Let's Encrypt, een gratis, geautomatiseerde en open certificeringsinstantie (CA) van de non-profit Internet Security Research Group (ISRG), heeft gezegd dat het heeft een miljard certificaten uitgegeven sinds de lancering in 2015.

De BA heeft haar uitgegeven eerste certificaat in september 2015, alvorens uiteindelijk te bereiken 100 miljoen in juni 2017. Sinds eind vorig jaar heeft Let's Encrypt elke dag minstens 1.2 miljoen certificaten uitgegeven.

De ontwikkeling komt omdat meer dan 80 procent van de webpagina's is begonnen te gebruiken HTTPS wereldwijd en 91 procent alleen in de VS.

HTTPS, het standaardmiddel voor veilige communicatie op internet, heeft drie voordelen: authenticatie, integriteit en encryptie. Hiermee kunnen HTTP-verzoeken worden verzonden via een beveiligd gecodeerd kanaal, waardoor gebruikers worden beschermd tegen een reeks kwaadaardige activiteiten, waaronder vervalsing van sites en manipulatie van inhoud.

"Sinds 2017 beginnen browsers HTTPS te gebruiken voor meer functies en ze hebben de manier waarop ze met hun gebruikers communiceren over de risico's van het niet gebruiken van HTTPS aanzienlijk verbeterd", aldus het bedrijf. “Wanneer websites hun gebruikers in gevaar brengen door geen HTTPS te gebruiken, tonen grote browsers nu sterkere waarschuwingen. Veel sites hebben hierop gereageerd met HTTPS. '

Het ACME-protocol (Automatic Certificate Management Environment) van Let's Encrypt is gelanceerd met het doel de versleutelingssnelheid van internet te versnellen en de kosten voor het inschakelen van HTTPS te verlagen. SSL-certificaten instellen en uitgeven dat kan zo zijn vernieuwd en vervangen zonder handmatige tussenkomst van webmasters.

Electronic Frontier Foundation's Certbot is zo'n populaire open-source, gratis te gebruiken ACME-client die HTTPS op websites mogelijk maakt door automatisch Let's Encrypt-certificaten te implementeren - die zijn alleen geldig voor 90 dagen - en het beheren van vernieuwingen.

Maar met slechte acteurs die Let's Encrypt HTTPS-certificaten misbruiken kwaadaardig verkeer maskeren en stuur nietsvermoedende gebruikers naar kwaadaardige sites, heeft het bedrijf maatregelen genomen om "ervoor te zorgen dat een certificaataanvrager daadwerkelijk het domein controleert waarvoor hij een certificaat wil."

Apple zet een belangrijke stap voorwaarts

Maar dat is niet alles. Apple is erin geslaagd te doen wat de meeste CA's aarzelden om al die tijd te bereiken: de maximale geldigheid van uitgegeven certificaten verkorten tot één jaar.

De technologiegigant heeft onlangs aangekondigd dat Safari met ingang van 1 september 2020 nieuwe HTTPS-certificaten zal afwijzen die meer dan 13 maanden (of 398 dagen) na hun aanmaakdatum verlopen, waardoor de maximale certificaatlevensduur vanaf 825 dagen.

Dit volgt op een mislukte stemming afgelopen september gehouden door CA / Browser Forum om de levensduur van certificaten te verkorten. Hoewel Let's Encrypt, certSIGN, Apple, Cisco, Google, Microsoft, Mozilla en Opera voor de verhuizing stemden, verwierp bijna tweederde van de deelnemende CA's het idee.

De actie van Apple om de levensduur van HTTPS-certificaten te verkorten, betekent dat CA's als Let's Encrypt en ACME-clients zoals Certbot in de toekomst alleen maar waardevoller zullen worden, omdat het de beheerders van de website zou dwingen een certificaat te gebruiken dat voor 1 jaar of minder is afgegeven.

Hoe verhogen kortstondige certificaten de beveiliging?

Het beperken van de levensduur van certificaten verbetert de beveiliging van websites, niet in de laatste plaats omdat het de kans verkleint dat criminelen verwaarloosde certificaten stelen om phishing- en malware-aanvallen uit te voeren.

Ten tweede controleren mobiele versies van Chrome en Firefox niet proactief op de certificaatstatus, wat impliceert dat een website waarvan het certificaat is ingetrokken nog steeds wordt geladen zonder enige waarschuwing aan de gebruiker.

Dit is voor prestatie redenen omdat browsers uiteindelijk certificaatintrekkingslijsten (CRL's) moeten downloaden die behoorlijk groot kunnen zijn, wat het laden van pagina's beïnvloedt.

In plaats daarvan gebruikt Chrome CRL-sets om "certificaten te blokkeren in noodsituaties", terwijl Mozilla hiermee heeft geëxperimenteerd CRLite in zijn nachtelijke bouwwerken.

Afgezien van deze technieken heeft de Firefox-maker ook technische specificaties aangekondigd voor een nieuw cryptografisch protocol genaamd "Gedelegeerde inloggegevens voor TLS”, waarmee “bedrijven gedeeltelijke controle kunnen krijgen over het proces van het ondertekenen van nieuwe certificaten voor zichzelf – met een geldigheidsperiode van niet langer dan 7 dagen en zonder volledig te vertrouwen op de certificeringsinstantie.”

Het spreekt voor zich dat het besluit van Apple om de levensduur van certificaten te verkorten een belangrijke stap voorwaarts is op het gebied van beveiliging. En als het proactief helpt voorkomen dat gebruikers verbinding maken met gecompromitteerde websites, kan dat alleen maar goed zijn.

Bron: http://feedproxy.google.com/~r/TheHackersNews/~3/LOvRZY7pcIQ/lets-encrypt-ssl-certificate.html