Thought experiment:
@letsencrypt offers certificates to encrypt the traffic between a website & your browser.
They reside in the US & thus are subject to the judiciary system of the US.
What are the possible risks for websites outside the US, given the current unstable political situation & administration? What type of damage could an executive order do? How could this be mitigated?
Boosts appreciated.
Fsck de overheid: "Het automatiseren van certificaatbeheer door de overheid op basis van ACME zorgt voor het efficiënter en betrouwbaarder verkrijgen, vernieuwen en intrekken van TLS-certificaten. Dit maakt de digitale overheid betrouwbaarder, wendbaarder en minder leveranciersafhankelijk", aldus de experts. "Daarnaast vermindert het gebruik van ACME de beheerlast voor het beheer van TLS-certificaten."
https://www.security.nl/posting/876900/ACME+voor+uitgifte+tls-certificaten+wordt+mogelijk+verplicht+voor+overheid.
In een tijd waarin burgers, online, met steeds hogere betrouwbaarheid moeten authenticeren (o.a. voor online leeftijdsverificatie en binnenkort met eID's zoals EDIW/EUDIW), en de anonieme nepwebsites als paddenstoelen uit de grond schieten (*), is dit een *KRANKZINNIG* plan.
(*) Daarbij geen strobreed in de weggelegd door BigTech - integendeel: medeplichtigheid aan cybercrime is hun verdienmodel geworden.
Het grote risico hier zijn AitM- (Attacker in the Middle) aanvallen: nietsvermoedende mensen worden via een bericht of een Google zoekresultaat naar een nepwebsite gestuurd, die hen vraagt om bijv. een scan van hun paspoort te uploaden en een selfie-filmpje te maken.
Beide stuurt de nepwebsite echter dóór naar een echte website, zoals van een bank, bijv. om een lening af te sluiten. De AitM neemt dat geld op, waarna het slachtoffer opdraait voor de schuld.
Een ESSENTIËLE voorwaarde voor betrouwbare authenticatie is dat je de VERIFIEERDER kunt vertrouwen.
Of dat zo is, weet je nooit zeker (ook offline niet). Het beste alternatief is dat je weet *WIE* de verifieerder is, en hoe betrouwbaar diens identiteit is vaatgesteld. Dat is, zonder meer, vervelend en prijzig voor eigenaren van websites waar klanten, burgers of patiënten risicovolle transacties doen en/of er vertrouwelijke gegevens mee uitwisselen - maar enorm in het belang van bezoekers van dergelijke websites.
Betrouwbare authenticatie van (de juridisch aansprakelijke) eigenaar van een website m.b.v. een website-certificaat vormt *technisch* geen enkel probleem (dit *hadden* we al, maar is met een smoes gesloopt door Google).
In gratis certificaten, bijvoorbeeld van Let's Encrypt (zoals gebruikt door de nepwebsites in onderstaand plaatje) staat uitsluitend een volstrekt anonieme domeinnaam; je hebt dus geen idee wie verantwoordelijk is voor de website.
Juist bij overheidswebsites is het essentieel dat je weet dat het écht om een overheidswebsite gaat - iets dat bij de in het plaatje getoonde domeinnamen (ik heb de punt door + vervangen), zoals:
• afhandelen-belasting+com
• aflossen-belastingdienst+com
beslist *niet* het geval is.
En in de echte https://www.ggn.nl/contact/phishing/ kunt u voorbeelden zien van domeinnamen van nepwebsites, zoals ook te zien in onderstaand plaatje.
Kennelijk lukt het niemand om dergelijke criminele websites uit de lucht te halen, terwijl de misdadigers er probleemloos Let's Encrypt certificaten voor *blijven* verkrijgen - naast dat de naar phishing stinkende domeinnamen zonder blikken of blozen worden verhuurd en nooit worden ingetrokken. Dit is simpelweg de SNELSTE en GOEDKOOPSTE oplossing voor eigenaren van websites; de *BEZOEKERS* van die websites draaien op voor alle risico's.
Het onderstaande plaatje is van een Russische server, maar dit soort phishing websites vind je ook bij de vleet op door criminelen gehuurde servers van Google, Amazon, Microsoft, Digital Ocean, Cloudflare en kleinere westerse hostingbedrijven.
Ben ik nou ÉCHT DE ÉNIGE die vindt dat deze gecriminaliseerde puinhoop keihard moet worden aangepakt?
Zie mijn uitgebreide reactie in https://security.nl/posting/876914 (beginnend met eenvoudige uitleg wat een website-certificaat is).
Nb. naast certificaatuitgevers moeten ook browsers en het CA/B-forum op de schop. Doen we dit allemaal niet, dan wordt verder digitaliseren een gigantische puinhoop met steeds meer slachtoffers van identiteitsfraude.
![Screenshot van een deel van de webpagina https://www.virustotal.com/gui/ip-address/193.143.1.14/relations
Te zien zijn een reeks domeinnamen die vandaag (in alle gevallen is links de datum 2025-02-19 te zien) via DNS resolvden naar IP-adres 193.143.1.14 (een server in Rusland).
Te zien zijn domeinnamen en het aantal virusscanners dat erop aanslaat (die laatste vooraan en, om onbedoeld openen te voorkómen, heb ik de punt vervangen door een plusje), waaronder:
15/94 aanmaning-aflossen+com
10/94 aanmaning-omleiding24+com
[...] ik laat een stel Engelstalige weg
12/84 afbetalen-ggn+com
6/94 afhandelen-belasting+com
13/94 aflossen-belastingdienst+com
6/94 aflossen-nl+com
14/94 afronden-ggn+com
Die laatste valt half buiten het plaatje (een bonusje voor Alt-lezers).
GGN.nl is een bekend incassobureau en deurwaarderskantoor.](https://media.infosec.exchange/infosec.exchange/media_attachments/files/114/032/096/024/306/347/original/8fad152b078c70f1.jpeg "Screenshot van een deel van de webpagina https://www.virustotal.com/gui/ip-address/193.143.1.14/relations
Te zien zijn een reeks domeinnamen die vandaag (in alle gevallen is links de datum 2025-02-19 te zien) via DNS resolvden naar IP-adres 193.143.1.14 (een server in Rusland).
Te zien zijn domeinnamen en het aantal virusscanners dat erop aanslaat (die laatste vooraan en, om onbedoeld openen te voorkómen, heb ik de punt vervangen door een plusje), waaronder:
15/94 aanmaning-aflossen+com
10/94 aanmaning-omleiding24+com
[...] ik laat een stel Engelstalige weg
12/84 afbetalen-ggn+com
6/94 afhandelen-belasting+com
13/94 aflossen-belastingdienst+com
6/94 aflossen-nl+com
14/94 afronden-ggn+com
Die laatste valt half buiten het plaatje (een bonusje voor Alt-lezers).
GGN.nl is een bekend incassobureau en deurwaarderskantoor.")
Let's Encrypt soon starts offering TLS certificates with just 6 days of lifetime. It's just an option and the 90 day certs are also still offered but I doubt that this will add a lot of security.
https://letsencrypt.org/2025/01/16/6-day-and-ip-certs/
Based on the number of occasions, I already had problems with the 90days renewals in the past (software bugs and human error), I see this the value in this move rather sceptical.
More supply chain thoughts.
Let's Encrypt is based in the United States.
For those who want a local (non-cloud) tool for checking TLS certificate expiration as a result of Let's Encrypt dropping support for expiration notices via email, here's a small shell script which will do it. It needs the OpenSSL command-line tool and an email sender (I use msmtp):
#!/bin/bash
MINIMUM_EXPIRY_DAYS={{ minimum_expiry_days }}
MINIMUM_EXPIRY=$((${MINIMUM_EXPIRY_DAYS} * 86400))
for cert in /etc/letsencrypt/live/*/cert.pem
do
echo Checking ${cert}
if openssl x509 -noout -in ${cert} -checkend ${MINIMUM_EXPIRY} > /dev/null
then
:
else
msmtp --read-envelope-from --read-recipients <<EOF
From: (sender address here)
To: (recipient address here)
Subject: Certificate Expiration Alert
${cert} will expire in fewer than ${MINIMUM_EXPIRY_DAYS} days.
EOF
fi
done
New releases
• Kitten (rolling release)
• @small-tech/https version 5.3.2
• Auto Encrypt version 4.1.3
OCSP support has been reinstated in the server so existing sites with Let’s Encrypt certificates provisioned prior to the removal of the OCSP stapling requirement will not fail to load in Firefox.
Kitten servers in production will automatically update to this version in a few hours. You can also sign in to the Kitten settings page on your server and do a manual update to update Kitten immediately.
Thanks to @stefan and @s1r83r for bringing this to my attention. (https://mastodon.ar.al/@aral/113969540950647873)
New Kitten release
• Upgrades to version 5.3.1 of @small-tech/https¹ which has version 4.1.2 of Auto Encrypt² that l removes OCSP stapling (because Let’s Encrypt has removed OCSP support).
Please upgrade your Kitten as soon as possible or any new Kitten servers you try to set up will fail and any certificate renewals for existing servers will start to fail in May.
(To upgrade, run `kitten update`. Your production servers will update automatically.)
Enjoy!
¹ https://www.npmjs.com/package/@small-tech/https
² https://www.npmjs.com/package/@small-tech/auto-encrypt
@small-tech/https version 5.3.0 released
• Uses Auto Encrypt 4.1.1 (removes OCSP stapling support because Let]s Encrypt has removed OCSP support).
https://www.npmjs.com/package/@small-tech/https
This module is a drop in replacement for Node HTTPS module that automatically handles TLS certificate provisioning and renewal both at localhost (via Auto Encrypt Localhost¹) and at hostname (via Auto Encrypt with Let’s Encrypt certificates²).
So, this is how you create a HTTPS server in Node.js that uses this module and automatically handles TLS certificate provisioning and renewal for you both at localhost (during development) and at hostname (during production):
```js
import https from '@small-tech/https'
const server = https.createServer((request, response) => {
response.end('Hello, world!')
})
server.listen(443, () => {
console.log(' 
Server running at https://localhost.')
})
```
(Yes, that’s it! I wrote a metric shit-tonne of meticulously-tested code so you don’t have to.) :)
Note that the localhost certificate support via Auto Encrypt Localhost is 100% JavaScript and does NOT rely on an external binary like mkcert or certutil.
Needless to say, Kitten³ uses this module under the hood and it’s a big part of why Domain⁴ can deploy servers so easily that don’t require any day-to-day maintenance.
In case you’re wondering why I’m spending so much time releasing all these modules, it’s because I believe in sharing every brick of the house I’m building so others can easily build different houses if they want to. I’m not saying that what I’m building with Kitten, Domain, and Place⁵ will be the end all be all of the Small Web⁶ (the peer-to-peer web). And I want others to be able to experiment by building their own tools without having to go through the grueling development process I’ve had to in the past six years to build basic infrastructure.
Enjoy!
¹ https://codeberg.org/small-tech/auto-encrypt-localhost
² https://codeberg.org/small-tech/auto-encrypt
³ https://kitten.small-web.org
⁴ https://codeberg.org/domain/app
⁵ https://codeberg.org/place/app
⁶ https://ar.al/2024/06/24/small-web-computer-science-colloquium-at-university-of-groningen/
Auto Encrypt version 4.1.1 released
Fixed:
• User agent string now includes the correct Auto Encrypt version (and the name fragment “auto-encrypt” instead of “acme”).
• Tests now send `Connection: close` header so they’re not tripped up by the default `keep-alive` introduced in Node 19.
Auto Encrypt version 4.1.0 released
• Removes OCSP stapling, as Let’s Encrypt is removing OCSP support.
If you’re already using Auto Encrypt upgrade before May or your certificate renewals will start to fail. Upgrade now if you want to get certificates for new domains as new certificate requests are already failing.
https://codeberg.org/small-tech/auto-encrypt#readme
Auto Encrypt automatically provisions and renews Let’s Encrypt TLS certificates on Node.js https servers (including Kitten¹, Polka, Express.js, etc.)
Regular Node.js HTTPS server (without Let’s Encrypt certificates):
```js
import https from 'node:https'
const server = https.createServer(…)
```
Auto Encrypt https server with automatic Let’s Encrypt certificates:
```js
import AutoEncrypt from '@small-tech/auto-encrypt'
const server = AutoEncrypt.https.createServer(…)
```
(Certificates are provisioned on first hit and automatically renewed 30 days before expiry.)
Let's Encrypt will discontinue sending expiration notification emails, and they can recommend
Red Sift Certificates Lite
Lite is the free tier of Red Sift Certificates, providing expiration monitoring for up to 250 certificates and 7-day email alerts to prevent downtime.
Just released Node Pebble version 5.1.1
• Updated to Pebble version 2.7.0.
• Now also supports macOS and arm64 (because Pebble itself does).
https://codeberg.org/small-tech/node-pebble
Node Pebble is a Node.js wrapper for Let’s Encrypt’s¹ Pebble² that:
• Downloads the correct Pebble binary for your platform.
• Launches and manages a single Pebble process.
• Returns a reference to the same process on future calls (safe to include in multiple unit tests where order of tests is undetermined)
• Automatically patches Node.js’s TLS module to accept Pebble server’s test certificate as well as its dynamically-generated root and intermediary CA certificates.
² “A miniature version of Boulder, Pebble is a small RFC 8555 ACME test server not suited for a production certificate authority.” https://github.com/letsencrypt/pebble
So I guess Let’s Encrypt has decided what I’ll be working on today then…
https://letsencrypt.org/2024/12/05/ending-ocsp/
(They’re ending OCSP stapling support. I’ll be updating Auto Encrypt¹ to remove OCSP support and then update @small-tech/https, which uses it, along with Auto Encrypt Localhost² to provide seamless TLS support regardless of whether you’re working in development or in production, and then update Site.js³ – deprecated but still used to serve some of our own sites at Small Technology Foundation⁴ – and Kitten⁵, with the latest @small-tech/https.)
¹ https://codeberg.org/small-tech/auto-encrypt
² https://codeberg.org/small-tech/auto-encrypt-localhost
³ https://codeberg.org/small-tech/https
⁴ https://small-tech.org
⁵ https://kitten.small-web.org
Let’s Encrypt intends to discontinue sending expiration notification emails
ohno, #letsencrypt is ending notification emails? time to write my own monitoring and notification service? or is there already a free software based one?
https://letsencrypt.org/2025/01/22/ending-expiration-emails/
People have probably seen this before, and I have - but not to this extent.
All certificates that are public, are actually "streamed" to public databases, that in line with regulation set by CA's, browsers and other vendors.
What that means, is that if you issue (or buy) a certificate from a public CA - and you are only using it in an internal environment - people WILL know that you have a host with that particular CommonName somewhere.
I've issued a couple of certificates today, and since I host my own Authoritive DNS-servers, I am able to fully trace the requests coming into my DNS-zone.
Immediately after I've issued said certificates - I see many request arriving from all over the world, together with port-scans and all that shit.
And if you dont have a A-record for that particular hostname - the portscans will go directly against @.
All that from Cloud providers such as AWS, GCP, and shit.
Fascinating.
And if you want to check all the certificates that is issued - in real time, Check out "certstream"
For the geeks: Jekyll sites in git repos on my forgejo instance that runs as a rootless container. Forgejo runner on one of my RHEL (Red Hat Enterprise Linux) servers. A Forgejo action that runs Jekyll as another rootless container via #podman to build the static sites and puts it in a git repo called web, which gets pulled to the /var/www directory on my ngninx web server. All with #SELinux enabled. And every site with a #letsencrypt certificate that gets updated automatically, when needed.
If you use #Codeberg for your #Git hosting, which other services you rely on can you recommend further?
For instance, we appreciate the service by #LetsEncrypt for our TLS certificates and Anoxinon for our Mastodon instance.
I might share the URL for it too if you want to poke around, once I get the #Nginx and #letsencrypt cert and everything else set up properly.
𝚜𝚎𝚕𝚎𝚊 
