27. februar 2020 gratis Let's Encrypt-certifikatmyndighed .
I en festlig pressemeddelelse minder projektrepræsentanter om, at det tidligere jubilæum for 100 millioner udstedte certifikater blev fejret . På det tidspunkt var andelen af HTTPS-trafik på internettet 58% (i USA - 64%). På to et halvt år er tallene vokset markant: “I dag bruger 81 % af de indlæste sider på verdensplan HTTPS, og i USA er vi på 91 %! - fyrene fra projektet er glade. - En utrolig præstation. Dette er et meget højere niveau af privatliv og sikkerhed for alle."
Let's Encrypt spillede en meget vigtig rolle i at gøre HTTPS-certifikater til en praktisk standard og stærk trafikkryptering til normen på internettet.
Betatestning af den innovative Let's Encrypt-certificeringsmyndighed begyndte i december 2015. Et unikt træk ved det nye center var, at processen med at udstede certifikater oprindeligt var fuldautomatisk.
Automatisk konfiguration af HTTPS på serveren sker i to trin. I første fase underretter agenten certificeringsmyndigheden om serveradministratorens rettigheder til domænenavnet. For eksempel kan verifikation involvere oprettelse af et specifikt underdomæne eller installation af en HTTP-ressource med en specifik URI inden for domænet.
Let's Encrypt identificerer webserveren, der kører agenten ved hjælp af dens offentlige nøgle. De offentlige og private nøgler genereres af agenten før den første forbindelse til certificeringsmyndigheden. Under automatisk verifikation udfører agenten en række tests: for eksempel signerer den det modtagne engangskodeord med en offentlig nøgle og præsenterer en HTTP-ressource med en specifik URI. Hvis den digitale signatur er korrekt, og alle test er bestået, tildeles agenten rettigheder til at administrere certifikater for domænet.
I anden fase kan agenten anmode om, forny og tilbagekalde certifikater. For automatisk at udstede et certifikat bruges en udfordring-svar-klassegodkendelsesprotokol kaldet ACME (Automated Certificate Management Environment). Alle manipulationer med certifikatet udføres uden at stoppe webserveren ved hjælp af ACME-klienten . Det er nemt at bruge, fungerer på de fleste operativsystemer og er veldokumenteret. Der er en eksperttilstand med et udvidet sæt indstillinger. Ud over Certbot er der .
Let's Encrypts vigtige rolle
Let's Encrypt revolutionerer et marked, der tidligere var domineret af kommercielle CA'er. Nu er de næsten ude af branchen med at udstede DV-certifikater (Domain Validation-certifikater), selvom de fortsætter med at sælge Organization Validation (OV) og Extended Validation (EV) certifikater, som Let's Encrypt ikke udsteder, fordi de ikke kan automatiseres. Dette er dog et nicheprodukt, og gratis Let's Encrypt-certifikater regerer på massemarkedet.
Let's Encrypt har lavet automatisk genudstedelse af certifikater til standard. På trods af deres korte levetid (90 dage), eliminerer den automatiske procedure den "menneskelige faktor", der traditionelt repræsenterer den største sikkerhedssårbarhed. Domæneadministratorer glemmer ofte simpelthen at forny certifikater, hvilket får tjenesterne til at fejle. Den seneste sådanne hændelse fandt sted med Microsoft Teams. Den 3. februar 2020 gik denne samarbejdstjeneste offline .
Automatisk udskiftning af certifikater ved hjælp af ACME-protokollen eliminerer muligheden for sådanne hændelser.
Selvom Let's Encrypt-projektet driver halvdelen af internettet, er det i den fysiske verden en lille non-profit organisation: ”På disse to et halvt år er vores organisation vokset, men bare lidt! - de skriver. "I juni 2017 betjente vi næsten 46 millioner websteder med 11 fuldtidsansatte og et årligt budget på 2,61 millioner USD. I dag betjener vi næsten 192 millioner websteder med 13 fuldtidsansatte og et årligt budget på cirka 3,35 millioner USD." betyder, at vi betjener mere end fire gange så mange websteder med kun to ekstra medarbejdere og en stigning på 28 procent i budgettet."
Projektet er støttet gennem и .
Efterhånden er HTTPS blevet de facto-standarden på internettet. Siden sidste år har store browsere advaret brugere om farerne ved at oprette forbindelse til websteder, der ikke krypterer trafik over HTTPS. Let's Encrypt er i høj grad ansvarlig for denne ændring i sikkerhedslandskabet.
Oven i alt andet er Let's Encrypt bogstaveligt talt . Jabber arbejder nu med stærk kryptering på både klient-server- og server-server-niveau, og langt de fleste certifikater blev udstedt af Let's Encrypt.
"Som et fællesskab har vi gjort utrolige ting for at beskytte folk online," stod der. . "Udstedelsen af en milliard certifikater er et vidnesbyrd om alle de fremskridt, vi har gjort som samfund."
Kilde: www.habr.com