SSL/TLS certificaten van 'Let's Encrypt'

[warden]

Ik ben benieuwd of Antagonist al plannen heeft hoe zij om willen gaan met (mogelijk toekomstige) klanten die SSL/TLS certificaten van 'Let's Encrypt' willen gaan gebruiken zodra die medio dit jaar beschikbaar komen.

NB 'Let's Encrypt' ( https://letsencrypt.org/ ) is een initiatief van de Electronic Frontier Foundation (EFF) en anderen als Mozilla, Cisco en Akamai Technologies. Het doel is om de beveiliging van data verkeer te vergroten door het uitgeven van gratis en eenvoudig te installeren certificaten. Op die manier kan elke website snel, eenvoudig en zonder extra kosten via https beveiligd worden.

Alvast bedankt!
Ron

[Bart Mekkes]

Hallo Ron,

Het is altijd al mogelijk om een eigen, extern afgenomen SSL certificaat te installeren. Zie hiervoor bijvoorbeeld de volgende handleiding:
https://www.antagonist.nl/help/nl/webho ... _toevoegen

Wat het installeren van externe certificaten betreft; dit is (nu ook al) geen enkel probleem.

De vraag of deze certificaten ook algemeen geaccepteerd en vertrouwd worden zal voornamelijk van de browser-ontwikkelaars afhankelijk zijn. Je kan immers ieder geldig SSL certificaat installeren, maar of een bezoeker op de website een groen slotje of een beveiligingswaarschuwing krijgt, is onder andere afhankelijk van of de browser dit certificaat (en diens uitgevende partij) vertrouwt.

[warden]

Dag Bart,

Dank voor je uitleg.

Goed om te lezen dat je zelf een SSL certificaat kunt installeren via de procedure die je beschrijft. De clou bij Let's Encrypt is nu juist dat het installeren van een certificaat d.w.z. het gehele proces van aanvragen, validatie, maken en installeren volledig geautomatiseerd zal gebeuren. Op die manier wordt het zo eenvoudig mogelijk gemaakt.

Een vereiste is wel dat de hosting provider over de software beschikt die dat proces mogelijk maakt. Dat staat beschreven onder https://letsencrypt.org/howitworks/.

$ sudo apt-get install lets-encrypt

volstaat om de software 'lets-encrypt' te installeren.

Mijn vraag is dus eigenlijk zijn jullie van plan om 'lets-encrypt' te installeren en het gebruik ervan aan te bieden aan klanten zodat zij zelf, nog eenvoudiger dan nu al, een DV SSL certificaat kunnen installeren.

Groeten,
Ron

[Bart Mekkes]

Hallo Ron,

Ik zie dat dit inderdaad een ander proces is dan gebruikelijk voor de aanvraag en installatie van een extern SSL certificaat. Voor nu zijn er nog geen plannen om deze methode te gaan ondersteunen wanneer deze gelanceerd is, maar het is inderdaad iets om eventueel in de gaten te houden. Wellicht dat dit in de toekomst interessant wordt.

[maurice118]

Zijn er inmiddels al plannen om dit mogelijk te maken? Nu alle grote browsers de certificaten ondersteunen. https://letsencrypt.org/2015/10/19/lets ... usted.html

Alvast bedankt voor Uw reactie.

Maurice

[grizzler]

Dit zou ik ook wel graag willen weten. Kan iemand van Antagonist hier iets over zeggen?

[_Martin_]

Volgens een andere medewerker van Antagonist (Wiebe) staat dit al wel "op de radar".

Zie een ander topic: https://forum.antagonist.nl/viewtopic.p ... 227#p73781

Dag,

Dit staat inderdaad op onze radar. We houden de ontwikkeling scherp in de gaten. Onze SSL- leverancier heeft aangegeven dat ze aan het kijken zijn of ze dit kunnen aanbieden. Wanneer dit het geval is, kunnen wij dit ook aanbieden.

Of het ook mogelijk is om extern straks het certificaat aan te genereren en toe te voegen op onze servers is nog niet bekend. Dit omdat de encryptie welke gebruikt wordt afwijkt wordt van een reguliere encryptie. Ook dit houden we uiteraard goed in de gaten.

[Ubuntu4life]

Zeer welkome functie!

[bertil]

Ik zou deze functie ook graag zien!

[theeditcenter]

Het is natuurlijk de 'buzz' van het moment 'Let's Encrypt' om dat het een publieke beta is geworden, maar ik denk zeker dat Antagonist er goed aan doet dit op korte termijn te implementeren voor de klanten. Voor mij zou het een reden kunnen zijn om over te stappen. Gelukkig zijn er mensen bezig met plugins voor DirectAdmin. Tot die tijd kan het handmatig, maar dat lijkt mij te omslachtig. Is er een ETA vanuit Antagonist Q1/2 2016?

https://raymii.org/s/articles/Lets_Encr ... admin.html

[donool]

Dit zou een mooie toevoeging zijn! Handmatig installeren van Lets Encrypt certificaten is nogal omslachtig!

[seb]

Is het mogelijk om via FTP bij de SSL key/cert te komen? Als dat zo zou zijn is het enigszins te automatiseren. Zelf heb ik het niet kunnen vinden... Ik ben bang dat het alleen maar via DirectAdmin kan.

[BianCionaa]

Nee, via FTP kun je daar niet bij komen dus alleen via DirectAdmin...

[Arjen]

Nee, via FTP kun je daar niet bij komen dus alleen via DirectAdmin...

Maar voor DirectAdmin hebben we gelukkig een API waarmee je ook de SSL certificaten kan beheren:

SSL Certificates
CMD_API_SSL
domain=domain.com
returns:
ssl_on=yes|no (if the domain has ssl enabled.)
server=yes|no (if the cert being used is the server cert, or a pasted one)
certificate=the whole cert, if it exists for the user
key=the whole key, if it exists for the user.

CMD_API_SSL
method: POST
domain=domain.com
action=save
type=server|create|paste

type=create:
also include:
request=yes|no (to make a request, else self signed cert)
country, province, city, company, division, name=www.domain.com, email=bob@domain.com, keysize=2048
if request=yes, it returns:
request=the certificate request.

type=paste:
also include:
certificate=cert and key. add n between them, and at the end.

CMD_SSL
view the cacert and setting for it.
domain=domain.com
view=cacert
returns:
enabled=yes|no
cacert=the ca root cert, should it exist yet.

CMD_SSL
set the cacert and settings.
GET or POST
domain=domain.com
action=save
type=cacert
active=yes (dont' pass 'active' at all, for 'no')
cacert=the ca certificate

Je zou dus een scriptje moeten kunnen maken op je eigen computer dat Let's Encrypt met de --certonly manual optie aanroept.
Via FTP plaatst je de benodigde bestanden op je website, waarna je van Let's Encrypt de certificaten krijgt.
Deze koppel je vervolgens via de DirectAdmin API aan je website.

Om je DirectAdmin wachtwoord te beschermen kun je voor de API toegang een aparte loginkey maken die alleen bij de SSL certificaten kan.


In versie 1.492 van DirectAdmin zal Let's Encrypt trouwens rechtstreeks ondersteund worden: http://www.directadmin.com/features.php?id=1828
Het is alleen nog niet bekend wanneer die uit komt.
Ik zou dus niet al te veel werk steken in het automatisch aanvragen, installeren en verlengen van je Let's Encrypt certificaten. Tenzij het om een groot aantal websites gaat.

[donool]

Als DirectAdmin dat zometeen ingebouwd heeft, hoop ik toch zeker dat het door Antagonist ook ingeschakeld wordt

Verder zou het met die API ook wel kunnen; maar eens uitzoeken dit weekend!