27. února 2020 zdarma certifikační autorita Let's Encrypt
Zástupci projektu ve slavnostní tiskové zprávě připomínají, že se slavilo předchozí výročí 100 milionů vydaných certifikátů
Let's Encrypt sehrál velmi důležitou roli v tom, že se certifikáty HTTPS staly praktickým standardem a silné šifrování provozu na internetu normou.
Beta testování inovativní certifikační autority Let's Encrypt začalo v prosinci 2015. Unikátní vlastností nového centra bylo, že proces vydávání certifikátů byl zpočátku plně automatizován.
Automatická konfigurace HTTPS na serveru probíhá ve dvou fázích. V první fázi agent informuje certifikační autoritu o právech správce serveru k názvu domény. Ověření může například zahrnovat vytvoření konkrétní subdomény nebo instalaci zdroje HTTP se specifickým URI v rámci domény.
Let's Encrypt identifikuje webový server, na kterém běží agent, pomocí jeho veřejného klíče. Veřejné a soukromé klíče generuje agent před prvním připojením k certifikační autoritě. Během automatického ověřování agent provádí řadu testů: například podepíše přijaté jednorázové heslo veřejným klíčem a předloží HTTP zdroj se specifickým URI. Pokud je digitální podpis správný a všechny testy prošly úspěšně, agent získá práva ke správě certifikátů pro doménu.
Ve druhé fázi může agent vyžadovat, obnovovat a zrušit certifikáty. K automatickému vydání certifikátu se používá autentizační protokol třídy výzva-odpověď nazvaný Automated Certificate Management Environment (ACME). Veškeré manipulace s certifikátem jsou prováděny bez zastavení webového serveru pomocí klienta ACME
Důležitá role Let's Encrypt
Let's Encrypt přináší revoluci na trhu, kterému dříve dominovaly komerční CA. Nyní již téměř přestali s vydáváním DV certifikátů (Domain Validation certificates), i když nadále prodávají certifikáty Organization Validation (OV) a Extended Validation (EV), které Let's Encrypt nevydává, protože je nelze automatizovat. Jedná se však o specializovaný produkt a bezplatné certifikáty Let's Encrypt kralují masovému trhu.
Let's Encrypt zavedlo automatické opětovné vydávání certifikátů jako standard. Přes jejich krátkou životnost (90 dní) automatický postup eliminuje „lidský faktor“, který tradičně představuje hlavní bezpečnostní zranitelnost. Správci domén často jednoduše zapomínají obnovit certifikáty, což způsobuje selhání služeb. K poslednímu takovému incidentu došlo u Microsoft Teams. 3. února 2020 byla tato služba spolupráce offline
Automatická výměna certifikátů pomocí protokolu ACME eliminuje možnost takových incidentů.
Přestože projekt Let's Encrypt pohání polovinu internetu, ve fyzickém světě jde o malou neziskovou organizaci: „Za ty dva a půl roku se naše organizace rozrostla, ale jen trochu! - Oni píší. "V červnu 2017 jsme obsluhovali téměř 46 milionů webových stránek s 11 zaměstnanci na plný úvazek a ročním rozpočtem 2,61 milionu USD. Dnes obsluhujeme téměř 192 milionů webových stránek s 13 zaměstnanci na plný úvazek a ročním rozpočtem přibližně 3,35 milionu USD." Znamená to, že obsluhujeme více než čtyřikrát tolik stránek s pouhými dvěma zaměstnanci navíc a 28procentním navýšením rozpočtu.“
Projekt je podporován prostřednictvím
HTTPS se nyní stalo de facto standardem na internetu. Velké prohlížeče od loňského roku varují uživatele před nebezpečím připojování k webům, které nešifrují provoz přes HTTPS. Let's Encrypt je z velké části zodpovědný za tuto změnu v bezpečnostním prostředí.
Kromě všeho ostatního je Let's Encrypt doslova
„Jako komunita jsme udělali neuvěřitelné věci pro ochranu lidí online,“ stojí v prohlášení.
Zdroj: www.habr.com