Let's Encrypt åbner beta: Nu kan alle få gratis HTTPS

3. december 2015 kl. 15:5923
Let's Encrypt åbner beta: Nu kan alle få gratis HTTPS
Illustration: iStockphoto.com.
Let's Encrypt åbner i dag (torsdag) op for betaprogrammet, så alle kan hente og installere certifikater, der giver sikre serverforbindelser.
person
Jakob Møllerhøj
journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Jakob Møllerhøj
journalist

Måske vil du også gerne vise dine besøgende en grøn hængelås på hjemmeside, der i udgangspunktet indikerer, de er havnet på den rigtige side, og at forbindelsen i øvrigt er sikker? Men du gider ikke bøvlet eller udgifterne, der kan være forbundet med den slags? Så er der eventuelt godt nyt på vej til dig.

Klokken 19 i aften dansk tid er det planen, at der, som tidligere udmeldt, bliver åbnet op for betaprogrammet under Let's Encrypt-initiativet, så alle kan være med. Formålet med projektet er at udbrede kryptering generelt.

Det sker blandt andet ved at gøre det nemt for server-administratorer at få fat i og installere certifikater, som i øvrigt ikke koster noget målt i kroner og øre. Normalt koster certifikater x-antal kroner, alt afhængig af type og leverandør.

»Ingen validerings-mails, ingen kompliceret redigering af konfiguration, ingen udløbne certifikater, der ødelægger dit website. Og naturligvis, da Let's Encrypt leverer certifikater gratis, er der ingen grund til at arrangere betaling,« fremgår det af projektets hjemmeside.

Artiklen fortsætter efter annoncen

Projektets sponsorer tæller blandt andet Mozilla, Akamai, Cisco og EFF (Electronic Frontier Foundation).

Ud fra beskrivelsen på hjemmesiden virker det umiddelbart relativt lige til at installere Let's Encrypt-certifikatet. Projektet leverer et færdigt script, der kan hentes fra GitHub. Scriptet kan automatisk konfigurere Apache og Nginx-servere. Kommandoen til dette ser således ud:

  1. $ letsencrypt run

Og vil du bare have certifikatet hentet ned i dit nuværende directory og ellers selv stå for opsætningen, kan du køre:

  1. $ letsencrypt -d example.com auth

Certifikaterne fra Let's Encrypt løber ikke længere end 90 dage. Dels for at begrænse skaden ved eventuel kompromittering af nøgler. Den anden begrundelse er ifølge et blogindlæg hos Let's Encrypt, at 90 dages løbetid tvinger server-admins til at automatisere fornyelsesprocessen.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Hvis vi skal flytte hele Web til HTTPS, så kan vi ikke fortsat forvente, at systemadministratorer manuelt håndterer tilbagetrækninger,« står der i blogindlægget.

Fornyelse af et certifikat ser sådan her ud:

  1. $ letsencrypt renew --cert-path example-cert.pem

Tilbagekaldelse af et specifikt certifikat eller alle certifikater, signeret med en specifik nøgle, foregår sådan her:

  1. $ letsencrypt revoke --cert-path example-cert.pem
  2.  
  3. $ letsencrypt revoke --key-path example-key.pem

Certifikater fra Let's Encrypt skulle fungere med 'all major browsers'. Det vil sige, de ikke brokker sig til brugeren over sikkerheden eller mangel på samme.

V2-bloggere uenige om SSL på alt

Version2-blogger og varm fortaler for SSL-everywhere, Henrik Kramshøj, er ikke inde i detaljerne i Let's Encrypt-initiativet, men han synes umiddelbart, det lyder som en god idé.

Artiklen fortsætter efter annoncen

»Det er jo vildt spændende, at vi måske kan få udbredt HTTPS og TLS mere generelt. Teknologierne er jo på plads, men for at vi kan bruge dem, skal vi have nogle nøgler og certifikater,« siger Kramshøj.

Han påpeger, at mange Version2-læsere nok har prøvet at lave selv-signerede certifikater, men at det ikke er problemfrit. Browsere stoler ikke på den slags. Og så har andre prøvet at købe certifikater, men det kan være en dyr fornøjelse.

»Her taler vi jo et projekt der, som jeg har forstået det, vil gøre, at alle kan kryptere deres data,« siger Henrik Kramshøj.

Hvorfor er det godt, at der er HTTPS alle steder?

»Det er jo godt, fordi vi ved, data bliver opsamlet og kan misbruges,« siger han og nævner identitetstyveri som eksempel på misbrug.

En anden Version2-blogger, Poul-Henning Kamp, er ikke enig i, at 'jo mere HTTPS, jo bedre'.

Tidligere på året har han i forbindelse med et indlæg offentliggjort på varnish-cache.org om, hvorfor cache-serveren Varnish ikke har indbygget SSL-understøttelse, også argumenteret for, hvorfor allestedsnærværende SSL ikke nødvendigvis er en god idé.

Poul-Henning Kamp peger blandt andet på, at hvis hjemmesiden for en beredskabsstyrelse bliver bestormet af folk, der forsøger at overleve en naturkatastrofe, så kan det være svært at komme igennem, når serveren bruger kapacitet på at forhandle SSL/TLS-forbindelser.

»Men et af de største problemer, jeg har med SSL Everywhere, er, at det giver privacy til de aktører, jeg mener, fortjener det mindst,« skriver han.

I den forbindelse nævner Poul-Henning Kamp, hvordan transnationale selskabers ulovlige tracking af brugere på tværs af sites er blevet afsløret, fordi nogen har været i stand til at se, hvad der foregår inde i en netopkobling.

»Med SSL Everywhere, så får disse aktører meget mere privacy til at invadere alle mennesker med en internetforbindelses privacy, fordi det er meget mere krævende at kigge ind i en SSL-forbindelse frem for en almindelig HTTP-forbindelse.«

23 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
23
Robert Voje
14. december 2015 kl. 07:12

Jeg har nu gennemgået mine logs, og kan ikke 100% sætte dette angreb i forbindelse med Let's Encrypt, men det var dog meget mistænkelig.

Jeg har dog testet nogle gange på et par virtuelle maskiner, men har ikke klaret at genskabe "fejlen".

Det er muligt, at det ved en tilfældighed kom et angreb samtidig som jeg testede, eller at der var en bug i klienten. Har nu testet flere gange ved at angive test authenticator, og det ser ud til at fungere.

Vær dog opmærksom på, at om I vil teste, så er der en begrænsning på 5 certifikater pr. 7 dage, så derfor anbefaler jeg at benytte deres test staging server. Den udsteder et ugyldig certifikat, men har ingen begrænsning på antal certifikater.

Test ved at lægge til --server https://acme-staging.api.letsencrypt.org/directorysom parameter til klienten.

  • more_vert
    • insert_linkKopier link
22
Kenn Nielsen
9. december 2015 kl. 10:31
  • more_vert
    • insert_linkKopier link
21
Kenn Nielsen
8. december 2015 kl. 11:57

Jeg synes - grundlæggende - det er en rigtig god idé.

Men da jeg så ser at konceptet går ud på:

"Gratis certifikater ad libitum, du skal bare lige køre vores program som root"

Der går jeg lige over og klapper kæphesten ....

K

  • more_vert
    • insert_linkKopier link
20
Baldur Norddahl
6. december 2015 kl. 00:16

Nej du ville næppe være den første til at opdage det, hvis der var noget suspekt her. Den downloader bare de nødvendige biblioteker automatisk. Hvis du undersøger det nærmere, så finder du formodentlig frem til at nævnte IP-adresse er et download mirror, hvorfra man kan hente opdateringer til dit operativsystem.

  • more_vert
    • insert_linkKopier link
19
Robert Voje
5. december 2015 kl. 19:28

Jeg vil med dette bare tilføje min erfaring. Jeg har lige nu en rimelig clear firewall opsætning pga. foregående crash og blank opsætning, så jeg tog chancen, og installerede Let's Encrypt klient fra den anbefalede github source. Det vil jeg aldrig mere gøre, eftersom denne installation medførte en massiv trafik til en ip adresse i tjekkiet (94.23.174.164), som jeg så blokkerede, men allikevel.. den er listet som en AHA adresse, så jeg går ud i fra at mit system er forsøgt hacket. Trafikken udgik fra en af mine andre servere så snart jeg prøvede at aktivere en konto på min lokale maskine, så den er blokeret her lige nu.

  • more_vert
    • insert_linkKopier link
18
Søren Fuglede Jørgensen
5. december 2015 kl. 00:18

Der er typisk ret snævre begrænsinger på de firma-drevne gratis certifikater man kunne få fra f.eks. StartTLS - f.eks. i antallet af domæner til en webserver (SNI).

Ved StartCom har man kunnet få signeret certifikater for lige så mange underdomæner, som man har lyst til, præcis som det er tilfældet ved Let's Encrypt.

Til gengæld har de tilladt sig at tage penge for at udstede revocations, så at kalde det gratis er nok under alle omstændigheder at presse den.

  • more_vert
    • insert_linkKopier link
17
Baldur Norddahl
4. december 2015 kl. 22:12

Cron har support for at køre et script hver anden måned. Det er også helt ok hvis du fornyer hver måned.

  • more_vert
    • insert_linkKopier link
16
Leif Neland
4. december 2015 kl. 21:15

Hvorfor ikke 100 dage?

Så kan man forny f.ex. den 12. i måned 1,4,7,10

De 90 dage gør at man skal rykke 6 dage tilbage om året.

Det er ligesom med heste, der skal til stævner; de skal vaccineres med 365 dages mellemrum. Så for at ramme udenom weekender, skal man vaccinere tidligere og tidligere, i stedet for f.ex. 1. uge i december. Noget rod.

  • more_vert
    • insert_linkKopier link
15
Baldur Norddahl
4. december 2015 kl. 16:56

Hvorfor er du villig til at betale 84 kr per domæne for absolut ingenting? Et SSL certifikat bliver til ved at man kører den rigtige OpenSSL kommando og tager ganske få sekunders CPU tid. Så hvad er det du betaler for? Det er ikke din SSL udbyder der har udviklet de værktøjer som de bruger. De bruger sandsynligvis OpenSSL ligesom alle andre og det er gratis. Det er allerede installeret på din maskine. Det er derfor du kan lave self signed certifikater helt trivielt.

Dit 84 kroners certifikat er et såkaldt domain validated (DV) certifikat. Det betyder at de har tjekket at du har kontrol over domænet og absolut intet andet. Der er ikke noget tjek af om du er den reelle ejer, om der er tale om et kriminelt foretagende, om indholdet på sitet lever op til nogle standarder eller noget af alt det andet, som folk tror en hængelås i URL baren betyder.

Et certifikat fra Let's Encrypt er også et DV certifikat. De har bare automatiseret domænetjekket. Det tjek er at de slår IP adressen fra domænet op og laver en HTTP forespørgsel til denne IP adresse. Her forventer de så at komme i kontakt med den software som du kører på din server. Hvis det går godt, så har du bevist at du kan køre software som root på den server der har IP adressen, som dit domæne peger på.

Det er fuldautomatisk. Det har ikke krævet udvikling af noget millionsoftware. Det er opensource. Det kræver ikke et datacenter fyldt med servere. Det retfærdiggør ikke en pris på hverken 84 kr eller € 3,75 årligt. Den rigtige pris er gratis.

Eftersom at det netop er helt trivielt, så er der naturligvis andre der har gjort det før. Eksempelvis har StartSSL givet DV certifikater væk i mange år. Men StartSSL er stadig en forretning der forsøger at sælge dyrere certifikater, så derfor har de indført deres egne kunstige begrænsninger. StartSSL vil kun udstede et certifikat per domæne per år. Bliver det væk, eksempelvis i et server crash, så skal du betale for at få et nyt. De går også ind og vurdere om dit website opfylder visse betingelser, for ellers skal du betale. Sidst jeg tjekkede, så var der også noget med at 2048 bit RSA certifikater koster penge, dvs. kun certifikater med ringere sikkerhed er gratis.

Og det illustrerer meget godt hvad certifikat forretningen går ud. Hvorfor kan man lave 1024 bit certifikater gratis men 2048 bit koster penge? Forskellen er om der står 1024 eller 2048 på kommandolinien når de kører OpenSSL. Ingen anden forskel. Det har aldrig handlet om en service du køber.

Og lige en sidste ting: Du kan også i meget dyre domme købe et såkaldt Extended Validatet (EV) certifikat. Her skal du indsende kopi af registreringsattest for din virksomhed, de ringer til dig og foretager nogle andre overfladiske tjek. For det modtager du et certifikat, hvor de på OpenSSL kommandolinien har tilføjet et "EV" flag. Når dine brugere går ind på din side med et EV certifikat, så er URL baren grøn. Jeg har aldrig mødt en lægmand der kender til forskellen på en grøn eller hvid URL bar. Men hva fan, bare kunderne betaler, så er det også lige meget. Et EV certifikat beviser alligevel absolut ingenting. De har ikke tjekket om dit site er rent fup og fidus. De har ikke tjekket om du har domme for bedrageri. At få et CVR nummer koster 1 kr i Danmark og 1 GBP i England. De har tjekket om du har brugt denne krone og ikke ret meget andet.

  • more_vert
    • insert_linkKopier link
14
Nichlas Hummelsberger
4. december 2015 kl. 13:14

Det gratis certifikat du får gennem Let's Encrypt vil være det samme som du betaler 84 kroner for.

Men for 84 kroner dækkes der kun et domæne og et subdomæne, hvor du kan få udstedt et gratis certifikat med mange flere subdomæner fra Let's Encrypt.

..og forestil dig så at du har et par tusind domæner.

  • more_vert
    • insert_linkKopier link
13
Nichlas Hummelsberger
4. december 2015 kl. 13:11

Der er validering på at den der får udstedt domænet har kontrol over serveren.

Men nej, der er ikke nogen test af serverejerens troværdighed, hvis det er det du mener.

  • more_vert
    • insert_linkKopier link
12
Jesper Nielsen
4. december 2015 kl. 11:49

Jeg plejer at købe hos billigssl.dk, hvor det koster ca 84kr/år.

GoGetSSL: € 3,75 per år, eller ca. 28 kr. Det er efterhånden blevet overkommeligt.

Jeg har et par certifikater fra GoGetSSL, som løber et par år endnu. Men automatiseringen med Let's Encrypt er meget tillokkende. Må lige se, om jeg kan få det til at virke ordentligt i mit setup (med Virtualmin for bekvemmelighed).

  • more_vert
    • insert_linkKopier link
10
Michael Zedeler
4. december 2015 kl. 10:04

Hvordan har de lige løst validering af serverens ejer? Det er da ikke meget værd med gratis kryptering, hvis man ikke har garanti for identiteten af serverens ejer.

  • more_vert
    • insert_linkKopier link
9
Michael Jensen
4. december 2015 kl. 09:55

Jep OK Jakob. Det er jo helt rigtigt. Priserne varierer helt vildt på sådan en stump bits :-)

  • more_vert
    • insert_linkKopier link
7
Kristian Klausen
4. december 2015 kl. 08:14

Men jeg er ikke så teknisk inde i om kvaliteten på sådan et, er lige så godt som et til tusinder af kroner fra Symantec? Kan I andre vurdere det?

Hvad jeg kan forstå er den tekniske kvantitet den samme. Den eneste forskel er at certifikatet ved billigssl.dk kun er "domain-validated" hvor den ved Symantec er "extended-validation".

Et link http://webmasters.stackexchange.com/questions/28595/why-is-godaddy-https-ssl-certification-so-much-cheaper-than-digicert-thawte-an

Har også undret mig nogle gange. Med det giver da lidt mening så.

  • more_vert
    • insert_linkKopier link
6
Michael Jensen
4. december 2015 kl. 08:07

Det der med at købe certifikater er en dyr fornøjelse er altså lidt let skrevet.

I forhold til at man også skal betale for domæner, webhoteller, ekstra dimser på webhotellerne for at kunne bruge ssl (eller betale for sin egen VPS, eller helt egen server), så er SSL-certifikater altså ikke alverden.

Jeg plejer at købe hos billigssl.dk, hvor det koster ca 84kr/år. Det er ikke den store udgift i mine øjne.

Men jeg er ikke så teknisk inde i om kvaliteten på sådan et, er lige så godt som et til tusinder af kroner fra Symantec? Kan I andre vurdere det?

  • more_vert
    • insert_linkKopier link
5
Baldur Norddahl
4. december 2015 kl. 00:24

og det ser ud til at virke fint. Og i øvrigt hurtigere og meget nemmere end de traditionelle certifikatudbydere.

Uanset PHKs holdning, så kan jeg virkelig ikke få armene ned over at de sætter en kæp i hjulet på den pengemaskine som certifikatudstedelse er.

  • more_vert
    • insert_linkKopier link
4
Adam Sjøgren
3. december 2015 kl. 21:23

Der er typisk ret snævre begrænsinger på de firma-drevne gratis certifikater man kunne få fra f.eks. StartTLS - f.eks. i antallet af domæner til en webserver (SNI).

Derudover har Let's Encrypt fokus på at det skal være nemt at automatisere opdatering af certifikater, hvilket er glimrende.

  • more_vert
    • insert_linkKopier link
3
Henrik Pedersen
3. december 2015 kl. 18:47

De har vidst stadig ikke rettet double posting. De er fuldstændig ligeglade med alt teknisk. Brug et kodeord du ikke bruger andre steder, eller brug et vilkårligt ord som jeg gør (vær så velkommen at prøve! - ville grine hvis det lykkedes).

  • more_vert
    • insert_linkKopier link
2
Peter Jensen
3. december 2015 kl. 16:24

Nu hvor alle kan få gratis certifikat, vil Version2 så stadig ikke beskytte sine brugere og deres logins? Eller vil man, trods det er gratis, fortsat s.... på TLS på version2.dk?

  • more_vert
    • insert_linkKopier link