voer­ster is de toe­ne­men­de po­pu­la­ri­teit van TLS niet al­leen op het con­to van Let's En­crypt te schrij­ven. Ook Je­re­my Row­ley, pro­duct­ma­na­ger bij Di­giCert, dat de cer­ti­fi­caat­tak van Sy­man­tec heeft over­ge­no­men, ziet dat zo. Naar zijn me­ning heeft on­der meer Goog­le aar­dig bij­ge­dra­gen aan de groei van HTT­PS-web­si­tes: "Goog­le zet­te web­si­tes die met HTT­PS be­vei­ligd wa­ren ho­ger bij de zoek­re­sul­ta­ten. Van­af ok­to­ber 2017 werd be­gon­nen met het af­straf­fen van niet ver­sleu­teld aan­ge­bo­den web­si­tes door ze als on­vei­lig te mar­ke­ren."

Di­giCert is met En­cryp­ti­on Eve­ry­whe­re een ei­gen gra­tis pro­gram­ma be­gon­nen, maar dat is al­leen toe­gan­ke­lijk voor part­ners zo­als hos­ting­aan­bie­ders. Net als bij Let's En­crypt ziet men dat de gra­tis uit­ge­ge­ven cer­ti­fi­ca­ten ge­bruikt wor­den door be­heer­ders van klei­ne­re do­mei­nen die an­ders waar­schijn­lijk on­ver­sleu­teld wa­ren ge­ble­ven vol­gens Row­ley. Men is bij Di­giCert na­tuur­lijk ook blij met de po­si­tie­ve in­vloed die Let's En­crypt op de vei­lig­heid van in­ter­net heeft.

Row­ley ziet ech­ter ook pro­ble­men met de on­be­grens­de be­schik­baar­heid van gra­tis cer­ti­fi­ca­ten: "Dat is een voor­deel voor phis­hing en an­der on­li­ne be­drog. De gra­tis cer­ti­fi­ca­ten zor­gen wel voor ver­sleu­te­ling, maar ge­ven niets prijs over de iden­ti­teit van do­mein­hou­ders of web­si­te-ex­ploi­tan­ten." Phis­hing-si­tes le­ve­ren hun ver­vals­te in­log­pa­gi­na's via HTT­PS om bij de slacht­of­fers ver­trou­wen te wek­ken met het groe­ne slot­je op de adres­balk van de brow­ser. Een in maart 2017 ge­pu­bli­ceerd rap­port (zie de link on­der­aan dit ar­ti­kel) laat zien dat cri­mi­ne­len ook Let's En­crypt ge­brui­ken. Vol­gens de au­teurs daar­van stel­de Let's En­crypt meer dan 15.000 cer­ti­fi­ca­ten ter be­schik­king waar­in de do­mein­naam 'paypal' op­dook.

Be­drei­ging voor com­mer­ci­ë­le aan­bie­ders?

Bo­ze ton­gen be­we­ren dat ach­ter het ge­noem­de rap­port ver­ko­pers van com­mer­ci­ë­le cer­ti­fi­ca­ten za­ten. Aan de ene kant wor­den ook gra­tis cer­ti­fi­ca­ten van Co­mo­do door dui­zen­den phis­hing-si­tes ge­bruikt en aan de an­de­re kant la­ten re­ac­ties van aan­bie­ders zien dat zij hun markt zien in­stor­ten: Co­mo­do pro­beer­de in het na­jaar van 2015 – een goed jaar na­dat Let's En­crypt van zich deed spre­ken – merk­na­men voor 'Let's En­crypt' en 'Co­mo­do Let's En­crypt' te re­gi­stre­ren. Het

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.