La 27-an de februaro 2020 senpaga atestila aŭtoritato Ni Ĉifri .
En festa gazetara komuniko, projektreprezentantoj memoras, ke la antaŭa datreveno de 100 milionoj eldonitaj atestiloj estis festita . Tiutempe, la parto de HTTPS-trafiko en Interreto estis 58% (en Usono - 64%). En du jaroj kaj duono signife kreskis la nombroj: “Hodiaŭ 81% de paĝoj ŝarĝitaj tutmonde uzas HTTPS, kaj en Usono ni estas je 91%! — la uloj de la projekto estas feliĉaj. - Nekredebla atingo. Ĉi tio estas multe pli alta nivelo de privateco kaj sekureco por ĉiuj."
Ni Ĉifri ludis tre gravan rolon farante HTTPS-atestiloj praktika normo kaj forta trafika ĉifrado la normo en Interreto.
Beta-testado de la noviga Let's Encrypt atestadaŭtoritato komenciĝis en decembro 2015. Unika trajto de la nova centro estis ke la procezo de emisiado de atestiloj estis komence plene aŭtomatigita.
Aŭtomata agordo de HTTPS sur la servilo okazas en du stadioj. En la unua etapo, la agento sciigas la atestan aŭtoritaton pri la rajtoj de la servila administranto pri la domajna nomo. Ekzemple, konfirmo povas impliki krei specifan subdomajnon aŭ instali HTTP-rimedon kun specifa URI ene de la domajno.
Let's Encrypt identigas la retservilon kurantan la agenton uzante ĝian publikan ŝlosilon. La publikaj kaj privataj ŝlosiloj estas generitaj de la agento antaŭ la unua konekto al la atestadaŭtoritato. Dum aŭtomata kontrolado, la agento faras kelkajn provojn: ekzemple, ĝi subskribas la ricevitan unufojan pasvorton per publika ŝlosilo kaj prezentas HTTP-rimedon kun specifa URI. Se la cifereca subskribo estas ĝusta kaj ĉiuj testoj estas trapasitaj, la agento ricevas rajtojn administri atestilojn por la domajno.
En la dua etapo, la agento povas peti, renovigi kaj revoki atestilojn. Por aŭtomate emisii atestilon, estas uzata defio-responda klasa aŭtentikigprotokolo nomata Automated Certificate Management Environment (ACME). Ĉiuj manipuladoj kun la atestilo estas efektivigitaj sen haltigi la retservilon uzante la ACME-klienton . Ĝi estas facile uzebla, funkcias ĉe la plej multaj operaciumoj kaj estas bone dokumentita. Estas sperta reĝimo kun pligrandigita aro de agordoj. Krom Certbot, ekzistas .
La Grava Rolo de Ni Ĉifri
Let's Encrypt revolucias merkaton antaŭe dominitan de komercaj CA-oj. Nun ili estas preskaŭ ekster la komerco de eldonado de DV-atestiloj (Domain Validation-atestiloj), kvankam ili daŭre vendas Organization Validation (OV) kaj Extended Validation (EV) atestiloj, kiujn Let's Encrypt ne eldonas ĉar ili ne povas esti aŭtomatigitaj. Tamen ĉi tio estas niĉa produkto, kaj senpagaj atestiloj de Let's Encrypt regas super la amasa merkato.
Let's Encrypt faris normon de aŭtomata reeldono de atestilo. Malgraŭ ilia mallonga vivdaŭro (90 tagoj), la aŭtomata proceduro forigas la "homan faktoron", kiu tradicie reprezentas la ĉefan sekurecan vundeblecon. Domajnaj administrantoj ofte simple forgesas renovigi atestojn, kio kaŭzas malsukceson de servoj. La plej nova tia okazaĵo okazis kun Microsoft Teams. La 3-an de februaro 2020, ĉi tiu kunlabora servo malkonektas .
Aŭtomata anstataŭigo de atestiloj uzante la ACME-protokolo forigas la eblecon de tiaj okazaĵoj.
Kvankam la projekto Let's Encrypt funkciigas duonon de la Interreto, en la fizika mondo ĝi estas malgranda senprofita organizaĵo: “En ĉi tiuj du jaroj kaj duono, nia organizo kreskis, sed nur iomete! - ili skribas. "En junio 2017, ni servis preskaŭ 46 milionojn da retejoj kun 11 plentempaj dungitoj kaj jara buĝeto de $ 2,61 milionoj. Hodiaŭ, ni servas preskaŭ 192 milionojn da retejoj kun 13 plentempaj dungitoj kaj jara buĝeto de proksimume $ 3,35 milionoj. " Ĉi tio signifas, ke ni servas pli ol kvaroble pli multajn ejojn kun nur du pliaj dungitoj kaj 28-procenta pliigo de buĝeto."
La projekto estas subtenata tra и .
Ĝis nun, HTTPS fariĝis la fakta normo en la Interreto. Ekde la pasinta jaro, ĉefaj retumiloj avertas uzantojn pri la danĝeroj de konektiĝi al retejoj, kiuj ne ĉifras trafikon per HTTPS. Let's Encrypt estas plejparte respondeca pri ĉi tiu ŝanĝo en la sekureca pejzaĝo.
Krom ĉio alia, Let's Encrypt estas laŭvorte . Jabber nun funkcias kun forta ĉifrado ĉe kaj la kliento-servilo kaj servilo-servilo niveloj, kaj la vasta plimulto de atestiloj estis eldonita de Let's Encrypt.
"Kiel komunumo, ni faris nekredeblajn aferojn por protekti homojn interrete," ĝi diris. . "La emisio de unu miliardo da atestiloj estas testamento de la tuta progreso, kiun ni faris kiel komunumo."
fonto: www.habr.com