Tag Archives: Internet

Let’s encrypt

Sinds gisteren is Let’s Encrypt in public beta en daarmee dus ook voor iedereen beschikbaar. Nou zal dat niet iedereen direct wat zeggen, maar ik denk dat dit een ontwikkeling is die een grote verandering op het internet met zich mee zal brengen. Nou betreft het wel een verandering die voor 90% van de mensen niet zullen merken, maar dat maakt het niet minder belangrijk.

letsencrypt-logo_0

Wat veel mensen niet beseffen is dat verkeer van en naar een website in principe voor alle “hops” tussen jouw pc en de server vrij in te zien is. Voor banken zijn we al wel gewent aan het feit dat er een groen slotje bij de domeinnaam moet staan, maar bij veel andere websites denken we daar niet over na. Het gebruik van encryptie lost dat probleem op, het verkeer tussen de client en de server is met certificaten beveiligd en voor de tussenliggende systemen niet in te zien.

Het probleem is echter dat de certificaten hiervoor geld kosten, alhoewel ze niet heel duur zijn (12 euro per jaar grofweg) wordt het voor veel content niet echt als noodzakelijk gezien om de bezoeken te beveiligen. De complexiteit van het onderhouden van deze certificaten is echter een groter probleem. Niet alleen is het veel handwerk om een certificaat goed op je eigen server te installeren, maar het is ook nog eens iets wat je niet moet vergeten bij te houden (wederom handmatig).

Let’s encrypt brengt hier verandering in, niet alleen zijn de certificaten gratis, maar er wordt een tool meegeleverd die de hele aanvraag en implementatie voor je uitvoerd. Daarbij zorgt de tool ook voor een tijdige vervanging van de certifcaten wanneer de einddatum in de buurt komt (een “le” certificaat is 90 dagen geldig).

Het draaien van de tool geeft een wizard die er grofweg zo uit ziet:

Certificaat Aanvraag

En de rest gaat eigenlijk vanzelf, je kan nog even aangeven of de site zowel via HTTP als HTTPS bereikbaar moet zijn of enkel via HTTPS en dat was het dan.

Wanneer we dan controleren of het certificaat goed geïmplementeerd is zien we dat ook dat helemaal in orde is:

Certificaat Controle

Het mooie aan de automatische implementatie is ook dat er eigenlijk niets in de weg staat om dit ook bij shared hosting oplossingen te implementeren. Het gehele traject kan volledig geautomatiseerd worden en een gebruiker hoeft er dus helemaal niets aan te doen. Wat misschien wel nog een blokkade kan zijn is dat voor een groot aantal providers een aardig stukje omzet kan wegvallen doordat ze nu geen tussenpartij meer hoeven te zijn tussen de grote certificaat verstrekkers en de “consument”.

Voor het testen van dit soort zaken gebruik ik overigens meestal een VM bij Digital Ocean, het grote voordeel is dat je deze per uur betaald, wat een root voordeel is voor het even snel testen van nieuwe dingen. De bovenstaande link is overigens een referral link, die levert je 10 dollar aan start tegoed op (1 maand voor een server met 1 core en 1 GB ram). Mocht je mij geen extra tegoed gunnen kan je natuurlijk altijd zelf even het adres invullen als je een account wil :). De gebruikte testomgeving heb ik gebouwd op Ubuntu 15.10 met Apache, PHP en MySQL.

 

 

Connected

Je kan het tegenwoordig zo gek niet meer bedenken of het is verbonden met de “cloud”, waar dat voor je telefoon nog redelijk vanzelfsprekend is gaat er misschien bij je wasmachine minder snel een lampje branden. Toch is alles wat je tegenwoordig met een app op je telefoon of tablet kan bedienen over het algemeen aangesloten op een “cloud”. Dus als je je lampen kan bedienen met een app op je telefoon, of als je je auto van te voren kan verwarmen is dat over het algemeen iets wat via een internet dienst werkt. (uitzonderingen daargelaten natuurlijk).

Nou is dat natuurlijk allemaal heel erg handig, maar er zijn ook wel een aantal haken en ogen waar we denk ik op dit moment net even te gemakkelijk mee om gaan. Zo doet eigenlijk iedereen de aanname dat de leverancier van dergelijke spullen er voor zorgt dat alles veilig is, alleen is dat wel altijd het geval? Ze zullen ongetwijfeld tot op zekere hoogte hun best doen, mogelijk brengen ze tussentijds ook firmware updates uit voor hun devices.. Maar als je nu al een beetje vreemd begint te kijken bij het woord firmware in combinatie met je wasmachine of lamp is de kans aanzienlijk dat je deze nieuwe versie nooit zal uitrollen. En dan hebben we natuurlijk ook het moment waarop de leverancier geen ondersteuning meer levert op het apparaat..

Wat gebeurt er als dan een of andere knutselaar ontdekt dat je doormiddel van een simpel commando de temperatuur van je wasdroger net iets hoger in kan stellen waardoor je was toch al 10 minuten sneller droog is. Klinkt als een wenselijke situatie, mensen die een product beter maken door met de firmware aan de slag te gaan. Helaas heeft niet iedereen de beste bedoelingen, en zelfs de mensen die dat wel hebben kunnen fouten maken.. Wat als dan iemand de temperatuur niet “iets” verhoogd, maar verdubbeld, met brand als gevolg? In dit geval zou je daar zelf nog wat voor gedaan hebben (een andere firmware inladen), maar wat als een dergelijke setting naar je wasdroger gepushed zou kunnen worden via een verbinding naar de cloud die eigenlijk alleen maar bedoeld was om jou te laten weten hoe laat de wasmachine klaar zou zijn?

Een dergelijk scenario is niet denkbaar als je een niet connected “dom” apparaat hebt, maar als je alles aan het internet gaat hangen en geen goede maatregelen treft voor de veiligheid van dergelijke embedded systemen wordt het een heel ander verhaal. En dan gaat het dus lang niet altijd over de bedoelde functionaliteit, in het geval van de wasdroger kan het zo zijn dat de fabrikant de connectie eigenlijk alleen gebruikt voor het doorgeven van de resterende droogtijd naar een app. Maar als bij het ontwikkelen van de firmware / software onvoldoende is nagedacht over het scheiden van bijvoorbeeld de aansturing van de machine en het verzamelen en verzenden van data zoals resterende looptijd is de kans nogal groot dat een creatieveling wel een manier vind om de beide systemen met elkaar te verbinden.

Nou klinkt dit misschien wat vergezocht, alleen als je dan bedenkt dat er in de VS meer dan een miljoen auto’s teruggeroepen worden omdat de boodcomputer van afstand de besturen is, tot en met het aansturen van het gas en rempedaal aan toe denk ik dat we misschien wel een beetje zijn doorgeslagen. Nou ben ik op zich niet tegen de ontwikkeling om apparaten aan het internet te hangen om ze vanaf afstand te kunnen monitoren / aansturen, maar ik denk wel dat we nog een hoop te leren hebben om dit op een veilige wijze te kunnen doen.

De vraag is ook een beetje hoe dit soort problemen voorkomen kunnen worden. Bedrijven zijn nog wel eens geneigd om shortcuts te nemen als ze denken dat de kosten van een eventuele terugroepactie of een rechtszaak lager zijn dan de kosten om het probleem daadwerkelijk te voorkomen. Ik zelf denk dat bedrijven hier niet meer mee weg gaan komen nu dit soort informatie steeds vaker voor het grote publiek beschikbaar is. Het zal wel nog even duren voordat de echte grote logge bedrijven de omschakelen zullen maken, maar op termijn zal de veiligheid een grotere rol gaan spelen en eindelijk ook de aandacht krijgen die het verdient.

Totdat goed beveiligde connected apparaten mainstream geworden zijn is het denk ik in ieder geval een goede zaak om jezelf steeds weer af te vragen of het wel nodig is om een product daadwerkelijk aan een cloud te hangen, en of het het risico waard is.

Tested.com

Er zijn een aantal dingen op het internet die ik probeer te volgen, eerder schreef ik al een stukje over Wait but why, vandaag komt tested.com aan bod.

Tested is een website van onder andere Adam Savage (Mythbusters), maar het overgrote deel van de content komt van Norm en Will. De onderwerpen lopen sterk uiteen maar in hoofdlijnen gaat het vaak over het “maken” van zaken en ontwikkelingen in (consumer) tech. De site bestaat uit een aantal delen, het meest zichbare stuk zijn natuurlijk de YouTube video’s en de geschreven artikelen, maar er zijn ook vele uren aan podcasts om terug te luisteren.

Naast dat ik de onderwerpen sowieso wel interessant vind geven ze ook wel inzage in het dagelijkse leven van mensen zoals Adam en Norm en Will. Ze zijn alle drie Amerikaans en daar gaan een aantal zaken toch net anders dan wij gewent zijn, dus dat is wel leuk om te horen / lezen.

De hoofdmoot van de site gaat dus over het maken van vanalles, dat kan uiteenlopen van het bouwen van de grotere lego sets tot het bouwen van een replica van een captains chair uit een van de Star Trek series of het (na) maken van movie props. Niet alles gaat even vloeiend natuurlijk, maar het is wel aardig om te zien hoe ze dingen dan weer op kunnen lossen.

Één van de “week of builds” die nu loopt is het bouwen van een miniatuur arcadekast (bouwpakket), de eerste aflevering is via YouTube beschikbaar, de volgende afleveringen zijn alleen beschikbaar voor Premium Members. In dit geval vind ik het niet erg om een klein maandelijks bedrag te betalen voor de content, ze hebben altijd wel originele dingen lopen en dan is het wel leuk om ze ook een stukje te kunnen supporten.

Er worden ook regelmatig boeken besproken in de podcasts, over het algemeen lijkt mijn boekvoorkeur wel aardig in lijn met de mensen van Tested te liggen, zo ben ik bijvoorbeeld ook zo bij The Martian gekomen :).