Wist je dat? ..

1. XS4ALL eigenlijk vrijwel alleen nog maar Let’s Encrypt gebruikt?
2. XS4ALL al sinds oktober 2016 volledig automatisch certificaten aanvraagt?
   Bij Let’s Encrypt. 110.000 op jaarbasis (ofwel 300 per dag, ofwel 1 per 5 minuten).
3. We daarmee Nederland in de top bij Let’s Encrypt gekregen hebben?
4. Dat helemaal niet onveiliger is dan partijen waar je moet betalen? Integendeel.

Let’s Encrypt

• XS4ALL-achtige cultuur en zeer gedreven mensen.
• Het is een collaborative project van de Linux Foundation.
• Non-profit organisatie (Internet Security Research Group, ofwel ISRG).
• Alle software is open-source op Github, en daarmee publiek auditbaar.
• Volledig transparant en uitgebreide communicatie wanneer er iets speelt.
• Board members van o.a. Akamai, Cisco, Mozilla, EFF, CoreOS en OVH.
• Technical board van o.a. Akamai, EFF, Mozilla, Google, Facebook.

Hoe het niet moet…

• DigiNotar (Root CA uitgelekt)
• GlobalSign (OCSP-fuckup)
• StartCom/StartSSL (was op zich goed, tot overname door WoSign hieronder)
• Symantec (zeer slechte controles, wantrouwen door Google uitgesproken)
  • Equifax
  • GeoTrust
  • Thawte
  • VeriSign
• WoSign (eigen audit-bureau, microsoft.com/google.com aan hoogste bieder)

Hoe het wél moet…

• Buypass
• COMODO (Sectigo)
  • InstantSSL
• DigiCert
  • RapidSSL
  • Voormalige Symantec-groep (Equifax, GeoTrust, Thawte & VeriSign)
• IdenTrust
• GlobalSign (wanneer ze niet met OCSP gaan spelen)
• Let’s Encrypt
• Staat der Nederlanden
  • KPN