27 febbraio 2020 Crittografiamo l'autorità di certificazione gratuita
In un comunicato stampa celebrativo, i rappresentanti del progetto ricordano che è stato celebrato il precedente anniversario dei 100 milioni di certificati emessi
Let's Encrypt ha svolto un ruolo molto importante nel rendere i certificati HTTPS uno standard di utilità e la crittografia avanzata del traffico è diventata una norma perfetta su Internet.
Il beta test dell'innovativa autorità di certificazione Let's Encrypt è iniziato a dicembre 2015. Una caratteristica unica del nuovo centro era che il processo di emissione dei certificati era inizialmente completamente automatizzato.
La configurazione automatica di HTTPS sul server avviene in due fasi. Nella prima fase, l'agente notifica alla CA i diritti di amministratore del server sul nome di dominio. Ad esempio, la convalida potrebbe comportare la creazione di un sottodominio specifico o l'installazione di una risorsa HTTP con un URI specifico all'interno di un dominio.
Let's Encrypt identifica il server Web che esegue l'agente tramite la sua chiave pubblica. Le chiavi pubbliche e private vengono generate dall'agente prima della prima connessione alla CA. Durante la verifica automatica, l'agente esegue una serie di test: ad esempio, firma la password monouso ricevuta con una chiave pubblica e presenta una risorsa HTTP con un URI specifico. Se la firma digitale è corretta e tutti i test vengono superati, all'agente vengono concessi i diritti per gestire i certificati per il dominio.
Nella seconda fase, l'agente può richiedere, rinnovare e revocare i certificati. Per emettere automaticamente un certificato, viene utilizzato un protocollo di autenticazione di classe challenge-response (challenge-response, challenge-response) chiamato Automated Certificate Management Environment (ACME). Tutte le manipolazioni con il certificato vengono eseguite senza arrestare il server Web utilizzando il client ACME
L'importanza di Let's Encrypt
Let's Encrypt ha rivoluzionato un mercato precedentemente dominato dalle CA commerciali. Ora sono quasi fuori dal business dei certificati DV (Domain Validation), sebbene continuino a vendere certificati Organization Validation (OV) e Extended Validation (EV) che Let's Encrypt non emette perché non possono essere automatizzati. Tuttavia, questo è un prodotto di nicchia e i certificati Let's Encrypt gratuiti regnano sovrani nel mercato di massa.
Let's Encrypt ha reso uno standard la riemissione automatica dei certificati. Nonostante la loro breve durata (90 giorni), la procedura automatica elimina il "fattore umano" che tradizionalmente rappresenta una delle principali vulnerabilità della sicurezza. Gli amministratori di dominio spesso dimenticano semplicemente di rinnovare i certificati, causando il fallimento dei servizi. L'ultimo incidente del genere è avvenuto con Microsoft Teams. Il 3 febbraio 2020, questo servizio di collaborazione è andato offline
La sostituzione automatica dei certificati utilizzando il protocollo ACME elimina la possibilità di tali incidenti.
Sebbene il progetto Let's Encrypt serva metà di Internet, nel mondo fisico è una piccola organizzazione no profit: “In questi due anni e mezzo la nostra organizzazione è cresciuta, ma non molto! loro scrivono. "Nel giugno 2017, abbiamo ospitato circa 46 milioni di siti Web con 11 dipendenti a tempo pieno e un budget annuale di 2,61 milioni di dollari. Oggi gestiamo quasi 192 milioni di siti Web con 13 dipendenti a tempo pieno e un budget annuale di circa 3,35 milioni di dollari. Ciò significa stiamo servendo un numero di siti quattro volte superiore con solo due dipendenti in più e un aumento del budget del 28%.
Il progetto è sostenuto attraverso
Ormai HTTPS è diventato lo standard de facto su Internet. Dallo scorso anno, i principali browser hanno avvertito gli utenti dei pericoli della connessione a siti che non crittografano il traffico su HTTPS. Let's Encrypt è accreditato di un tale cambiamento nel panorama della sicurezza.
Inoltre, Let's Encrypt è letteralmente
"Come comunità, abbiamo fatto cose incredibili per proteggere le persone online", si legge nel
Fonte: habr.com