Let's encrypt gebruiken raadzaam?

Zoals met alle andere aspecten rond bedrijfsvoering: zorg ervoor dat je weet wat je doet en accepteer/mitigeer de bijhorende risico’s.

Gezocht naar "lets encrypt veilig":
https://www.computable.nl...gratis-ssl-op-je-vps.html
https://www.mooiesite.nl/...ts-encrypt-een-goed-idee/

Ova schreef op woensdag 16 december 2020 @ 09:54:
Als een gratis certificaat dan goed is, waarom dan een betaalde variant afnemen?

Omdat je bij betaalde certificaten (bijvoorbeeld) vaak voor een bepaald bedrag 'verzekerd' bent. "Encryptie-technisch" maakt 't geen drol uit welk certificaat je gebruikt ('organisatorisch' maakt 't ook weinig uit of je LE gebruikt of iets anders zolang je het hebt over DV certificaten; OV/EV certificaten zijn weer een ander koekje, maar technisch zijn die certificaten ook gewoon X.509...). Verder verlopen Let's Encrypt certificaten standaard elke 90 (pakweg) dagen (met goede reden) en zul je dus (als je niet horendol wil worden) gebruik moeten maken van een proces om die certificaten automatisch te vernieuwen (wat ze prima gedocumenteerd en op orde hebben).

[ Voor 38% gewijzigd door RobIII op 16-12-2020 10:25 ]

Technisch gezien is er weinig verschil met andere certificates. Ze zijn gewoon secure.

Enige verschil is dat een lets encrypt certificaat anders is gecheckt dan een OV/EV certificaat zoals Rob ook zegt. Je kan het verschil tussen DV, OV en EV het beste even Googlen. Er is veel over te vinden.

Wat is je doel met het certificaat? Oftewel, waarom wil je een certificaat?

Het gaat om het doel. Ga je persoon- of betaalgegevens verwerken, doe dan een echt certificaat.
Is je site niet meer dan een reclamefolder of informatie site, dan is Let's Encrypt prima.

Omdat het daarbij helemaal niet uitmaakt en encryptie volkomen zinloos is.
Helaas zijn de laatste jaren met name de wappies van Google een totaal nutteloze hetze begonnen tegen plain http sites, en wordt nu een volkomen veilige non-encrypted site met alleen maar statische, publieke informatie, tóch als 'onveilig' aangemerkt.

SambalBij schreef op woensdag 16 december 2020 @ 10:52:
Het gaat om het doel. Ga je persoon- of betaalgegevens verwerken, doe dan een echt certificaat.

X.509 is X.509

PerfectPC schreef op woensdag 16 december 2020 @ 10:54:
[...]

X.509 is X.509

Lees de post van RobIII hierboven. Technisch heb je gelijk, administratief/organisatorisch niet. Bij online betalingen check ik toch echt of het een (liefst EV) cert is wat is uitgegeven aan de partij waar ik zaken mee denk te doen. Bij een simpele reclamefolder interesseert dat weinig...

Dus wat ik al eerder zei: het gaat om het doel.
Bij die reclamefolder gaat het er puur en alleen maar om dat de browser niet gaat miepen "paniek peeuw onveilig onveilig!!!!1111...." en in dat geval inderdaad; X.509 is X.509...

SambalBij schreef op woensdag 16 december 2020 @ 11:01:
[...]

Lees de post van RobIII hierboven. Technisch heb je gelijk, administratief/organisatorisch niet. Bij online betalingen check ik toch echt of het een (liefst EV) cert is wat is uitgegeven aan de partij waar ik zaken mee denk te doen. Bij een simpele reclamefolder interesseert dat weinig...

Dus wat ik al eerder zei: het gaat om het doel.
Bij die reclamefolder gaat het er puur en alleen maar om dat de browser niet gaat miepen "paniek peeuw onveilig onveilig!!!!1111...." en in dat geval inderdaad; X.509 is X.509...

De daadwerkelijke betaling vindt over het algemeen plaats op een externe website. Dus als webwinkel/gewone site heb je daar niets mee te maken en volstaat Let's Encrypt gewoon!

SambalBij schreef op woensdag 16 december 2020 @ 11:01:
[...]

Lees de post van RobIII hierboven. Technisch heb je gelijk, administratief/organisatorisch niet. Bij online betalingen check ik toch echt of het een (liefst EV) cert is wat is uitgegeven aan de partij waar ik zaken mee denk te doen. Bij een simpele reclamefolder interesseert dat weinig...

Dus wat ik al eerder zei: het gaat om het doel.
Bij die reclamefolder gaat het er puur en alleen maar om dat de browser niet gaat miepen "paniek peeuw onveilig onveilig!!!!1111...." en in dat geval inderdaad; X.509 is X.509...

Je bent een zeldzaamheid op dat gebied. Men kijkt niet verder dan het slotje. Browsers spelen daar al een aantal jaar op in. De beweging dat je niet meer uitgebreid het EV certificaat in beeld ziet is al een poos gaande. NOS bijvoorbeeld heeft EV maar geen hond die het weet.

Dat is overigens omdat mensen er toch al niet naar keken en omdat het nog best makkelijk blijkt te zijn om een EV certificaat met een andere bedrijfsnaam te krijgen. Er zijn onderzoekers geweest die "Stripe Inc" registreerden op Hawaii en daar een EV voor kregen.

Heb zelf Let's Encrypt certificaten en die worden automatisch verlengd met de juiste instelling.
Wel voor websites die vrij statisch zijn; inloggen is alleen voor Wordpress beheeromgeving. Rest geen interactie van bezoekers.

JaDatIsPeter schreef op woensdag 16 december 2020 @ 10:16:
https://www.computable.nl...gratis-ssl-op-je-vps.html

Wildcards biedt Letsencrypt nu ook gratis aan.

SambalBij schreef op woensdag 16 december 2020 @ 10:52:
Het gaat om het doel. Ga je persoon- of betaalgegevens verwerken, doe dan een echt certificaat.
Is je site niet meer dan een reclamefolder of informatie site, dan is Let's Encrypt prima.

Omdat het daarbij helemaal niet uitmaakt en encryptie volkomen zinloos is.
Helaas zijn de laatste jaren met name de wappies van Google een totaal nutteloze hetze begonnen tegen plain http sites, en wordt nu een volkomen veilige non-encrypted site met alleen maar statische, publieke informatie, tóch als 'onveilig' aangemerkt.

LE is een echt certificaat. LE is niet beter of slechter dan een betaald certificaat.

Het gaat om het doel, dat is correct, maar vele mensen misinterpreteren dat. Een certificaat kan voor 2 dingen gebruikt worden. Je kunt het gebruiken om gegevens te beveiligen of je kunt het gebruiken om iemand te identificeren.

Gaat het om beveiliging, en daar gaat het bij https meestal om, dan is een gratis certificaat van LE even goed als een betaald, goedkoop certificaat. In beide gevallen wordt alleen geverifieerd of je eigenaar bent van het domein dat je wenst te beveiligen. We noemen dit dan ook DV of domain verification certificaten.

Gaat het om identificatie dan wordt er een uitgebreide verificatie gedaan van de aanvraager. Hiermee bekom je dat de identiteit bevestigd wordt door de uitgever van het certificaat. Zij staan op dat moment in voor de jusitheid ervan. Dat kost veel meer moeite omdat dit geen automatisch process is maar je krijgt er wel een zogenaamd EV certificaat voor terug oftewel extended verification.

Met een DV certificaat weet je daarom alleen dat de verbinding tussen jezelf en de server beveiligd is en dat de server beheerd wordt door iemand die toegang heeft (of had) tot het domein waarvoor het certificaat is uitgegeven. Bij een EV certificaat weet je met wie je praat. En die wie slaat hier op de persoon of organisatie.

Dat statische content veilig is zonder encryptie, is niet helemaal correct. Er is een goede reden waarom je vanuit privacy oogpunt wenst dat ook sites met statische content beveiligd worden. Hoewel ik vele dingen die Google doet afkeur, inclusief de manier waarop ze https aan het pushen zijn, ga ik wel akkoord met dat ze https aan het pushen zijn.

pennywiser schreef op woensdag 16 december 2020 @ 11:47:
Beetje heel erg een open deur intrappen of niet

Dat geef ik toe, dat was ook een beetje de bedoeling.
TS geeft met de vraagstelling eigenlijk aan dat ie het verschil tussen LE en andere boeren niet onder de knie heeft, waardoor een TLS implementatie gedoemd is om te falen.
Het enige verschil tussen LE en de anderen is je eigen mindset rond het beheer hiervan. Juist doordat een LE cert zo'n korte levensduur heeft, ben je qausi verplicht te automatiseren, en hierop monitoring te doen. Da's wel ewat anders als een excel lijstje met welk certificaat moet ik wanneer vervangen...
Als je je proces rond TLS niet goed hebt zitten, loopt het hoe dan ook fout, ongeacht de gebruikte leverancier. (en zoals ik aangaf, geldt dit eigenlijk voor al je bedrijfprocessen)

Nou lees ik zojuist deze beperking,100 aanvragen per week. Dus als ik 10 keer een pagina laadt, zit ik al op 10%.

Activeren van Let’s Encrypt SSL-certificaat
Bij de hostingpakketten van bHosted zit een gratis Let’s Encrypt SSL-certificaat, maar deze staat niet standaard geïnstalleerd. Dit is eenvoudig met een paar klikken te regelen via DirectAdmin. Wel moet je rekening houden dat dit certificaat maar voor 100 aanvragen per week geldig is. Wanneer je meer bezoekers verwacht is het zeker verstandig om een meer uitgebreide (en betaalde) certificaat te overwegen.
https://www.websiteplanet...ting/bhosted/#ease-of-use

donaldk schreef op dinsdag 19 januari 2021 @ 16:03:
Nou lees ik zojuist deze beperking,100 aanvragen per week. Dus als ik 10 keer een pagina laadt, zit ik al op 10%.

Activeren van Let’s Encrypt SSL-certificaat
Bij de hostingpakketten van bHosted zit een gratis Let’s Encrypt SSL-certificaat, maar deze staat niet standaard geïnstalleerd. Dit is eenvoudig met een paar klikken te regelen via DirectAdmin. Wel moet je rekening houden dat dit certificaat maar voor 100 aanvragen per week geldig is. Wanneer je meer bezoekers verwacht is het zeker verstandig om een meer uitgebreide (en betaalde) certificaat te overwegen.
https://www.websiteplanet...ting/bhosted/#ease-of-use

Dit klinkt mij meer als een verkooptruc . Let's Encrypt is onbeperkt te gebruiken en zal niet monitoren hoeveel bezoekers jij op jouw website krijgt.

https://letsencrypt.org/docs/rate-limits/

[ Voor 11% gewijzigd door NeoAtomic op 19-01-2021 16:18 . Reden: Bron toegevoegd ]

donaldk schreef op dinsdag 19 januari 2021 @ 16:03:
Nou lees ik zojuist deze beperking,100 aanvragen per week. Dus als ik 10 keer een pagina laadt, zit ik al op 10%.

Activeren van Let’s Encrypt SSL-certificaat
Bij de hostingpakketten van bHosted zit een gratis Let’s Encrypt SSL-certificaat, maar deze staat niet standaard geïnstalleerd. Dit is eenvoudig met een paar klikken te regelen via DirectAdmin. Wel moet je rekening houden dat dit certificaat maar voor 100 aanvragen per week geldig is. Wanneer je meer bezoekers verwacht is het zeker verstandig om een meer uitgebreide (en betaalde) certificaat te overwegen.
https://www.websiteplanet...ting/bhosted/#ease-of-use

Dit is niet hoe het werkt er zit helemaal geen limiet aan het aantal bezoekers per week wat je met je certificaat kan bedienen.

Er zijn alleen limieten hoeveel domeinen op 1 certificaat mogen en hoeveel certificaten je mag aanvragen.

https://helpdesk.bhosted....icaat-geactiveerd-worden-

Er is wel een limiet van 100 bij Bhosted maar dat slaat op het aanvragen van certificaten. Niet op je bezoekers.

[ Voor 10% gewijzigd door Rmg op 19-01-2021 16:19 ]

SambalBij schreef op woensdag 16 december 2020 @ 11:01:
[...]

Lees de post van RobIII hierboven. Technisch heb je gelijk, administratief/organisatorisch niet. Bij online betalingen check ik toch echt of het een (liefst EV) cert is wat is uitgegeven aan de partij waar ik zaken mee denk te doen. Bij een simpele reclamefolder interesseert dat weinig...

Dus wat ik al eerder zei: het gaat om het doel.
Bij die reclamefolder gaat het er puur en alleen maar om dat de browser niet gaat miepen "paniek peeuw onveilig onveilig!!!!1111...." en in dat geval inderdaad; X.509 is X.509...

EV heb je niks aan

https://www.troyhunt.com/...s-are-really-really-dead/

of maw. prima te gebruiken voor zakelijke sites. (ja n=1)

bonzz.netninja schreef op dinsdag 19 januari 2021 @ 21:21:
[Afbeelding]

of maw. prima te gebruiken voor zakelijke sites. (ja n=1)

Weet je hoe lang het duurde voordat Tweakers HTTPS standaard gebruikte? Als ze ook nog hadden moeten betalen was het er nooit gekomen

GrooV schreef op woensdag 20 januari 2021 @ 00:44:
[...]

Weet je hoe lang het duurde voordat Tweakers HTTPS standaard gebruikte? Als ze ook nog hadden moeten betalen was het er nooit gekomen

haha fair enough

bonzz.netninja schreef op woensdag 20 januari 2021 @ 09:24:
[...]

haha fair enough

Volgt mij hadden ze eerst een betaald certificaat omdat LE geen wildcard subdomains ondersteunde.

AW_Bos schreef op woensdag 20 januari 2021 @ 10:03:
[...]

Volgt mij hadden ze eerst een betaald certificaat omdat LE geen wildcard subdomains ondersteunde.

Ik kan het mij niet meer goed herinneren hoe het nou zat

bonzz.netninja schreef op woensdag 20 januari 2021 @ 10:04:
[...]

Ik kan het mij niet meer goed herinneren hoe het nou zat

Tijd om de vele iteraties door te nemen

Hoeveel certificaten heb je eigenlijk nodig voor een website? Want meeste hosters bieden in hunkleine hosting pakketen maar een certificaat.

donaldk schreef op woensdag 20 januari 2021 @ 14:55:
Hoeveel certificaten heb je eigenlijk nodig voor een website? Want meeste hosters bieden in hunkleine hosting pakketen maar een certificaat.

Dat hangt een beetje af van hoeveel tomaten je nodig hebt in je recept.

Het absolute minimum is 0, want een website heeft niet perse encryptie nodig.
Als je toch encryptie wil op (een deel van) je website is het minimum 1 (bijvoorbeeld voor www.)
Wil je ingewikelde dingen gaan doen die niet opgevangen kunnen worden met SAN's of wildcards kan je er meerdere nodig hebben.
Dus opnieuw: wat wil je maken ?

PerfectPC schreef op woensdag 20 januari 2021 @ 19:17:
[...]

Dat hangt een beetje af van hoeveel tomaten je nodig hebt in je recept.

Het absolute minimum is 0, want een website heeft niet perse encryptie nodig.
Als je toch encryptie wil op (een deel van) je website is het minimum 1 (bijvoorbeeld voor www.)
Wil je ingewikelde dingen gaan doen die niet opgevangen kunnen worden met SAN's of wildcards kan je er meerdere nodig hebben.
Dus opnieuw: wat wil je maken ?

Ik heb sinds een klein jaar een domein voor een forum. Omdat ik gen zin en tijd had om snel phbb+ te leren, maak ik gebruik van een extern form op gratisforums.com. Ik liet domein verwijzen naar dat forum. Dat werkte ook al doet de domein server http en gratisforums https. Maar opeens werkte dat niet meer, verwijzing naar de Apache default pagina. Uiteindelijk kwam vanuit hoster het antwoord neem maar een hostingpakket met https licentie.

Nu moet ik verlengen of verhuizen. Dan maar hosting erbij, dan heb ik eerst homepage met initieel nog een verwijzing (chillipepers.nl/forum ofzo), maar wil dit jaar doorgroeien naar eigen phbb+ hosting.

Hoster moet het liefst ook eigen back-ups toestaan/mogelijk maken, dat de forum posts en de info daarin opgeslagen kunnen worden en dan door anderen terug of elders,mocht de contractant (ik du) verdwijnen door doodof ziekte,of gebrek an belangstelling. Dit is ons al twemaal gebeurd vorig jaar en eerder in 2012.

Dus initieel is de site in twee delen home/landingpage en re-direct naar extern forum. Daarna zelf gehost forum.

De huidige domienhoster, bhosted.nl, biedt ook een 1 gig/20gig data pakket aan.Dan kan ik domein daar houden en ben ik voor 30 euro per jaar klaar. Nou heb ik geen idee of 5 MSQL databases en 1 gig genoeg is. Ik verwacht van wel. Momenteel hebben we nog maar 21 leden, waar we voor het verdwijnen van het forum op 1 juni(?) 2019 honderden leden hadden met tientallen regelmatige posters.

1 GB aan ruimte is behoorlijk wat hoor, zolang je niet een shitload aan hi-res foto's gaat uploaden. Maar tegenwoordig zie je vaak wel het tienvoudige aan schijfruimte.

En vaak heb je voor een site maar één database nodig, dus dat zit wel goed.
Als je vijf databases gebruikt, mag je je afvragen waarom je je zoveel nodig hebt .

Als ik jouw was zou ik toch wel haast maken om zelf een phpBB installatie op te zetten. Want je weet nooit hoe het met een gehost forum loopt.

[ Voor 17% gewijzigd door AW_Bos op 21-01-2021 00:10 ]

Ja, we zijn gewend de foto's extern te hosten, dus zolang ik geen mailbox van 800 MB aanmaak,lol...

Want ik had een hotmail aangemaakt voor forum functies, zoals adres voor de email de leden functie in phbb+, die werd al snel geblokkeerd. En bij Twitter werd tijdens de registratie al geblokkeerd.

Inderdaad, maar die aanbieders worden allemaal opgekocht en dan gaat de prijs gigantisch omhoog Vimexx was 45 cent per maand, nu 245 cent. Versio eerder ook.

Echt goedkope hosting sterft dus uit, die tijd heb ik gewoon gemist;-). €30,- is eigenlijk best veel voor een eenvoudige homepage;-). Nou valt dat nog te overzien.

Ik raad altijd aan om je eigen domein te gebruiken bij het mailen (let er op dat die alias ook werkt), en dan bij strikte voorkeur via SMTP. Dan kan er bijna niks misgaan.

Het gebruik van de mail() functie in PHP is onaandoenlijk voor een drukke site die vaak mailt.

[ Voor 22% gewijzigd door AW_Bos op 21-01-2021 00:35 ]

donaldk schreef op donderdag 21 januari 2021 @ 00:31:

Inderdaad, maar die aanbieders worden allemaal opgekocht en dan gaat de prijs gigantisch omhoog Vimexx was 45 cent per maand, nu 245 cent. Versio eerder ook.

Echt goedkope hosting sterft dus uit, die tijd heb ik gewoon gemist;-). €30,- is eigenlijk best veel voor een eenvoudige homepage;-). Nou valt dat nog te overzien.

Vimexx heeft nog steeds 45cent hosting pakket en zou voor jou doel prima zijn. Zitten oa gratis HTTPS certificaten bij.

oh ja,volgens website's overzicht begint het bij 2,45 per maand. Ik heb er zojuist expliciet op gegoogled, hij maakt er reclame mee,maar link gaat dan naar https://www.vimexx.nl/webhosting en begint het bij €2,45. Dat geldt ook voor in Duitsland, Belgie enzovoorts, daar is het niet goedkoper.

Moet niet te veel gedoe worden, dan is het bhosted mailen over back-up, wat mailsysteem inhoudt (pop of enkel web of zelfs slechts alias redirect) en toestemming voor eenmalige incasso...

@donaldk

Yup ik had het gevonden met behulp van de chat van vimexx.Maar toen ik aan chatten was ging de aardlekschakelar over en nu heb ik geen internet van Solcon, Huawei PON box krijgt geen glas sinaal. Ik heb gisteren 45 minuten via pre-pay aan de lijn gehangen bij ze maar 2e lijn heeft nog niets van zich laten horen. Dus geen telefoon, geen TV en geen internet. Familielid met iphone op bezoek,dus mag even zijn telefoon als hotspot gebruiken.

[ Voor 10% gewijzigd door donaldk op 22-01-2021 14:22 ]

donaldk schreef op dinsdag 19 januari 2021 @ 16:03:
Nou lees ik zojuist deze beperking,100 aanvragen per week. Dus als ik 10 keer een pagina laadt, zit ik al op 10%.

Activeren van Let’s Encrypt SSL-certificaat
Bij de hostingpakketten van bHosted zit een gratis Let’s Encrypt SSL-certificaat, maar deze staat niet standaard geïnstalleerd. Dit is eenvoudig met een paar klikken te regelen via DirectAdmin. Wel moet je rekening houden dat dit certificaat maar voor 100 aanvragen per week geldig is. Wanneer je meer bezoekers verwacht is het zeker verstandig om een meer uitgebreide (en betaalde) certificaat te overwegen.
https://www.websiteplanet...ting/bhosted/#ease-of-use

Dit is niet waar en kan gezien worden als misleiding, of onwetendheid van degene die dit heeft geschreven. Je kunt (zoals hierboven gezegd) max 100 keer een certificaat aanvragen per week, maar je aantal bezoekers blijft gelijk met wat het is zonder certificaat (meestal een max aan traffic).

Thom schreef op vrijdag 22 januari 2021 @ 23:46:
[...]

Dit is niet waar en kan gezien worden als misleiding, of onwetendheid van degene die dit heeft geschreven. Je kunt (zoals hierboven gezegd) max 100 keer een certificaat aanvragen per week, maar je aantal bezoekers blijft gelijk met wat het is zonder certificaat (meestal een max aan traffic).

Ik heb inmiddels maar even een berichtje naar die lui gestuurd. Want dat verhaal slaat als een tang op een varken met acht poten. Volkomen onzin....

[ Voor 7% gewijzigd door AW_Bos op 23-01-2021 01:14 ]

Eerste en tot zover enige negatieve oordeel over bhosted dat ik ben tegengekomen. Is de routing zo slecht of de servers zo langzaam dat je site langzaam laadt? Of is dat een kwestie van de verkeerde monitoring?

AW_Bos schreef op zaterdag 23 januari 2021 @ 01:12:
[...]

Ik heb inmiddels maar even een berichtje naar die lui gestuurd. Want dat verhaal slaat als een tang op een varken met acht poten. Volkomen onzin....

Thom schreef op vrijdag 22 januari 2021 @ 23:46:
Je kunt (zoals hierboven gezegd) max 100 keer een certificaat aanvragen per week

...bij/via bHosted (klaarblijkelijk). Zoals eerder aangehaald hanteert Let's Encrypt (veel) ruimere limieten. Maar omdat je niet de énige klant bent bij bHosted (of eender welke toko) zullen zijn dus hun totáál aantal toegestane requests moeten rantsoeneren over hun klanten.

[ Voor 23% gewijzigd door RobIII op 23-01-2021 03:15 ]