SSL/TLS certificaten van 'Let's Encrypt'

Vragen waar je graag antwoord op wilt voordat je op aanschaf overgaat.
ASS-Ware
Berichten: 2177
Lid geworden op: 09 mar 2007, 03:24
Contacteer:

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door ASS-Ware » 05 apr 2017, 07:19

Sander Hoentjen schreef:
ASS-Ware schreef: Ik begrijp wat je bedoelt, maar ik denk dat je daarmee ook je doel niet haalt.

Bewijzen dat je bent wie je zegt dat je bent is belangrijk op het moment dat iemand een MiM attack uit kan voeren.
Bijvoorbeeld door DNS spoofing.
Als iemand dat kan, dan kan hij/zij ook een Let's Encrypt certificaat aanvragen voor jouw domeinnaam en wordt jouw gekochte certificaat niet gebruikt.
Dan kun je met je eigen gekochte certificaat weinig extra's toevoegen.

Tenzij er extra controle's plaats hebben gevonden en je een groen balkje krijgt en je bezoeker weet dat hij daar op moet letten, DAN is een gekocht certificaat pas echt nuttig.

Please correct me if I'm wrong.
Je hebt gelijk. Er zijn echter wel maatregelen die je kunt nemen, bijvoorbeeld HPKP. Hiermee geef je in je HTTP(s) response een hash mee van een certificaat uit de chain. Een browser onthoudt dit en zal de volgende keer de site alleen vertrouwen als hetzelfde certificaat in de chain zit. Hiermee kun je dus "vastpinnen" op een bepaalde CA. Dit werkt natuurlijk niet als de bezoeker voor de eerste keer je site bezoekt.
HPKP wil je normaal gesproken combineren met HSTS zodat een MitM ook niet werkt door te downgraden naar plain HTTP. Ook voor HSTS geldt dat dit alleen werkt wanneer een browser eerder je site bezocht heeft.

Daarnaast bestaan er tegenwoordig CAA-records. Volgens de specificatie zet je hier een CA in en dat is dan de enige CA die voor dat domein een certificaat mag aanvragen. Let's Encrypt houdt zich hier aan, maar verder zijn er nog weinig CA's die dit hebben geïmplementeerd. Daarnaast is dit natuurlijk niet effectief als iemand de volledige controle over jouw DNS-zone heeft weten te bemachtigen.

Als laatste nog even de opmerking dat alle domeinen bij Antagonist zijn beveiligd met DNSSec. Dit maakt het spoofen van DNS een heel stuk lastiger 8) .
Die vind ik spannend ...
Geldt dat alleen voor domeinnamen die je via Antagonist aanschaft, of ook voor domeinnamen die je elders aanschaft en waarvan je de nameservers op die van Antagonist hebt gezet?
Bye,
Arjan.

Despite the cost of living, have you noticed how it remains so popular ?

Gebruikersavatar
Sander Hoentjen
Antagonist staff
Berichten: 7
Lid geworden op: 17 feb 2015, 15:55

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Sander Hoentjen » 05 apr 2017, 07:44

ASS-Ware schreef:
Sander Hoentjen schreef: Als laatste nog even de opmerking dat alle domeinen bij Antagonist zijn beveiligd met DNSSec. Dit maakt het spoofen van DNS een heel stuk lastiger 8) .
Die vind ik spannend ...
Geldt dat alleen voor domeinnamen die je via Antagonist aanschaft, of ook voor domeinnamen die je elders aanschaft en waarvan je de nameservers op die van Antagonist hebt gezet?
Dat geldt alleen voor domeinen die je via Antagonist aanschaft. Om DNSSec te laten werken moet namelijk de public key naar de registry gestuurd worden en dat kunnen we alleen doen als wij de registrar zijn.
Met vriendelijke groet,

Sander Hoentjen
Antagonist staff

ASS-Ware
Berichten: 2177
Lid geworden op: 09 mar 2007, 03:24
Contacteer:

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door ASS-Ware » 05 apr 2017, 07:49

Thanks.
Bye,
Arjan.

Despite the cost of living, have you noticed how it remains so popular ?

Bole
Berichten: 196
Lid geworden op: 01 sep 2008, 12:43

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Bole » 07 apr 2017, 00:11

Sander Hoentjen schreef: Daarnaast bestaan er tegenwoordig CAA-records. Volgens de specificatie zet je hier een CA in en dat is dan de enige CA die voor dat domein een certificaat mag aanvragen. Let's Encrypt houdt zich hier aan, maar verder zijn er nog weinig CA's die dit hebben geïmplementeerd.
Interessant. Hoe kun je dit bij Antagonist instellen? Ik kan namelijk in DirectAdmin geen DNS record 'type' CAA vinden, enkel A/NS/MX/CNAME/PTR/TXT/AAAA/SRV.

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1131
Lid geworden op: 13 feb 2016, 20:15

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Joris de Leeuw » 10 apr 2017, 15:05

De CAA-records worden vanuit DirectAdmin nog niet ondersteund. We zijn hierbij dus afhankelijk van de ontwikkelingen van DirectAdmin en welke records ze in de interface toevoegen. Natuurlijk houden we de ontwikkelingen van DirectAdmin nauwlettend in de gaten en doen we dit soort suggesties ook naar de makers toe.

Natuurlijk zorgt DNSSEC er bij Antagonist dus wel voor dat DNS spoofing een flink stuk lastiger is. Waarom DNSSEC zo belangrijk is hebben we in onze blog beschreven op: https://www.antagonist.nl/blog/2015/01/ ... ntagonist/

Mochten er nog opmerkingen over de Let's Encrypt test zijn dan horen we dat natuurlijk graag. Over de uiteindelijke implementatie van Let's Encrypt zullen we trouwens (zeer) binnenkort meer bekend maken! :D

UPDATE:
Betreffende CAA-records heeft DirectAdmin inmiddels naar onze suggestie geluisterd. Dit zal worden toegevoegd in een nieuwere versie van DirectAdmin: https://www.directadmin.com/features.php?id=1932

Zodra de CAA-records op een betrouwbare manier geïmplementeerd is in DirectAdmin zullen we kijken hoe we deze functionaliteit kunnen uitrollen naar onze klanten. Ik zal dus nog een status-update posten.
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

ASS-Ware
Berichten: 2177
Lid geworden op: 09 mar 2007, 03:24
Contacteer:

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door ASS-Ware » 11 apr 2017, 08:42

Joris de Leeuw schreef:Mochten er nog opmerkingen over de Let's Encrypt test zijn dan horen we dat natuurlijk graag. Over de uiteindelijke implementatie van Let's Encrypt zullen we trouwens (zeer) binnenkort meer bekend maken! :D
Joohoo vandaag!!!
Start spreading the news, SSL is coming today!!!
Bye,
Arjan.

Despite the cost of living, have you noticed how it remains so popular ?

Gebruikersavatar
Jeroen Wolsink
Antagonist staff
Berichten: 70
Lid geworden op: 20 aug 2015, 13:34

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Jeroen Wolsink » 11 apr 2017, 09:37

Hoi allemaal,

Het is er inderdaad. Vanaf vandaag zijn HTTPS en HTTP/2 de standaard bij Antagonist :)

Check voor meer info het forumtopic: https://forum.antagonist.nl/viewtopic.php?f=3&t=13866
Of het artikel: https://www.antagonist.nl/blog/2017/04/gratis-ssl/
Met vriendelijke groet,

Jeroen Wolsink
Antagonist staff

knireis
Berichten: 70
Lid geworden op: 01 sep 2009, 13:44

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door knireis » 11 apr 2017, 11:34

Top, met dank aan Antagonist

Bole
Berichten: 196
Lid geworden op: 01 sep 2008, 12:43

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Bole » 12 apr 2017, 03:09

Joris de Leeuw schreef: UPDATE:
Betreffende CAA-records heeft DirectAdmin inmiddels naar onze suggestie geluisterd. Dit zal worden toegevoegd in een nieuwere versie van DirectAdmin: https://www.directadmin.com/features.php?id=1932

Zodra de CAA-records op een betrouwbare manier geïmplementeerd is in DirectAdmin zullen we kijken hoe we deze functionaliteit kunnen uitrollen naar onze klanten. Ik zal dus nog een status-update posten.
Cool! Als je testers nodig hebt :wink: :lol:
Jeroen Wolsink schreef: Het is er inderdaad. Vanaf vandaag zijn HTTPS en HTTP/2 de standaard bij Antagonist :)
Top, maar hoe kunnen testers en/of mensen die een eigen script gebruiken migreren naar jullie oplossing?

Ik heb namelijk een cron-job lopen die een (hier eerder gepost) letsencrypt script runde om ook mijn subdomeinen te hernieuwen (top dat die suggestie in de definitieve oplossing is gekomen!). Mijn huidige cert is geldig tot begin july (top dat ook die suggestie in DirectAdmin verwerkt is nu!) en ik heb mijn cronjob disabled. Vervangt jullie systeem nu automatisch mijn cert, of moet ik iets anders doen?

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1131
Lid geworden op: 13 feb 2016, 20:15

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Joris de Leeuw » 12 apr 2017, 12:10

ervangt jullie systeem nu automatisch mijn cert, of moet ik iets anders doen?
Ja, onze implementatie pakt dit op.

Mocht je zelf een Let's Encrypt implementatie hebben gebouwd of aan onze initiële Let's Encrypt test hebben meegedaan dan kunnen deze certificaten gerust laten 'vervallen'. Onze huidige Let's Encrypt implementatie houdt automatisch in de gaten of certificaten verlopen en zal dus verlopen certificaten automatisch vervangen door onze kosteloze certificaten. Hetzelfde geldt voor certificaten van derden die per abuis vervallen. In dit geval blijft SSL ook werken door onze implementatie die er voor zorgt dat SSL beschikbaar blijft.

Hoe dit technisch allemaal werkt zullen we wellicht binnenkort uitgebreider delen op onze blog. :)
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

Bole
Berichten: 196
Lid geworden op: 01 sep 2008, 12:43

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Bole » 12 apr 2017, 13:11

Top, thanks!

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1131
Lid geworden op: 13 feb 2016, 20:15

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Joris de Leeuw » 13 apr 2017, 13:21

Hallo iedereen,

Zoals mijn collega Jeroen hier al deelde is SSL op basis van Let's Encrypt nu voor iedereen beschikbaar die hosting heeft bij Antagonist. Hierdoor kan elke website bij Antagonist ook via https:// werken.

We zijn hier bewust niet voor een standaardoplossing gegaan (de DirectAdmin plugin), maar een eigen oplossing waarin we veel input van alle Let's Encrypt testers hebben verwerkt. Heel veel dank dus aan de testers die afgelopen maanden veel feedback hebben gegeven. :)

Nadere toelichting over hoe onze implementatie technisch in elkaar zit en wat dit zo veel cooler, sneller en beter maakt dan een standaard oplossing heeft Erik Jan beschreven op: https://www.antagonist.nl/blog/2017/04/ ... uitgelegd/
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

Notify
Berichten: 12
Lid geworden op: 18 okt 2016, 18:31

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Notify » 15 apr 2017, 14:46

Hallo Antagonist,

Super dat Lets encrypt nu word ondersteund.
Enige vraag wat ik nog heb.

Ik heb mijn eigen lets encrypt certificaten. deze vernieuw ik nu als ik een subdomein toevoeg.
Ik heb getest zonder cert te vernieuwen en voor mijn test subdomein word geen certificaat aangemaakt.

Wat kan ik doen om er voor te zorgen dat telkens als ik een subdomein aanmaak ook de cert direct aangemaakt word, aangezien ik zelf nergens opties kan vinden in het antagonist dashboard of directadmin?

Alvast bedankt!

Edit 1 : Helaas staat er nu ook nog geen certificaat op het sub domein.
Laatst gewijzigd door Notify op 16 apr 2017, 09:32, 1 keer totaal gewijzigd.

ASS-Ware
Berichten: 2177
Lid geworden op: 09 mar 2007, 03:24
Contacteer:

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door ASS-Ware » 15 apr 2017, 16:30

Moet je niet gewoon even wachten?
Het duurt max 24 uur voor je certificaat is geïnstalleerd.

Ik zie overigens ook iets geks.

Op https://www.antagonist.nl/blog/2017/04/gratis-ssl/ staat:
Zo worden bij ons bijvoorbeeld ook subdomeinen, aliassen en pointers automatisch voorzien van gratis SSL.

Dat is bij mij niet het geval.

Bugje?

Edit:
Nee, het werkt wel, ik keek naar pointers. Nadat ik er aliassen van maakte, werkte het wel.

Edit 2:
Gisteren heb ik een subdomein aangemaakt en vandaag staat er een certificaat op.
Bye,
Arjan.

Despite the cost of living, have you noticed how it remains so popular ?

Gebruikersavatar
Joris de Leeuw
Antagonist staff
Berichten: 1131
Lid geworden op: 13 feb 2016, 20:15

Re: SSL/TLS certificaten van 'Let's Encrypt'

Bericht door Joris de Leeuw » 18 apr 2017, 14:17

Hallo iedereen,

Het klopt inderdaad dat het binnen onze huidige implementatie circa 24 uur kan duren voordat alle domeinnamen en subdomeinnamen gaan werken via SSL. Dit komt mede doordat veel resellers nu SSL inschakelen.

We zijn er nog mee bezig dit proces verder te versnellen zodat het nog een kwestie van maximaal een uur i.p.v. maximaal een dag wordt.
Met vriendelijke groet,

Joris de Leeuw
Antagonist staff

Plaats reactie