27 лютага 2020 года бясплатны цэнтр сертыфікацыі Let's Encrypt. .
У святочным прэс-рэлізе прадстаўнікі праекту ўспамінаюць, што папярэдні юбілей у 100 млн выдадзеных сертыфікатаў адзначалі . Тады доля HTTPS-трафіку ў інтэрнэце складала 58% (у ЗША – 64%). За два з паловай гады паказчыкі істотна выраслі: «Сёння 81% загружаных старонак па ўсім свеце выкарыстоўваюць HTTPS, а ў Злучаных Штатах мы знаходзімся на ўзроўні 91%! - радуюцца хлопцы з праекта. - Неверагоднае дасягненне. Гэта значна больш высокі ўзровень канфідэнцыйнасці і бяспекі для ўсіх».
Let's Encrypt адыграў вельмі важную ролю ў тым, каб сертыфікаты HTTPS сталі ўтылітарным стандартам, а надзейнае шыфраванне трафіку - дасканалай нормай у інтэрнэце.
Бэта-тэставанне інавацыйнага цэнтра сертыфікацыі Let's Encrypt пачалося ў снежні 2015 года. Унікальнай асаблівасцю новага цэнтра стала тое, што працэс выдачы сертыфікатаў першапачаткова быў поўнасцю аўтаматызаваны.
Аўтаматычная настройка HTTPS на серверы адбываецца ў два этапы. На першым этапе агент паведамляе цэнтр сертыфікацыі аб правах адміністратара сервера на даменнае імя. Напрыклад, праверка можа ўключаць у сябе стварэнне пэўнага паддамена або ўстаноўку ўнутры дамена HTTP-рэсурсу з пэўным URI.
Let's Encrypt ідэнтыфікуе вэб-сервер з запушчаным агентам па адчыненым ключы. Адкрыты і зачынены ключы генеруюцца агентам перад першым падлучэннем да цэнтра сертыфікацыі. Падчас аўтаматычнай праверкі агент выконвае шэраг тэстаў: напрыклад, падпісвае адчыненым ключом атрыманы аднаразовы пароль і прад'яўляе HTTP-рэсурс з вызначаным URI. Калі лічбавы подпіс правільны і ўсе тэсты пройдзеныя - агенту выдаюцца правы на кіраванне сертыфікатамі для дамена.
На другім этапе агент можа запытваць, абнаўляць і адклікаць сертыфікаты. Для аўтаматычнай выдачы сертыфіката выкарыстоўваецца пратакол аўтэнтыфікацыі класа "challenge-response" (выклік-адказ, выклік-водгук) пад назвай Automated Certificate Management Environment (ACME). Усе маніпуляцыі з сертыфікатам ажыццяўляюцца без спынення вэб-сервера пры дапамозе ACME-кліента . Ён просты ў выкарыстанні, працуе на большасці аперацыйных сістэм і выдатна дакументаваны. Ёсць экспертны рэжым з пашыраным наборам налад. Акрамя Certbot, існуе .
Важная роля Let's Encrypt
Let's Encrypt здзейсніў сапраўдную рэвалюцыю на рынку, дзе раней панавалі камерцыйныя цэнтры сертыфікацыі. Цяпер яны практычна выйшлі з бізнэсу выдачы DV-сертыфікатаў (сертыфікаты з пацверджаннем дамена, Domain Validation), хоць працягваюць прадаваць сертыфікаты з пацверджаннем арганізацыі (Organization Validation, OV) і сертыфікаты высокай надзейнасці (Extended Validation, EV), якія Let's Enc, таму што іх нельга аўтаматызаваць. Зрэшты, гэта нішавы тавар, а на масавым рынку непадзельна пануюць бясплатныя сертыфікаты Let's Encrypt.
Let's Encrypt зрабіў стандартам аўтаматычны перавыпуск сертыфікатаў. Нягледзячы на кароткі тэрмін іх жыцця (90 дзён), аўтаматычная працэдура ўхіляе "чалавечы фактар", які традыцыйна ўяўляе асноўную ўразлівасць у бяспецы. Адміністратары даменаў часта проста забываюць падоўжыць сертыфікаты, з-за чаго сэрвісы выходзяць са строю. Апошні такі неспадзяванак адбыўся з Microsoft Teams. 3 лютага 2020 года гэты сэрвіс для сумеснай працы сышоў у афлайн .
Аўтаматычная замена сертыфікатаў па пратаколе ACME выключае магчымасць падобных інцыдэнтаў.
Хоць праект Let's Encrypt абслугоўвае палову інтэрнэту, у фізічным свеце гэта маленькая некамерцыйная арганізацыя: «За гэтыя два з паловай гады наша арганізацыя вырасла, але зусім няшмат! - пішуць яны. — У чэрвені 2017 года мы абслугоўвалі каля 46 млн вэб-сайтаў сіламі 11 штатных супрацоўнікаў і з гадавым бюджэтам $2,61 млн. Сёння мы абслугоўваем амаль 192 млн вэб-сайтаў з 13 штатнымі супрацоўнікамі і гадавым бюджэтам прыкладна $3,35 млн. Гэта азначае, што мы абслугоўваем больш чым у чатыры разы больш сайтаў усяго з двума дадатковымі супрацоўнікамі і 28-працэнтным павелічэннем бюджэту».
Падтрымка праекта адбываецца праз и .
Да цяперашняга часу HTTPS стаў стандартам дэ-факта ў інтэрнэце. З мінулага года асноўныя браўзэры папярэджваюць карыстальнікаў аб небяспецы падключэння да сайтаў, якія не шыфруюць трафік па HTTPS. У такой змене ландшафту бяспекі вялікая заслуга Let's Encrypt.
Да ўсяго іншага, Let's Encrypt літаральна . Цяпер Jabber працуе з надзейным шыфраваннем як на ўзроўні кліент-сервер, так і сервер-сервер, а абсалютная большасць сертыфікатаў выдаў Let's Encrypt.
«Як супольнасць мы зрабілі неверагодныя рэчы, каб абараніць людзей у інтэрнэце, - сказана ў . - Выдача аднаго мільярда сертыфікатаў з'яўляецца пацвярджэннем усяго прагрэсу, якога мы дасягнулі як супольнасць».
Крыніца: habr.com