27. Februar 2020 Let's Encrypt, kostenlose Zertifizierungsstelle .
In einer feierlichen Pressemitteilung erinnern Projektvertreter daran, dass das vorherige Jubiläum von 100 Millionen ausgestellten Zertifikaten gefeiert wurde . Damals betrug der Anteil des HTTPS-Verkehrs im Internet 58 % (in den USA – 64 %). In zweieinhalb Jahren sind die Zahlen deutlich gestiegen: „Heute nutzen 81 % der geladenen Seiten weltweit HTTPS, und in den Vereinigten Staaten sind wir bei 91 %!“ - Die Jungs vom Projekt freuen sich. - Unglaubliche Leistung. Dies bedeutet ein viel höheres Maß an Privatsphäre und Sicherheit für alle.“
Let's Encrypt spielte eine sehr wichtige Rolle dabei, HTTPS-Zertifikate zu einem Dienststandard zu machen und eine starke Verkehrsverschlüsselung zu einer perfekten Norm im Internet zu machen.
Der Betatest der innovativen Zertifizierungsstelle Let's Encrypt begann im Dezember 2015. Einzigartig am neuen Zentrum war, dass der Prozess der Zertifikatsausstellung zunächst vollständig automatisiert ablief.
Die automatische Konfiguration von HTTPS auf dem Server erfolgt in zwei Schritten. Im ersten Schritt teilt der Agent der CA mit, dass der Server über Administratorrechte für den Domänennamen verfügt. Die Validierung kann beispielsweise das Erstellen einer bestimmten Subdomäne oder die Installation einer HTTP-Ressource mit einem bestimmten URI innerhalb einer Domäne umfassen.
Let's Encrypt identifiziert den Webserver, auf dem der Agent ausgeführt wird, anhand seines öffentlichen Schlüssels. Der öffentliche und der private Schlüssel werden vom Agenten vor der ersten Verbindung zur CA generiert. Bei der automatischen Verifizierung führt der Agent eine Reihe von Tests durch: Beispielsweise signiert er das empfangene Einmalpasswort mit einem öffentlichen Schlüssel und präsentiert eine HTTP-Ressource mit einem bestimmten URI. Wenn die digitale Signatur korrekt ist und alle Tests bestanden wurden, erhält der Agent die Rechte, Zertifikate für die Domäne zu verwalten.
Im zweiten Schritt kann der Agent Zertifikate anfordern, erneuern und widerrufen. Zur automatischen Ausstellung eines Zertifikats wird ein Authentifizierungsprotokoll der Challenge-Response-Klasse (Challenge-Response, Challenge-Response) namens Automated Certificate Management Environment (ACME) verwendet. Alle Manipulationen mit dem Zertifikat werden ohne Stoppen des Webservers über den ACME-Client durchgeführt . Es ist einfach zu verwenden, funktioniert auf den meisten Betriebssystemen und ist gut dokumentiert. Es gibt einen Expertenmodus mit erweiterten Einstellungen. Zusätzlich zu Certbot gibt es .
Die Bedeutung von Let's Encrypt
Let's Encrypt hat einen Markt revolutioniert, der zuvor von kommerziellen Zertifizierungsstellen dominiert wurde. Mittlerweile haben sie sich fast aus dem Geschäft mit DV-Zertifikaten (Domain Validation) zurückgezogen, obwohl sie weiterhin Organization Validation (OV)- und Extended Validation (EV)-Zertifikate verkaufen, die Let's Encrypt nicht ausstellt, da sie nicht automatisiert werden können. Allerdings handelt es sich hierbei um ein Nischenprodukt und auf dem Massenmarkt dominieren kostenlose Let's Encrypt-Zertifikate.
Let's Encrypt hat es zum Standard gemacht, Zertifikate automatisch neu auszustellen. Trotz ihrer kurzen Lebensdauer (90 Tage) eliminiert das automatische Verfahren den „menschlichen Faktor“, der traditionell eine große Sicherheitslücke darstellt. Domänenadministratoren vergessen oft einfach, Zertifikate zu erneuern, was dazu führt, dass Dienste ausfallen. Der letzte derartige Vorfall ereignete sich bei Microsoft Teams. Am 3. Februar 2020 ging dieser Kollaborationsdienst offline .
Der automatische Austausch von Zertifikaten mithilfe des ACME-Protokolls eliminiert die Möglichkeit solcher Vorfälle.
Obwohl das Let's Encrypt-Projekt die Hälfte des Internets bedient, handelt es sich in der physischen Welt um eine kleine gemeinnützige Organisation: „In diesen zweieinhalb Jahren ist unsere Organisation gewachsen, aber nicht viel!“ Sie schreiben. „Im Juni 2017 haben wir etwa 46 Millionen Websites mit 11 Vollzeitmitarbeitern und einem Jahresbudget von 2,61 Millionen US-Dollar gehostet. Heute betreiben wir fast 192 Millionen Websites mit 13 Vollzeitmitarbeitern und einem Jahresbudget von etwa 3,35 Millionen US-Dollar. Das bedeutet.“ Mit nur zwei zusätzlichen Mitarbeitern und einer Budgetsteigerung von 28 Prozent betreuen wir mehr als viermal so viele Standorte.“
Das Projekt wird unterstützt durch и .
Mittlerweile ist HTTPS zum De-facto-Standard im Internet geworden. Seit letztem Jahr warnen große Browser Benutzer vor den Gefahren einer Verbindung zu Websites, die den Datenverkehr nicht über HTTPS verschlüsseln. Let's Encrypt wird eine solche Veränderung in der Sicherheitslandschaft zugeschrieben.
Darüber hinaus ist Let's Encrypt im wahrsten Sinne des Wortes . Jetzt arbeitet Jabber mit starker Verschlüsselung sowohl auf Client-Server- als auch auf Server-Server-Ebene, und die überwiegende Mehrheit der Zertifikate wurde von Let's Encrypt ausgestellt.
„Als Gemeinschaft haben wir unglaubliche Dinge getan, um Menschen online zu schützen“, heißt es in der . „Die Ausgabe von einer Milliarde Zertifikaten ist ein Beweis für den Fortschritt, den wir als Gemeinschaft gemacht haben.“
Source: habr.com