
Veilige sleutel op uw site.
De discussie omtrent Let’s Encrypt is niet nieuw, maar hij stak onlangs weer de kop op. De ene hoster biedt het gratis SSL-certificaat wel aan, de ander roept dat Let’s Encrypt onveilig is. Maar gaat het nu eigenlijk om? Is de discussie wel helemaal zuiver? En vooral: wat is voor u als klant van een hoster het belang van zo’n sleutel op uw website?
Eerst maar eens uitleggen wat SSL is. Een SSL-certificaat is een authenticatiemiddel: niet meer, niet minder. Uw website wordt gehost op een server – tegenwoordig vaak een virtuele server – waarop een SSL-certificaat wordt geïnstalleerd. Dat certificaat laat de bezoeker van uw site weten dat de server die hij bezoekt daadwerkelijk de server is die hij of zij wenst te bezoeken. Het is een identiteitscheck, net zoals de postbode even checkt of het adres op de envelop wel klopt voordat hij de post daadwerkelijk in de brievenbus laat glijden. Verder zorgt SSL ervoor dat de informatie op de server wordt versleuteld en pas wordt ‘gepubliceerd’ als er een bevestigde, veilige verbinding tussen de bezoeker en de server met uw website tot stand is gebracht.
Veiliger
Al met al zorgt SSL dus voor veiliger verkeer op het internet. Da’s belangrijk. Vooral als u nog gevonden wilt worden door Google, want dat bedrijf heeft dit jaar aangekondigd alle sites die niet met een SSL zijn versleuteld, lager te scoren én in de adresbalk – het gedeelte achter http:// bij niet versleutelde sites - te markeren met een rood kruis om aan te duiden dat de site onveilig is. Bijna onnodig te zeggen dat dit dodelijk is voor het verkeer richting een website. Met andere woorden:
Google wil dat alles sites worden voorzien van een SSL-certificaat en dus alleen via https:// te bereiken.
Eind 2014 kwam Let’s Encrypt op de markt: een gratis dienst waarop klanten SSL-certificaten konden krijgen. De installatie van die certificaten was letterlijk een fluitje van een cent. Gratis? Ja, dankzij flinke sommen sponsorgelden van partijen als Cisco, Facebook, HP Enterprise, Mozilla (de motor onder Firefox), internetbeveiliger Akamai én Google. Daarnaast wordt Let’s Encrypt gefinancierd door crowdfunding:
op 1 november jl. is een nieuwe campagne gestart om de operationele kosten te dekken.
Van meet af aan is er kritiek van met name hosters: Let’s Encrypt zou onveilig zijn. Dat oordeel werd en wordt vooral geveld omdat beveiligingsexpert Trend Micro ontdekte dat er malware – schadelijke software - met het certificaat meeliftte. Vanwege de versleuteling zou de bron achter de malware lastig te achterhalen zijn en juist vanwege de schaal van Let’s Encrypt was dat een groot risico. Vele websites zouden het doelwit kunnen zijn van een dergelijke aanval. Alleen dat laatste klopt. Let’s Encrypt wordt veel gebruikt en heeft daarmee een verhoogd risico. Net zo goed als iemand die meer kilometers rijdt, een iets hogere kans heeft ooit eens een bekeuring te ontvangen.
Hacker
Daarmee is Let’s Encrypt niet onveiliger dan andere SSL-certificaten. Sites met Let’s Encrypt zijn niet kwetsbaarder dan sites met andere, duurdere SSL-certificaten. In diverse fora wordt met name gewezen op het gevaar van ‘Drown Attacks’ en ‘Man in the Middle’, waarbij een hacker het certificaat kraakt en vervolgens informatie op de webserver buit kan maken. Hackers maken daarbij gebruik van het feit dat veel servers nog SSLv2-verbindingen toestaan. Dat komt helaas nog veelvuldig voor. Het protocol is te zwak en kan eenvoudig worden misbruikt. Een beheerder moet die protocollen uitschakelen. Ook Let’s Encrypt doet die aanbeveling op haar website, net als Xolphin dat door InDiv wordt gebruikt (zie: https://www.sslcertificaten.nl/support/FAQ/Onveilige_SSL_versies_uitschakelen).
.
Uiteindelijk komt het altijd neer op de veiligheid– en de kennis – van de serverbeheerder.
Auteur: Jeroen Mulder, CISA
Enterprise Architect, Tech Futurist
Wesbite https://www.jeroenmulder.net
Terug