Ongezouten Mening

Let’s Encrypt websites kwetsbaarder voor malware?

15-11-2016 09:38:46

lets-encrypt-https.jpg
Een maand of wat geleden las ik een blog van een collega hoster over Let's Encrypt. Let's Encrypt biedt gratis SSL-certificaten. Er zijn meer partijen die dat doen, maar Let's Encrypt heeft er een ecosysteem omheen gebouwd die de aanvraag en uitrol sterk vereenvoudigt en versnelt. Klinkt goed, toch? Wat schetst echter mijn verbazing; een collega hoster is er helemaal niet over te spreken.

Let’s Encrypt certificaten

Volgens de hoster in kwestie wordt malware verspreid via websites met Let's Encrypt certificaten. Vervolgens wordt er een hoop 'FUD' over de lezer van het blog heen gestort. Een kleine greep uit de onzin in het blog. De suggestie wordt gewekt dat Let's Encrypt websites kwetsbaarder zijn voor de generieke SSL-kwetsbaarheid 'Drown Attack', niet waar dus. Omdat Let's Encrypt zorgt voor versleuteling van verkeer tussen webserver en bezoeker zijn dader en slachtoffer van internetcriminaliteit lastiger te traceren. Ook dit is niet waar.

Tot slot wordt de suggestie gewekt dat alle andere SSL-certificaataanbieders controleren of de aanvrager van een certificaat daadwerkelijk is wie hij zegt te zijn. Dat wordt ook gedaan, maar alleen voor de duurste Extended Validation (EV) certificaten. Alleen voor het type certificaten dat een groene balk in de browsers oplevert dus. Naar mijn schatting is dat maximaal 2% van alle SSL-certificaten. Voor alle andere Domain Validated (DV) SSL-certificaten worden net zo veel, of beter gezegd, net zo weinig controles op identiteit uitgevoerd als dat bij Let's Encrypt gebeurt.

Upgraden naar betaald SSL-certificaat vanuit commercieel oogpunt

De blogschrijver eindigt zijn betoog met een oproep om te upgraden naar een premium hostingpakket waar een niet-Let's Encrypt SSL-certificaat bij geleverd wordt. Daar komt de aap dus uit de mouw, het gaat er helemaal niet om dat Let's Encrypt minder goed is dan een ander type certificaat. Het gaat er om de klant angst aan te jagen zodat er een premium pakket met hogere prijs afgenomen wordt. Ironisch daarbij is overigens wel dat deze hoster dan vervolgens een Domain Validated SSL-certificaat, zo één zonder controle op identiteit, levert.

Overigens benoemt de schrijver in kwestie, ongetwijfeld terecht, dat Let's Encrypt certificaten vaker door internetcriminelen worden gebruikt dan andere al dan niet gratis SSL-certificaten. Dit heeft helemaal niets te maken met het meer of minder veilig zijn van Let's Encrypt, maar met één ding dat Let’s Encrypt juist zo briljant maakt. Namelijk de eenvoud en snelheid waarmee SSL/TLS geconfigureerd kan worden. En  internetcriminelen zijn net mensen, gemak dient de mens.

Door: Wido Potters