En million hjemmesider har nu installeret gratis SSL certifikat

Let's Encrypt har nået en imponerende milepæl i bestræbelserne på at gøre internettet mere sikkert.

Siden december har Let's Encrypt uddelt gratis certifikater med støtte fra NGO'en EFF, Cisco, Mozilla og andre virksomheder. Projektet udvikles bl.a. af forskere fra Michigans universitet.

Selvom certifikaterne er gratis, er de stadig lige pålidelige og konfigureret efter SSL-virksomheden IdenTrusts standarder. 90 pct. af de domæner der har tage krypteringen til sig, har ikke tidligere været tilgængelige gennem HTTPS protokollen, som kan forhindre man-in-the-middle angreb.

»Der er stadig lang vej igen før at internettet er frit fra usikre protokoller, men dette er et betydeligt og hurtigt fremskridt,« skriver Peter Eckersley og Jacob Hoffman-Andrews fra EFF på organisationens blog.

»Det er tydeligt, at omkostninger og bureaukratiet ved at anskaffe sig certifikater har tvunget mange hjemmesider til at fortsætte med den usikre HTTP protokol lang tid efter, at vi alle har vist, at HTTPS bliver nødt til at være standarden.«

En million brugere på tre måneder er i sig selv en flot bedrift, men flere af certifikaterne dækker adskillige domænenavne og dermed det reelt 2,5 mio. domænenavne, der nyder godt af projektet.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (12)

Yoel Caspersen Blogger

Vi bruger certifikat fra Let's Encrypt på vores website. Selve installationen var nem - men der var dog en lille gotcha, da vi satte det op. Der var nemlig en limit på, hvor mange certifikater, der kan udstedes til det samme domænenavn inden for 7 dage, og det havde vi overset - så det tog os lidt længere tid end beregnet. Let's Encrypt har et testmiljø til eksperimenter, og det kan varmt anbefales at lege der.

Men i det store hele er det et super initiativ, da det effektivt ender med at decimere de gamle CA'ers snakeoil-business og tillige fjerner økonomien som en undskyldning for ikke at køre HTTPS.

Hvordan ser det egentlig ud med Varnish og SSL - kan man efterhånden cache content, der hentes via HTTPS?

Morten Abildgaard

Hvis man kører Varnish til HTTP kan Hitch TLS som SSL terminator varmt anbefales. Medmindre man har behov for fail-over, hvor haproxy i så fald kan anbefales. Begge understøtter proxy protokollen.

Yoel Caspersen Blogger

Man kan dog sætte op til 100 underdomæner op i et certifikat,
hvis man ønsker dette, dog er jeg mere til * alias eller et cert pr.
domæne.

En ulempe ved at have flere subdomains på samme certifikat er, at det vil være nemt for brugeren at se, hvilke andre subdomains der er tilknyttet. Selv om man selvfølgelig skal sikre sig på anden vis, kan der være situationer hvor man ikke har lyst til at offentliggøre URL'er til administrative systemer etc, som ligger på et andet subdomain men deler certifikat med det offentlige website.

Er der nogen logisk forklaring på hvorfor Let's Encrypt ikke understøtter *-alias endnu?

Peter Christiansen

Hej Yoel,
letsencrypt deler oplysninger om udstedte certifikater til crt.sh,
med en søgning som: https://crt.sh/?q=%25version2.dk, kan man se
hvilke underdomæner et givent domæne har certs på(ikke kun hos letsencrypt.)

Det pissede også mig lidt af :(.

De siger de ikke har planer om wildcard certs og i samme sætning at det
burde være unødvendigt når man bare kan et cert pr subdomain.
Problemet er bare hvis man har 1 kunde pr. subdomain, så er det lidt træls
at man kun kan oprette 7 kunder om ugen.

Vi har selv fornyet vores første domæne, det fungerede fint.

Hvis de ikke kommer over 7 subdomæner pr uge efter open beta, bliver det
ikke særligt interresant for os. Jeg kan se fordelen for sites som version2.dk
og sites der ikke behøver mange subdomains. Initiativet er dog godt og det
glæder mig at de digitale paper pushere har fået kamp.

Steffen Otto Jensen

Jeg tror årsagen til der ikke udstedes * certifikater, er at den automatiske acme protokol bryster sig af at den jo tjekker at modtageren af certifikatet har fysisk kontrol over den maskine som håndterer domainet.

Et stjerne certifikat vil vel kunne benyttes på ikke verificerede maskiner?

Formoder jeg korrekt med dette, så giver det vel god mening.

Log ind eller opret en konto for at skrive kommentarer