SSL/TLS certificaten van 'Let's Encrypt'

Vragen waar je graag antwoord op wilt voordat je op aanschaf overgaat.
Bole
Berichten: 196
Lid geworden op: 01 sep 2008, 12:43

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Bole » 20 feb 2017, 17:45

Joris de Leeuw schreef:Hallo Bole,

Graag beantwoord ik nog specifiek je vraag over het vernieuwen.
let's Encrypt adviseert zelf na 60 dagen te vernieuwen (=30 dagen voor verloopdatum), maar die termijn is mijn certificaat al voorbij.
Binnen onze implementatie hanteren we ook het automatisch verlengen na 60 dagen. Je Let's Encrypt certificaat stamt echter nog uit een vorige test. Wij zullen binnenkort al deze certificaten overzetten naar de huidige test. Je hoeft dus zelf niets te doen en wij houden in de gaten of Let's Encrypt certificaten binnen onze test verlopen.
Thanks Joris, dan klopt mijn voorgevoel dat dit niet 'normaal' is maar ook dat jullie er bovenop zitten :wink:

Lizzy Belle
Berichten: 10
Lid geworden op: 22 nov 2015, 05:46

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Lizzy Belle » 22 feb 2017, 12:15

Goed hier te lezen dat jullie ook Let's Encrypt gaan ondersteunen! Ik heb mijn sites nu elders staan omdat pakweg 4 x 30 euro voor SSL voor een paar kleine blogjes echt een te groot prijsverschil werd.

Als jullie eenmaal Let's Encrypt ondersteunen zal ik mijn verhuizing heroverwegen :)

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1131
Lid geworden op: 13 feb 2016, 20:15

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Joris de Leeuw » 23 feb 2017, 11:31

Hallo Lizzy Belle,

Fijn om te lezen dat je overweegt je websites weer bij Antagonist onder te brengen.

Mocht je een nieuw hostingpakket hebben bij Antagonist en ook al met Let's Encrypt aan de slag willen gaan, dan kan je alsnog aanmelden als tester door een e-mail te sturen naar support@antagonist.nl. Ook andere vragen zijn natuurlijk welkom.
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

Rob F
Berichten: 34
Lid geworden op: 22 feb 2008, 16:22

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Rob F » 24 feb 2017, 11:49

Ik vraag me een beetje af wat de plannen zijn met de SSL certificaten. Op dit moment biedt Antagonist certificaten aan waarvoor je moet betalen. Komen daar straks de gratis certificaten van Let's Encrypt voor in de plaats? Of ernaast? Wat is dan het verschil?
Als reseller lijkt het me fijn om op de domeinen gratis Let's Encrypt te kunnen installeren, dan hoef ik de prijzen niet te verhogen. Voor een site met een contactformuliertje en een admin-login lijkt me een basic certificaat volstaan.
Op dit moment ga ik voor andere accounts van klanten nog geen betaald certificaat aanschaffen, want dat lijkt me raar als er binnenkort een gratis variant zou komen?

knireis
Berichten: 70
Lid geworden op: 01 sep 2009, 13:44

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door knireis » 24 feb 2017, 12:37

werkt de enable-antagonist-letsencrypt procedure nog?
Ik heb uurtje geleden deze file aangemaakt en in eerdere cases was binnen een paar minuten een certificaat aangemaakt, maar nu nog niet....

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1131
Lid geworden op: 13 feb 2016, 20:15

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Joris de Leeuw » 27 feb 2017, 13:30

Hallo iedereen,

Graag beantwoord ik nog de aanvullende vragen!
knireis schreef:werkt de enable-antagonist-letsencrypt procedure nog?
Ja, deze procedure werkt inderdaad nog. Het kan soms iets langer duren, maar over het algemeen niet meer dan een paar uur.

Mocht na een paar uur het Let's Encrypt certificaat nog steeds niet werken stuur dan gerust een reactie naar support@antagonist.nl. We zijn altijd op zoek naar input, ook als er iets mis gaat.
Rob F schreef:Ik vraag me een beetje af wat de plannen zijn met de SSL certificaten. Op dit moment biedt Antagonist certificaten aan waarvoor je moet betalen. Komen daar straks de gratis certificaten van Let's Encrypt voor in de plaats? Of ernaast? Wat is dan het verschil?
Op dit moment wordt vooral de technische werking van Let's Encrypt binnen ons platform getest en kunnen jullie als testers al een voorproefje krijgen. We testen onze implementatie hierbij extra goed zodat Let's Encrypt zo probleemloos mogelijk gaat werken.

Over de verdere invulling hoe de implementatie uiteindelijk bij al onze klanten beschikbaar gaat komen zullen we binnenkort meer bekend maken. :)
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

Bole
Berichten: 196
Lid geworden op: 01 sep 2008, 12:43

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Bole » 03 mar 2017, 18:46

Bole schreef:
Joris de Leeuw schreef:Hallo Bole,

Graag beantwoord ik nog specifiek je vraag over het vernieuwen.
let's Encrypt adviseert zelf na 60 dagen te vernieuwen (=30 dagen voor verloopdatum), maar die termijn is mijn certificaat al voorbij.
Binnen onze implementatie hanteren we ook het automatisch verlengen na 60 dagen. Je Let's Encrypt certificaat stamt echter nog uit een vorige test. Wij zullen binnenkort al deze certificaten overzetten naar de huidige test. Je hoeft dus zelf niets te doen en wij houden in de gaten of Let's Encrypt certificaten binnen onze test verlopen.
Thanks Joris, dan klopt mijn voorgevoel dat dit niet 'normaal' is maar ook dat jullie er bovenop zitten :wink:
En vandaag is het certificaat vernieuwd. Thanks!

Lizzy Belle
Berichten: 10
Lid geworden op: 22 nov 2015, 05:46

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Lizzy Belle » 04 mar 2017, 11:54

Joris de Leeuw schreef:Hallo Lizzy Belle,

Fijn om te lezen dat je overweegt je websites weer bij Antagonist onder te brengen.

Mocht je een nieuw hostingpakket hebben bij Antagonist en ook al met Let's Encrypt aan de slag willen gaan, dan kan je alsnog aanmelden als tester door een e-mail te sturen naar support@antagonist.nl. Ook andere vragen zijn natuurlijk welkom.
Sorry, late reactie, maar ik heb nog maanden te gaan op mijn huidige hosting dus dat wordt even geduld nog :)

Hoewel ik daar erg tevreden ben en dankzij het affiliate programma zelf inmiddels bijna gratis mijn sites kan hosten weet ik eerlijk gezegd niet of ik nog wel weg wil. Ook na al die jaren Antagonist went het inmiddels elders ook al lekker :)

Maar zoals je ziet, ik houd het hier in de gaten, altijd goed om te weten wat hier de laatste ontwikkelingen en mogelijkheden zijn.

ASS-Ware
Berichten: 2177
Lid geworden op: 09 mar 2007, 03:24
Contacteer:

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door ASS-Ware » 20 mar 2017, 14:14

Ik merkte vanmorgen iets vreemds.
In mijn resellerpakket heb ik diverse klanten met websites en allen zijn ze voorzien van een SSL certificaat van Let's Encrypt.
Het gekke is alleen dat de websites vanaf mijn Ziggo aansluiting thuis niet bereikbaar waren op het https adres en wel op het http adres.
Dit had ik op mijn Windows 10 PC, mijn Windows 7 laptop en op mijn iPhone met iOS 10.

Ging ik met mijn iPhone over 3G, dan waren die websites wel bereikbaar op https.
Ging ik checken op de PC van een klant van me, dan waren die websites ook bereikbaar op https.

Nu is het na 15:00 uur, ik was bezig vanmorgen, en nu werkt het wel weer prima, alle websites doen het weer op http en https.

Wtf?
Wat is hier nu aan de hand geweest?
Bye,
Arjan.

Despite the cost of living, have you noticed how it remains so popular ?

ASS-Ware
Berichten: 2177
Lid geworden op: 09 mar 2007, 03:24
Contacteer:

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door ASS-Ware » 20 mar 2017, 14:18

ASS-Ware schreef:Ik merkte vanmorgen iets vreemds.
In mijn resellerpakket heb ik diverse klanten met websites en allen zijn ze voorzien van een SSL certificaat van Let's Encrypt.
Het gekke is alleen dat de websites vanaf mijn Ziggo aansluiting thuis niet bereikbaar waren op het https adres en wel op het http adres.
Dit had ik op mijn Windows 10 PC, mijn Windows 7 laptop en op mijn iPhone met iOS 10.

Ging ik met mijn iPhone over 3G, dan waren die websites wel bereikbaar op https.
Ging ik checken op de PC van een klant van me, dan waren die websites ook bereikbaar op https.

Nu is het na 15:00 uur, ik was bezig vanmorgen, en nu werkt het wel weer prima, alle websites doen het weer op http en https.

Wtf?
Wat is hier nu aan de hand geweest?
Stond los van SSL, Antagonist heeft het al gevonden en gefixt.
Bye,
Arjan.

Despite the cost of living, have you noticed how it remains so popular ?

ASS-Ware
Berichten: 2177
Lid geworden op: 09 mar 2007, 03:24
Contacteer:

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door ASS-Ware » 03 apr 2017, 21:12

Als je een certificaat koopt, dan moet je bewijzen dat je de betreffende domeinnaam bezit, bijvoorbeeld via een mail naar postmaster@domein.ext.
De verkoper weet dan dat jij de domeinnaam in bezit hebt en dus het certificaat mag hebben.

Bij Let's Encrypt is dat niet zo.

Iemand die DNS kan beïnvloeden, kan een Let's Encrypt certificaat aanvragen voor een domeinnaam die hij niet bezit.
Maar iemand die DNS kan beïnvloeden, kan er ook voor zorgen dat een verificatie email op postmaster@domein.ext elders terecht komt.

Wie kan mij uitleggen waarom Let's Encrypt certificaten echt te vertrouwen zijn, of juist waarom niet?
Bye,
Arjan.

Despite the cost of living, have you noticed how it remains so popular ?

Gebruikersavatar
Daniël Langela
Antagonist staff
Berichten: 35
Lid geworden op: 07 feb 2017, 09:47

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Daniël Langela » 04 apr 2017, 08:19

Beste Arjan,

Let's Encrypt certificaten zijn inderdaad niet bedoeld om te verifiëren dat de eigenaar van het certificaat daadwerkelijk de eigenaar is van het domein.

Deze gratis certificaten dienen enkel het doel om de verbinding tussen de server en de gebruiker te versleutelen, zodat deze niet door derden kan worden afgelezen, zoals dat wel het geval is met een onbeveiligde verbinding.

Hiermee voldoe je met een Let's Encrypt certificaat aan de minimale vereisten voor encryptie.

Wanneer je een certificaat wilt om vertrouwen te scheppen waarbij extra verificatie plaatsvindt kun je een certificaat aanschaffen via:
https://www.antagonist.nl/help/nl/ssl/order
Met vriendelijke groet,

Daniël Langela
Antagonist staff

ASS-Ware
Berichten: 2177
Lid geworden op: 09 mar 2007, 03:24
Contacteer:

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door ASS-Ware » 04 apr 2017, 15:28

Daniël Langela schreef:Beste Arjan,

Let's Encrypt certificaten zijn inderdaad niet bedoeld om te verifiëren dat de eigenaar van het certificaat daadwerkelijk de eigenaar is van het domein.

Deze gratis certificaten dienen enkel het doel om de verbinding tussen de server en de gebruiker te versleutelen, zodat deze niet door derden kan worden afgelezen, zoals dat wel het geval is met een onbeveiligde verbinding.

Hiermee voldoe je met een Let's Encrypt certificaat aan de minimale vereisten voor encryptie.

Wanneer je een certificaat wilt om vertrouwen te scheppen waarbij extra verificatie plaatsvindt kun je een certificaat aanschaffen via:
https://www.antagonist.nl/help/nl/ssl/order
Ik begrijp wat je bedoelt, maar ik denk dat je daarmee ook je doel niet haalt.

Bewijzen dat je bent wie je zegt dat je bent is belangrijk op het moment dat iemand een MiM attack uit kan voeren.
Bijvoorbeeld door DNS spoofing.
Als iemand dat kan, dan kan hij/zij ook een Let's Encrypt certificaat aanvragen voor jouw domeinnaam en wordt jouw gekochte certificaat niet gebruikt.
Dan kun je met je eigen gekochte certificaat weinig extra's toevoegen.

Tenzij er extra controle's plaats hebben gevonden en je een groen balkje krijgt en je bezoeker weet dat hij daar op moet letten, DAN is een gekocht certificaat pas echt nuttig.

Please correct me if I'm wrong.
Bye,
Arjan.

Despite the cost of living, have you noticed how it remains so popular ?

J0N R
Berichten: 1
Lid geworden op: 22 mar 2017, 13:39

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door J0N R » 04 apr 2017, 20:59

Hallo,

Ik heb een paar weken geleden ook deze test aangevraagd, en het is me zonder problemen gelukt. Het was een beetje uitzoeken waar alle 'mixed content' zich bevond maar de documentatie die antagonist op hun support website heeft stelt veel oplossingen voor waarmee je goed uit de voeten kunt. Missie geslaagd!

Het enige waar mij en onze website ontwikkelaar niet echt kunnen achter komen is waarom onze wordpress website bij het benaderen van het wp-dashboard het opnieuw vraagt om de gebruikersnaam en wachtwoord van wordpress. Wij hebben een login-systeem op onze front-end (mede voor leden die de wp backend niet hoeven te zien) dat gebruikt maakt van de wordpress users. Nadat de admins zich hier inloggen, en daarna naar het dashboard gaan, wordt er dus opnieuw om een wachtwoord gevraagd.

Verder werkt alles nu goed!

groeten,

Jon
symfonia.nl

Gebruikersavatar
Sander Hoentjen
Antagonist staff
Berichten: 7
Lid geworden op: 17 feb 2015, 15:55

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Sander Hoentjen » 05 apr 2017, 07:07

ASS-Ware schreef: Ik begrijp wat je bedoelt, maar ik denk dat je daarmee ook je doel niet haalt.

Bewijzen dat je bent wie je zegt dat je bent is belangrijk op het moment dat iemand een MiM attack uit kan voeren.
Bijvoorbeeld door DNS spoofing.
Als iemand dat kan, dan kan hij/zij ook een Let's Encrypt certificaat aanvragen voor jouw domeinnaam en wordt jouw gekochte certificaat niet gebruikt.
Dan kun je met je eigen gekochte certificaat weinig extra's toevoegen.

Tenzij er extra controle's plaats hebben gevonden en je een groen balkje krijgt en je bezoeker weet dat hij daar op moet letten, DAN is een gekocht certificaat pas echt nuttig.

Please correct me if I'm wrong.
Je hebt gelijk. Er zijn echter wel maatregelen die je kunt nemen, bijvoorbeeld HPKP. Hiermee geef je in je HTTP(s) response een hash mee van een certificaat uit de chain. Een browser onthoudt dit en zal de volgende keer de site alleen vertrouwen als hetzelfde certificaat in de chain zit. Hiermee kun je dus "vastpinnen" op een bepaalde CA. Dit werkt natuurlijk niet als de bezoeker voor de eerste keer je site bezoekt.
HPKP wil je normaal gesproken combineren met HSTS zodat een MitM ook niet werkt door te downgraden naar plain HTTP. Ook voor HSTS geldt dat dit alleen werkt wanneer een browser eerder je site bezocht heeft.

Daarnaast bestaan er tegenwoordig CAA-records. Volgens de specificatie zet je hier een CA in en dat is dan de enige CA die voor dat domein een certificaat mag aanvragen. Let's Encrypt houdt zich hier aan, maar verder zijn er nog weinig CA's die dit hebben geïmplementeerd. Daarnaast is dit natuurlijk niet effectief als iemand de volledige controle over jouw DNS-zone heeft weten te bemachtigen.

Als laatste nog even de opmerking dat alle domeinen bij Antagonist zijn beveiligd met DNSSec. Dit maakt het spoofen van DNS een heel stuk lastiger 8) .
Met vriendelijke groet,

Sander Hoentjen
Antagonist staff

Plaats reactie