Måske vil du også gerne vise dine besøgende en grøn hængelås på hjemmeside, der i udgangspunktet indikerer, de er havnet på den rigtige side, og at forbindelsen i øvrigt er sikker? Men du gider ikke bøvlet eller udgifterne, der kan være forbundet med den slags? Så er der eventuelt godt nyt på vej til dig.
Klokken 19 i aften dansk tid er det planen, at der, som tidligere udmeldt, bliver åbnet op for betaprogrammet under Let's Encrypt-initiativet, så alle kan være med. Formålet med projektet er at udbrede kryptering generelt.
Det sker blandt andet ved at gøre det nemt for server-administratorer at få fat i og installere certifikater, som i øvrigt ikke koster noget målt i kroner og øre. Normalt koster certifikater x-antal kroner, alt afhængig af type og leverandør.
»Ingen validerings-mails, ingen kompliceret redigering af konfiguration, ingen udløbne certifikater, der ødelægger dit website. Og naturligvis, da Let's Encrypt leverer certifikater gratis, er der ingen grund til at arrangere betaling,« fremgår det af projektets hjemmeside.
Projektets sponsorer tæller blandt andet Mozilla, Akamai, Cisco og EFF (Electronic Frontier Foundation).
Ud fra beskrivelsen på hjemmesiden virker det umiddelbart relativt lige til at installere Let's Encrypt-certifikatet. Projektet leverer et færdigt script, der kan hentes fra GitHub. Scriptet kan automatisk konfigurere Apache og Nginx-servere. Kommandoen til dette ser således ud:
Og vil du bare have certifikatet hentet ned i dit nuværende directory og ellers selv stå for opsætningen, kan du køre:
Certifikaterne fra Let's Encrypt løber ikke længere end 90 dage. Dels for at begrænse skaden ved eventuel kompromittering af nøgler. Den anden begrundelse er ifølge et blogindlæg hos Let's Encrypt, at 90 dages løbetid tvinger server-admins til at automatisere fornyelsesprocessen.
»Hvis vi skal flytte hele Web til HTTPS, så kan vi ikke fortsat forvente, at systemadministratorer manuelt håndterer tilbagetrækninger,« står der i blogindlægget.
Fornyelse af et certifikat ser sådan her ud:
Tilbagekaldelse af et specifikt certifikat eller alle certifikater, signeret med en specifik nøgle, foregår sådan her:
Certifikater fra Let's Encrypt skulle fungere med 'all major browsers'. Det vil sige, de ikke brokker sig til brugeren over sikkerheden eller mangel på samme.
V2-bloggere uenige om SSL på alt
Version2-blogger og varm fortaler for SSL-everywhere, Henrik Kramshøj, er ikke inde i detaljerne i Let's Encrypt-initiativet, men han synes umiddelbart, det lyder som en god idé.
»Det er jo vildt spændende, at vi måske kan få udbredt HTTPS og TLS mere generelt. Teknologierne er jo på plads, men for at vi kan bruge dem, skal vi have nogle nøgler og certifikater,« siger Kramshøj.
Han påpeger, at mange Version2-læsere nok har prøvet at lave selv-signerede certifikater, men at det ikke er problemfrit. Browsere stoler ikke på den slags. Og så har andre prøvet at købe certifikater, men det kan være en dyr fornøjelse.
»Her taler vi jo et projekt der, som jeg har forstået det, vil gøre, at alle kan kryptere deres data,« siger Henrik Kramshøj.
Hvorfor er det godt, at der er HTTPS alle steder?
»Det er jo godt, fordi vi ved, data bliver opsamlet og kan misbruges,« siger han og nævner identitetstyveri som eksempel på misbrug.
En anden Version2-blogger, Poul-Henning Kamp, er ikke enig i, at 'jo mere HTTPS, jo bedre'.
Tidligere på året har han i forbindelse med et indlæg offentliggjort på varnish-cache.org om, hvorfor cache-serveren Varnish ikke har indbygget SSL-understøttelse, også argumenteret for, hvorfor allestedsnærværende SSL ikke nødvendigvis er en god idé.
Poul-Henning Kamp peger blandt andet på, at hvis hjemmesiden for en beredskabsstyrelse bliver bestormet af folk, der forsøger at overleve en naturkatastrofe, så kan det være svært at komme igennem, når serveren bruger kapacitet på at forhandle SSL/TLS-forbindelser.
»Men et af de største problemer, jeg har med SSL Everywhere, er, at det giver privacy til de aktører, jeg mener, fortjener det mindst,« skriver han.
I den forbindelse nævner Poul-Henning Kamp, hvordan transnationale selskabers ulovlige tracking af brugere på tværs af sites er blevet afsløret, fordi nogen har været i stand til at se, hvad der foregår inde i en netopkobling.
»Med SSL Everywhere, så får disse aktører meget mere privacy til at invadere alle mennesker med en internetforbindelses privacy, fordi det er meget mere krævende at kigge ind i en SSL-forbindelse frem for en almindelig HTTP-forbindelse.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
