Let's Encrypt åbner beta: Nu kan alle få gratis HTTPS

Let's Encrypt åbner i dag (torsdag) op for betaprogrammet, så alle kan hente og installere certifikater, der giver sikre serverforbindelser.

Måske vil du også gerne vise dine besøgende en grøn hængelås på hjemmeside, der i udgangspunktet indikerer, de er havnet på den rigtige side, og at forbindelsen i øvrigt er sikker? Men du gider ikke bøvlet eller udgifterne, der kan være forbundet med den slags? Så er der eventuelt godt nyt på vej til dig.

Klokken 19 i aften dansk tid er det planen, at der, som tidligere udmeldt, bliver åbnet op for betaprogrammet under Let's Encrypt-initiativet, så alle kan være med. Formålet med projektet er at udbrede kryptering generelt.

Det sker blandt andet ved at gøre det nemt for server-administratorer at få fat i og installere certifikater, som i øvrigt ikke koster noget målt i kroner og øre. Normalt koster certifikater x-antal kroner, alt afhængig af type og leverandør.

»Ingen validerings-mails, ingen kompliceret redigering af konfiguration, ingen udløbne certifikater, der ødelægger dit website. Og naturligvis, da Let's Encrypt leverer certifikater gratis, er der ingen grund til at arrangere betaling,« fremgår det af projektets hjemmeside.

Projektets sponsorer tæller blandt andet Mozilla, Akamai, Cisco og EFF (Electronic Frontier Foundation).

Ud fra beskrivelsen på hjemmesiden virker det umiddelbart relativt lige til at installere Let's Encrypt-certifikatet. Projektet leverer et færdigt script, der kan hentes fra GitHub. Scriptet kan automatisk konfigurere Apache og Nginx-servere. Kommandoen til dette ser således ud:

$ letsencrypt run

Og vil du bare have certifikatet hentet ned i dit nuværende directory og ellers selv stå for opsætningen, kan du køre:

$ letsencrypt -d example.com auth

Certifikaterne fra Let's Encrypt løber ikke længere end 90 dage. Dels for at begrænse skaden ved eventuel kompromittering af nøgler. Den anden begrundelse er ifølge et blogindlæg hos Let's Encrypt, at 90 dages løbetid tvinger server-admins til at automatisere fornyelsesprocessen.

»Hvis vi skal flytte hele Web til HTTPS, så kan vi ikke fortsat forvente, at systemadministratorer manuelt håndterer tilbagetrækninger,« står der i blogindlægget.

Fornyelse af et certifikat ser sådan her ud:

$ letsencrypt renew --cert-path example-cert.pem

Tilbagekaldelse af et specifikt certifikat eller alle certifikater, signeret med en specifik nøgle, foregår sådan her:

$ letsencrypt revoke --cert-path example-cert.pem
 
$ letsencrypt revoke --key-path example-key.pem

Certifikater fra Let's Encrypt skulle fungere med 'all major browsers'. Det vil sige, de ikke brokker sig til brugeren over sikkerheden eller mangel på samme.

V2-bloggere uenige om SSL på alt

Version2-blogger og varm fortaler for SSL-everywhere, Henrik Kramshøj, er ikke inde i detaljerne i Let's Encrypt-initiativet, men han synes umiddelbart, det lyder som en god idé.

»Det er jo vildt spændende, at vi måske kan få udbredt HTTPS og TLS mere generelt. Teknologierne er jo på plads, men for at vi kan bruge dem, skal vi have nogle nøgler og certifikater,« siger Kramshøj.

Han påpeger, at mange Version2-læsere nok har prøvet at lave selv-signerede certifikater, men at det ikke er problemfrit. Browsere stoler ikke på den slags. Og så har andre prøvet at købe certifikater, men det kan være en dyr fornøjelse.

»Her taler vi jo et projekt der, som jeg har forstået det, vil gøre, at alle kan kryptere deres data,« siger Henrik Kramshøj.

Hvorfor er det godt, at der er HTTPS alle steder?

»Det er jo godt, fordi vi ved, data bliver opsamlet og kan misbruges,« siger han og nævner identitetstyveri som eksempel på misbrug.

En anden Version2-blogger, Poul-Henning Kamp, er ikke enig i, at 'jo mere HTTPS, jo bedre'.

Tidligere på året har han i forbindelse med et indlæg offentliggjort på varnish-cache.org om, hvorfor cache-serveren Varnish ikke har indbygget SSL-understøttelse, også argumenteret for, hvorfor allestedsnærværende SSL ikke nødvendigvis er en god idé.

Poul-Henning Kamp peger blandt andet på, at hvis hjemmesiden for en beredskabsstyrelse bliver bestormet af folk, der forsøger at overleve en naturkatastrofe, så kan det være svært at komme igennem, når serveren bruger kapacitet på at forhandle SSL/TLS-forbindelser.

»Men et af de største problemer, jeg har med SSL Everywhere, er, at det giver privacy til de aktører, jeg mener, fortjener det mindst,« skriver han.

I den forbindelse nævner Poul-Henning Kamp, hvordan transnationale selskabers ulovlige tracking af brugere på tværs af sites er blevet afsløret, fordi nogen har været i stand til at se, hvad der foregår inde i en netopkobling.

»Med SSL Everywhere, så får disse aktører meget mere privacy til at invadere alle mennesker med en internetforbindelses privacy, fordi det er meget mere krævende at kigge ind i en SSL-forbindelse frem for en almindelig HTTP-forbindelse.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Baldur Norddahl

og det ser ud til at virke fint. Og i øvrigt hurtigere og meget nemmere end de traditionelle certifikatudbydere.

Uanset PHKs holdning, så kan jeg virkelig ikke få armene ned over at de sætter en kæp i hjulet på den pengemaskine som certifikatudstedelse er.

  • 14
  • 0
Michael Jensen

Det der med at købe certifikater er en dyr fornøjelse er altså lidt let skrevet.

I forhold til at man også skal betale for domæner, webhoteller, ekstra dimser på webhotellerne for at kunne bruge ssl (eller betale for sin egen VPS, eller helt egen server), så er SSL-certifikater altså ikke alverden.

Jeg plejer at købe hos billigssl.dk, hvor det koster ca 84kr/år.
Det er ikke den store udgift i mine øjne.

Men jeg er ikke så teknisk inde i om kvaliteten på sådan et, er lige så godt som et til tusinder af kroner fra Symantec? Kan I andre vurdere det?

  • 1
  • 1
Kristian Klausen

Men jeg er ikke så teknisk inde i om kvaliteten på sådan et, er lige så godt som et til tusinder af kroner fra Symantec? Kan I andre vurdere det?


Hvad jeg kan forstå er den tekniske kvantitet den samme. Den eneste forskel er at certifikatet ved billigssl.dk kun er "domain-validated" hvor den ved Symantec er "extended-validation".

Et link http://webmasters.stackexchange.com/questions/28595/why-is-godaddy-https...

Har også undret mig nogle gange. Med det giver da lidt mening så.

  • 0
  • 0
Jesper Nielsen

Jeg plejer at købe hos billigssl.dk, hvor det koster ca 84kr/år.

GoGetSSL: € 3,75 per år, eller ca. 28 kr. Det er efterhånden blevet overkommeligt.

Jeg har et par certifikater fra GoGetSSL, som løber et par år endnu. Men automatiseringen med Let's Encrypt er meget tillokkende. Må lige se, om jeg kan få det til at virke ordentligt i mit setup (med Virtualmin for bekvemmelighed).

  • 1
  • 0
Nichlas Hummelsberger

Det gratis certifikat du får gennem Let's Encrypt vil være det samme som du betaler 84 kroner for.

Men for 84 kroner dækkes der kun et domæne og et subdomæne, hvor du kan få udstedt et gratis certifikat med mange flere subdomæner fra Let's Encrypt.

..og forestil dig så at du har et par tusind domæner.

  • 2
  • 0
Baldur Norddahl

Hvorfor er du villig til at betale 84 kr per domæne for absolut ingenting? Et SSL certifikat bliver til ved at man kører den rigtige OpenSSL kommando og tager ganske få sekunders CPU tid. Så hvad er det du betaler for? Det er ikke din SSL udbyder der har udviklet de værktøjer som de bruger. De bruger sandsynligvis OpenSSL ligesom alle andre og det er gratis. Det er allerede installeret på din maskine. Det er derfor du kan lave self signed certifikater helt trivielt.

Dit 84 kroners certifikat er et såkaldt domain validated (DV) certifikat. Det betyder at de har tjekket at du har kontrol over domænet og absolut intet andet. Der er ikke noget tjek af om du er den reelle ejer, om der er tale om et kriminelt foretagende, om indholdet på sitet lever op til nogle standarder eller noget af alt det andet, som folk tror en hængelås i URL baren betyder.

Et certifikat fra Let's Encrypt er også et DV certifikat. De har bare automatiseret domænetjekket. Det tjek er at de slår IP adressen fra domænet op og laver en HTTP forespørgsel til denne IP adresse. Her forventer de så at komme i kontakt med den software som du kører på din server. Hvis det går godt, så har du bevist at du kan køre software som root på den server der har IP adressen, som dit domæne peger på.

Det er fuldautomatisk. Det har ikke krævet udvikling af noget millionsoftware. Det er opensource. Det kræver ikke et datacenter fyldt med servere. Det retfærdiggør ikke en pris på hverken 84 kr eller € 3,75 årligt. Den rigtige pris er gratis.

Eftersom at det netop er helt trivielt, så er der naturligvis andre der har gjort det før. Eksempelvis har StartSSL givet DV certifikater væk i mange år. Men StartSSL er stadig en forretning der forsøger at sælge dyrere certifikater, så derfor har de indført deres egne kunstige begrænsninger. StartSSL vil kun udstede et certifikat per domæne per år. Bliver det væk, eksempelvis i et server crash, så skal du betale for at få et nyt. De går også ind og vurdere om dit website opfylder visse betingelser, for ellers skal du betale. Sidst jeg tjekkede, så var der også noget med at 2048 bit RSA certifikater koster penge, dvs. kun certifikater med ringere sikkerhed er gratis.

Og det illustrerer meget godt hvad certifikat forretningen går ud. Hvorfor kan man lave 1024 bit certifikater gratis men 2048 bit koster penge? Forskellen er om der står 1024 eller 2048 på kommandolinien når de kører OpenSSL. Ingen anden forskel. Det har aldrig handlet om en service du køber.

Og lige en sidste ting: Du kan også i meget dyre domme købe et såkaldt Extended Validatet (EV) certifikat. Her skal du indsende kopi af registreringsattest for din virksomhed, de ringer til dig og foretager nogle andre overfladiske tjek. For det modtager du et certifikat, hvor de på OpenSSL kommandolinien har tilføjet et "EV" flag. Når dine brugere går ind på din side med et EV certifikat, så er URL baren grøn. Jeg har aldrig mødt en lægmand der kender til forskellen på en grøn eller hvid URL bar. Men hva fan, bare kunderne betaler, så er det også lige meget. Et EV certifikat beviser alligevel absolut ingenting. De har ikke tjekket om dit site er rent fup og fidus. De har ikke tjekket om du har domme for bedrageri. At få et CVR nummer koster 1 kr i Danmark og 1 GBP i England. De har tjekket om du har brugt denne krone og ikke ret meget andet.

  • 5
  • 0
Leif Neland

Hvorfor ikke 100 dage?

Så kan man forny f.ex. den 12. i måned 1,4,7,10

De 90 dage gør at man skal rykke 6 dage tilbage om året.

Det er ligesom med heste, der skal til stævner; de skal vaccineres med 365 dages mellemrum. Så for at ramme udenom weekender, skal man vaccinere tidligere og tidligere, i stedet for f.ex. 1. uge i december. Noget rod.

  • 0
  • 0
Søren Fuglede Jørgensen

Der er typisk ret snævre begrænsinger på de firma-drevne gratis certifikater man kunne få fra f.eks. StartTLS - f.eks. i antallet af domæner til en webserver (SNI).

Ved StartCom har man kunnet få signeret certifikater for lige så mange underdomæner, som man har lyst til, præcis som det er tilfældet ved Let's Encrypt.

Til gengæld har de tilladt sig at tage penge for at udstede revocations, så at kalde det gratis er nok under alle omstændigheder at presse den.

  • 2
  • 0
Robert Voje

Jeg vil med dette bare tilføje min erfaring.
Jeg har lige nu en rimelig clear firewall opsætning pga. foregående crash og blank opsætning, så jeg tog chancen, og installerede Let's Encrypt klient fra den anbefalede github source.
Det vil jeg aldrig mere gøre, eftersom denne installation medførte en massiv trafik til en ip adresse i tjekkiet (94.23.174.164), som jeg så blokkerede, men allikevel.. den er listet som en AHA adresse, så jeg går ud i fra at mit system er forsøgt hacket.
Trafikken udgik fra en af mine andre servere så snart jeg prøvede at aktivere en konto på min lokale maskine, så den er blokeret her lige nu.

  • 2
  • 3
Baldur Norddahl

Nej du ville næppe være den første til at opdage det, hvis der var noget suspekt her. Den downloader bare de nødvendige biblioteker automatisk. Hvis du undersøger det nærmere, så finder du formodentlig frem til at nævnte IP-adresse er et download mirror, hvorfra man kan hente opdateringer til dit operativsystem.

  • 4
  • 0
Kenn Nielsen

Jeg synes - grundlæggende - det er en rigtig god idé.

Men da jeg så ser at konceptet går ud på:

"Gratis certifikater ad libitum, du skal bare lige køre vores program som root"

Der går jeg lige over og klapper kæphesten ....

K

  • 0
  • 0
Kenn Nielsen
  • 1
  • 1
Robert Voje

Jeg har nu gennemgået mine logs, og kan ikke 100% sætte dette angreb i forbindelse med Let's Encrypt, men det var dog meget mistænkelig.

Jeg har dog testet nogle gange på et par virtuelle maskiner, men har ikke klaret at genskabe "fejlen".

Det er muligt, at det ved en tilfældighed kom et angreb samtidig som jeg testede, eller at der var en bug i klienten.
Har nu testet flere gange ved at angive test authenticator, og det ser ud til at fungere.

Vær dog opmærksom på, at om I vil teste, så er der en begrænsning på 5 certifikater pr. 7 dage, så derfor anbefaler jeg at benytte deres test staging server. Den udsteder et ugyldig certifikat, men har ingen begrænsning på antal certifikater.

Test ved at lægge til
--server https://acme-staging.api.letsencrypt.org/directory
som parameter til klienten.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize