En million hjemmesider har nu installeret gratis SSL certifikat

10. marts 2016 kl. 16:2512
Let's Encrypt har nået en imponerende milepæl i bestræbelserne på at gøre internettet mere sikkert.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Siden december har Let's Encrypt uddelt gratis certifikater med støtte fra NGO'en EFF, Cisco, Mozilla og andre virksomheder. Projektet udvikles bl.a. af forskere fra Michigans universitet.

Selvom certifikaterne er gratis, er de stadig lige pålidelige og konfigureret efter SSL-virksomheden IdenTrusts standarder. 90 pct. af de domæner der har tage krypteringen til sig, har ikke tidligere været tilgængelige gennem HTTPS protokollen, som kan forhindre man-in-the-middle angreb.

»Der er stadig lang vej igen før at internettet er frit fra usikre protokoller, men dette er et betydeligt og hurtigt fremskridt,« skriver Peter Eckersley og Jacob Hoffman-Andrews fra EFF på organisationens blog.

»Det er tydeligt, at omkostninger og bureaukratiet ved at anskaffe sig certifikater har tvunget mange hjemmesider til at fortsætte med den usikre HTTP protokol lang tid efter, at vi alle har vist, at HTTPS bliver nødt til at være standarden.«

Artiklen fortsætter efter annoncen

En million brugere på tre måneder er i sig selv en flot bedrift, men flere af certifikaterne dækker adskillige domænenavne og dermed det reelt 2,5 mio. domænenavne, der nyder godt af projektet.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
13. marts 2016 kl. 20:16

Jeg tror årsagen til der ikke udstedes * certifikater, er at den automatiske acme protokol bryster sig af at den jo tjekker at modtageren af certifikatet har fysisk kontrol over den maskine som håndterer domainet.

Et stjerne certifikat vil vel kunne benyttes på ikke verificerede maskiner?

Formoder jeg korrekt med dette, så giver det vel god mening.

9
13. marts 2016 kl. 15:31

Hej Yoel, letsencrypt deler oplysninger om udstedte certifikater til crt.sh, med en søgning som: https://crt.sh/?q=%25version2.dk, kan man se hvilke underdomæner et givent domæne har certs på(ikke kun hos letsencrypt.)

Det pissede også mig lidt af :(.

De siger de ikke har planer om wildcard certs og i samme sætning at det burde være unødvendigt når man bare kan et cert pr subdomain. Problemet er bare hvis man har 1 kunde pr. subdomain, så er det lidt træls at man kun kan oprette 7 kunder om ugen.

Vi har selv fornyet vores første domæne, det fungerede fint.

Hvis de ikke kommer over 7 subdomæner pr uge efter open beta, bliver det ikke særligt interresant for os. Jeg kan se fordelen for sites som version2.dk og sites der ikke behøver mange subdomains. Initiativet er dog godt og det glæder mig at de digitale paper pushere har fået kamp.

8
12. marts 2016 kl. 16:41

Man kan dog sætte op til 100 underdomæner op i et certifikat,
hvis man ønsker dette, dog er jeg mere til * alias eller et cert pr.
domæne.

En ulempe ved at have flere subdomains på samme certifikat er, at det vil være nemt for brugeren at se, hvilke andre subdomains der er tilknyttet. Selv om man selvfølgelig skal sikre sig på anden vis, kan der være situationer hvor man ikke har lyst til at offentliggøre URL'er til administrative systemer etc, som ligger på et andet subdomain men deler certifikat med det offentlige website.

Er der nogen logisk forklaring på hvorfor Let's Encrypt ikke understøtter *-alias endnu?

7
11. marts 2016 kl. 11:55

Apache/https -> varnish/http -> apache/http

6
11. marts 2016 kl. 11:12

Hvis man kører Varnish til HTTP kan Hitch TLS som SSL terminator varmt anbefales. Medmindre man har behov for fail-over, hvor haproxy i så fald kan anbefales. Begge understøtter proxy protokollen.

3
10. marts 2016 kl. 23:53

Vi bruger certifikat fra Let's Encrypt på vores website. Selve installationen var nem - men der var dog en lille gotcha, da vi satte det op. Der var nemlig en limit på, hvor mange certifikater, der kan udstedes til det samme domænenavn inden for 7 dage, og det havde vi overset - så det tog os lidt længere tid end beregnet. Let's Encrypt har et testmiljø til eksperimenter, og det kan varmt anbefales at lege der.

Men i det store hele er det et super initiativ, da det effektivt ender med at decimere de gamle CA'ers snakeoil-business og tillige fjerner økonomien som en undskyldning for ikke at køre HTTPS.

Hvordan ser det egentlig ud med Varnish og SSL - kan man efterhånden cache content, der hentes via HTTPS?

2
10. marts 2016 kl. 22:06

Bare glem det :P

Folk har efterspurgt HTTPS på version2 i så lang tid som jeg kan huske, og version2 har ignoreret det i lige så lang tid.

Det kommer sgu nok aldrig.

1
10. marts 2016 kl. 18:55

curl: (7) Failed to connect to version2.dk port 443: Connection refused

Selv login-siden understøtter ikke https.