http, https en certificaten

Volgens mij is het idee dat je browser op iedere site het certificaat checkt. Is het nog geldig, is het uitgegeven door een vertrouwde derde partij, is het voor de betreffende site?

Dat laatste, is het voor de betreffende site gaat helaas niet op. Als je een certificaat voor de mitm installeert in certificate authority op de client dan gaat jou browser daar niet moeilijk over doen. Ook let's encrypt wordt gezien als een vertrouwde derde partij.
 
Ik weet niet wat je precies bedoeld met 'de betreffende site'? Bedoel je dan die .KPN site?

Maar als je een certificaat als vertrouwd installeert dan controleert je browser nog steeds of het certificaat vertrouwt is of uitgegeven is door een vertrouwde derde partij. Jij hebt alleen aangegeven dat je die specifieke partij of dat specifieke certificaat vertrouwt.
Ook let's encrypt geeft niet zomaar certificaten uit. Je moet dan volgens mij een bepaald bestand neerzetten op je site en lets encrypt checkt dat, een vergelijkbare procedure die andere CA's ook uitvoeren bij standaard certificaten. Dat bewijst dat jij controle hebt over die site. Bij EV certificaten worden er nog extra checks gedaan, dan gaan ze echt bellen etc.
 
Wat betreft het doorsturen naar https wat Firefox blijkbaar doet. Ik neem aan dat ze bij aanroep van een http site eerst checken of de site ook https biedt en als dat zo is je de https site aangeven. Overigens doen de meeste sites dat al automatisch maar mogelijk is de manier van Firefox veiliger.
De meeste sites die dat doen, doen het onveilig! Als je het veilig wilt doen, dan moet je al geen http aanbieden. punt.

De meeste mensen tikken alleen de domeinnaam in en laten het aan de browser over via welk protocol dat moet. De meeste browsers maken er dan 'http' van. Sommige websites websites sturen je dan door naar een "https" protocol. Maar als er een kwaadaardig persoon tussen zit, kan die de eerste http verbinding al kapen. De enige manier om veilig te verbinden is om direct via https te verbinden. Je moet er dan zelf 'https://' voor typen.

Steeds meer websites maken gebruikt van HSTS. Hierbij vertelt de website aan de browser dat hij de volgende keer direct via https moet verbinden. Dit onthoudt de browser meestal een half jaar of totdat je de browser cache wist. Je bent dan alleen bij het eerste bezoek van een website kwetsbaar, maar zolang je de website minimaal elk 6 maand bezoekt, zal hij altijd direct https gebruiken. (Dat half jaar kan ook meer of minder zijn. Dit verschilt per website)

Het nieuwe van deze https-only bij Firefox is dat hij nooit meer eerst via http probeert. Je krijgt alleen de eerder getoonde waarschuwing als een site alleen http aanbiedt.
 
Nog even terug komend waarom ook een onbelangrijke hobby site toch https wil gebruiken.

http verkeer kan iedereen meelezen. Nu zijn er publieke wifi-spots die het http verkeer van bezoekers inlezen en er extra code met reclame aan toevoegen. Dan heb je zelf misschien helemaal geen reclame op jouw site staan, maar bezoekers van jouw site zien wel overal reclame op de site. Dit is bij mijn weten niet iets wat in Nederland gebeurd, maar in de VS schijnt het veel te gebeuren als je aan het internetten bent via publieke wifi hotspots.

Bij een https website is dit veel lastiger te doen. Het kan nog steeds, maar dan zullen ze de verbinding met de aangepaste website weer http moeten maken, en dat valt direct op.
 
Misschien begrijp ik je verkeerd , maar de hoster heeft er niks mee te maken, het is aan de website eigenaar of hij https gebruikt en hoe hij het certificaat regelt. Met https (TLS) is er sprake van versleuteling tussen server en client maar de versleuteling wordt niet ineens anders als je een officieel certificaat gebruikt ipv self signed, het gaat meer om de validatie.

Maar nogmaals in de praktijk is daar ook weer mee te rommelen. Niemand gaat de certificaten checken op elke website.

Hiermee is voor zover ik het constateer Firefox (nog?) de enige. Ik ben benieuwd wat de anderen zoals Microsoft Edge en Google Chrome hiermee gaan doen. In plaats van het huidige "Niet beveiligd".
 
@michieldejong jij schrijft "is het uitgegeven door een vertrouwde derde partij, is het voor de betreffende site?" Maar de browser checkt niet of het certificaat van www.weetikveel.nl ook het echte certificaat is wat door die website wordt gebruikt. immers een ander geldig let's encrypt certificaat vind die ook prima.

En je hebt gelijk dat let's encrypt of een andere certificaat verlener eenmalig checkt of jij controle over een site hebt of domain, maar dat zegt toch verder niks als je het daarna voor malafide doeleinden inzet. Het punt is en blijft dat er altijd mogelijkheden zijn om ergens mee te knoeien.

Overigens betekend dat niet dat https/tls waardeloos is maar 100% veilig is niks. Ik heb ooit een verhaal gehoord van een bank in Amerika die ook HSTS gebruikte trouwens, alleen hadden ze hun protocollen niet op orde, bij het aangaan van de handshake tussen server en client kon men kiezen voor encryptie die gedegradeerd was en dus bleek het alsnog onveilig en verschillende aanvallen mogelijk.
 
Dit is me allemaal bekend, maar dit is nog geen antwoord op mijn vraag hoe betrouwbaar die self-signed certificate is. En bovendien, wat vindt de hoster hiervan als ze het zien? Want die vraagt wel een paar tientjes meer voor https. Het doet mij denken aan een duur slot op de deur, dat voor een habbekrats nagemaakt wordt en een waardeloze prul blijkt te zijn. Ik hoop dat die gedachte niet terecht is.
Niet alle hosters vragen geld voor het certificaat. Ik heb meerdere sites draaien bij mijndomein en alle sites draaien via het https protocol.
 
Dat wil ik best geloven. Maar is dat relevant?
Dit https-verhaal speelt nog niet een eeuwigheid. Dus als men ooit voordat het werd geïntroduceerd met een website begon, was dit hoegenaamd nog niet bekend. En dan verscheen een aantal jaren geleden een bericht van de webhoster over dit fenomeen. Wat deed je dan als websitebeheerder? Als de hazen een andere (goedkopere) hoster zoeken die dat https met alles wat dat inhoudt gratis toevoegt?

Inmiddels is er dus dat gratis certificaat van een derde partij, dat door professionals wordt afgeraden. Hier verschijnt opnieuw de vraag: "Wat doen we nu"? Mijn antwoord zou dan zijn dat ik het toch maar overlaat aan de hoster. Anders gebeurt naar ik hier verneem wat is gewenst maar half. Tenzij het maar een van de vele flauwekul-sites is. Zo van "gehackt, so what, het is maar een aardigheidje?". Dat is duidelijk wat anders dan een serieuze informatieve site, waarmee je om welke reden dan ook zorgvuldig moet omgaan met privacy etc. Dat ben je zelfs met de nieuwe AVG-wet verplicht!
 
Inmiddels is er dus dat gratis certificaat van een derde partij, dat door professionals wordt afgeraden.
Over welk certificaat heb je het, die van Let's Encrypt? Welke 'professionals' raden dat af dan? Ik wil ook even lachen dit weekend.
 
Er zijn diverse gratis certificaten van 'derde partijen'. Bij de meeste werkt het aanmaken omslachtig zodat de uitgevers hopen dat je op den duur een koopt. Let's Encrypt heeft nu een heel mooi systeem voor gratis certificaten, die je ook automatisch kunt laten vervangen. Zij hebben sinds kort concurrentie gekregen van ZerroSSL die via eenzelfde systeem als Let's Encrypt certificaten van 90 dagen gaat uitgeven. Naar mijn mening is er niets mis met deze certificaten, zolang je ze maar gebruikt waar ze voor bedoeld zijn. Ze zijn zelfs veiliger dan sommige betalende DV certificaten waarbij sleutels soms via mail doorgegeven worden, of waarbij de uitgvers soms kopieën van privé sleutels bewaren. (Hier zijn voorbeelden van gepubliceerd) Bij Let's Encrypt wordt de privé sleutel op je eigen apparaat gegenereerd en verlaat het systeem niet.

Let's Encrypt heeft volgend jaar wel een probleem op smartphones met Android 7.0 of ouder. Op die systemen staat een root certificaat voor Let's Encrypt dat op 21 september 2021 vervalt. (link) En naar het zich laat aanzien zullen deze toestellen geen update meer krijgen met een nieuw root certificaat. Dit probleem is niet uniek voor Let's Encrypt en dit kan ook bij andere certificaten gebeuren, maar het is wel een certificaat dat inmiddels door miljoenen websites gebruikt wordt.
 
Terug
Bovenaan