Let’s Encrypt websites kwetsbaarder voor malware?


Een maand of wat geleden las ik een blog van een collega-hoster over Let’s Encrypt. Let’s Encrypt biedt gratis SSL-certificaten. Er zijn meer partijen die dat doen, maar Let’s Encrypt heeft er een ecosysteem omheen gebouwd die de aanvraag en uitrol sterk vereenvoudigt en versnelt. Klinkt goed, toch? Wat schetst echter mijn verbazing; een collega-hoster is er helemaal niet over te spreken.

Let’s Encrypt certificaten
Volgens de hoster in kwestie wordt malware verspreid via websites met Let’s Encrypt certificaten. Vervolgens wordt er een hoop ‘FUD’ over de lezer van het blog heen gestort. Een kleine greep uit de onzin in het blog. De suggestie wordt gewekt dat Let’s Encrypt websites kwetsbaarder zijn voor de generieke SSL-kwetsbaarheid ‘Drown Attack’, niet waar dus. Omdat Let’s Encrypt zorgt voor versleuteling van verkeer tussen webserver en bezoeker zijn dader en slachtoffer van internetcriminaliteit lastiger te traceren. Ook dit is niet waar.

Tot slot wordt de suggestie gewekt dat alle andere SSL-certificaataanbieders controleren of de aanvrager van een certificaat daadwerkelijk is wie hij zegt te zijn. Dat wordt ook gedaan, maar alleen voor de duurste Extended Validation (EV) certificaten. Alleen voor het type certificaten dat een groene balk in de browsers oplevert dus. Naar mijn schatting is dat maximaal 2% van alle SSL-certificaten. Voor alle andere Domain Validated (DV) SSL-certificaten worden net zo veel, of beter gezegd, net zo weinig controles op identiteit uitgevoerd als dat bij Let’s Encrypt gebeurt.

Upgraden naar betaald SSL-certificaat vanuit commercieel oogpunt
De blogschrijver eindigt zijn betoog met een oproep om te upgraden naar een premium hostingpakket waar een niet-Let’s Encrypt SSL-certificaat bij geleverd wordt. Daar komt de aap dus uit de mouw, het gaat er helemaal niet om dat Let’s Encrypt minder goed is dan een ander type certificaat. Het gaat er om de klant angst aan te jagen zodat er een premium pakket met hogere prijs afgenomen wordt. Ironisch daarbij is overigens wel dat deze hoster dan vervolgens een Domain Validated SSL-certificaat, zo één zonder controle op identiteit, levert.

Overigens benoemt de schrijver in kwestie, ongetwijfeld terecht, dat Let’s Encrypt certificaten vaker door internetcriminelen worden gebruikt dan andere al dan niet gratis SSL-certificaten. Dit heeft helemaal niets te maken met het meer of minder veilig zijn van Let’s Encrypt, maar met één ding dat Let’s Encrypt juist zo briljant maakt. Namelijk de eenvoud en snelheid waarmee SSL/TLS geconfigureerd kan worden. En internetcriminelen zijn net mensen, gemak dient de mens.

Geschreven door Wido Potters (BIT)

Dit ingezonden artikel is geschreven door Wido Potters van BIT.

Lees ook de onderstaande artikelen van BIT

Stuur ook uw blog, achtergrond artikel of andere bijdrage in!

Indien u zelf een interessante bijdrage, zoals een blog, how-to of achtergrond heeft, dan plaatsen wij die graag en dat kost u niks. Neem contact op met de ISPam.nl redactie via [email protected] of kijk op deze pagina voor meer informatie over het leveren van een bijdrage aan ISPam.nl.

Wieger, 16 november 2016 10:23 am

"De suggestie wordt gewekt dat Let’s Encrypt websites kwetsbaarder zijn voor de generieke SSL-kwetsbaarheid ‘Drown Attack’, niet waar dus. Omdat Let’s Encrypt zorgt voor versleuteling van verkeer tussen webserver en bezoeker zijn dader en slachtoffer van internetcriminaliteit lastiger te traceren. Ook dit is niet waar."

Wellus Nietus.. ik mis nogal uitleg/onderbouwing.

Sebas, 17 november 2016 8:11 am

@Wieger, de manier waarop ik dit artikel lees, is dat het vanuit commercieel oogpunt geschreven is, Lets Encrypt en de goede automatisering eromheen zorgt ervoor dat dit hosters in hun portomonnee raakt. Waarom dan niet meteen dit goede concept in de grond trappen ;-)

Wido, 18 november 2016 8:40 am

@Wieger:
Alle webservers die SSLv2 ondersteunen zijn kwetsbaar voor de Drown Attack, zie voor meer info https://drownattack.com/. En voor betreft traceertbaarheid van dader en slachtoffer; bij versleuteling middels TLS worden de source en destination niet versleuteld en zijn daardoor dus nog steeds te achterhalen. Verder is de versleuteling door LE niet anders dan die van andere certificaat leveranciers, als er dus al iets zou zijn dat traceerbaarheid lastiger maakt dan is dat niet uniek voor LE.

@Sebas:
De door mij aangehaalde blog lijkt inderdaad uit commercieel oogpunt geschreven te zijn. Dat is een prima doel. Naast commerciele redenen kunnen er ook nog eens allerlei technische redenen zijn waarom LE voor die hoster niet goed werkt. De hoster heeft er echter voor gekozen om met oneigenlijke en onjuiste argumenten zijn punt te willen maken. Dit ingezonden artikel is daar een reactie op.

Sebas, 18 november 2016 8:47 am

@Wido, dank je wel voor je aanpassing in het bericht ;-)

Mapsi, 22 november 2016 10:49 pm

Dat je niet aan bronvermelding doet, als auteur, snap ik - maar als lezer mag ik het vast wel:
https://www.hosting2go.nl/blog/ssl-check-lets-encrypt-of-betalen/

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.