27 febbraio 2020 Crittografiamo l'autorità di certificazione gratuita .
In un comunicato stampa celebrativo, i rappresentanti del progetto ricordano che è stato celebrato il precedente anniversario dei 100 milioni di certificati emessi . Quindi la quota del traffico HTTPS su Internet era del 58% (negli Stati Uniti - 64%). In due anni e mezzo le cifre sono cresciute in modo significativo: “Oggi l'81% delle pagine caricate nel mondo utilizza HTTPS, e negli Stati Uniti siamo al 91%! - i ragazzi del progetto si rallegrano. - Risultati incredibili. Questo è un livello molto più elevato di privacy e sicurezza per tutti”.
Let's Encrypt ha svolto un ruolo molto importante nel rendere i certificati HTTPS uno standard di utilità e la crittografia avanzata del traffico è diventata una norma perfetta su Internet.
Il beta test dell'innovativa autorità di certificazione Let's Encrypt è iniziato a dicembre 2015. Una caratteristica unica del nuovo centro era che il processo di emissione dei certificati era inizialmente completamente automatizzato.
La configurazione automatica di HTTPS sul server avviene in due fasi. Nella prima fase, l'agente notifica alla CA i diritti di amministratore del server sul nome di dominio. Ad esempio, la convalida potrebbe comportare la creazione di un sottodominio specifico o l'installazione di una risorsa HTTP con un URI specifico all'interno di un dominio.
Let's Encrypt identifica il server Web che esegue l'agente tramite la sua chiave pubblica. Le chiavi pubbliche e private vengono generate dall'agente prima della prima connessione alla CA. Durante la verifica automatica, l'agente esegue una serie di test: ad esempio, firma la password monouso ricevuta con una chiave pubblica e presenta una risorsa HTTP con un URI specifico. Se la firma digitale è corretta e tutti i test vengono superati, all'agente vengono concessi i diritti per gestire i certificati per il dominio.
Nella seconda fase, l'agente può richiedere, rinnovare e revocare i certificati. Per emettere automaticamente un certificato, viene utilizzato un protocollo di autenticazione di classe challenge-response (challenge-response, challenge-response) chiamato Automated Certificate Management Environment (ACME). Tutte le manipolazioni con il certificato vengono eseguite senza arrestare il server Web utilizzando il client ACME . È facile da usare, funziona sulla maggior parte dei sistemi operativi ed è ben documentato. C'è una modalità esperto con un set esteso di impostazioni. Oltre a Certbot, c'è .
L'importanza di Let's Encrypt
Let's Encrypt ha rivoluzionato un mercato precedentemente dominato dalle CA commerciali. Ora sono quasi fuori dal business dei certificati DV (Domain Validation), sebbene continuino a vendere certificati Organization Validation (OV) e Extended Validation (EV) che Let's Encrypt non emette perché non possono essere automatizzati. Tuttavia, questo è un prodotto di nicchia e i certificati Let's Encrypt gratuiti regnano sovrani nel mercato di massa.
Let's Encrypt ha reso uno standard la riemissione automatica dei certificati. Nonostante la loro breve durata (90 giorni), la procedura automatica elimina il "fattore umano" che tradizionalmente rappresenta una delle principali vulnerabilità della sicurezza. Gli amministratori di dominio spesso dimenticano semplicemente di rinnovare i certificati, causando il fallimento dei servizi. L'ultimo incidente del genere è avvenuto con Microsoft Teams. Il 3 febbraio 2020, questo servizio di collaborazione è andato offline .
La sostituzione automatica dei certificati utilizzando il protocollo ACME elimina la possibilità di tali incidenti.
Sebbene il progetto Let's Encrypt serva metà di Internet, nel mondo fisico è una piccola organizzazione no profit: “In questi due anni e mezzo la nostra organizzazione è cresciuta, ma non molto! loro scrivono. "Nel giugno 2017, abbiamo ospitato circa 46 milioni di siti Web con 11 dipendenti a tempo pieno e un budget annuale di 2,61 milioni di dollari. Oggi gestiamo quasi 192 milioni di siti Web con 13 dipendenti a tempo pieno e un budget annuale di circa 3,35 milioni di dollari. Ciò significa stiamo servendo un numero di siti quattro volte superiore con solo due dipendenti in più e un aumento del budget del 28%.
Il progetto è sostenuto attraverso и .
Ormai HTTPS è diventato lo standard de facto su Internet. Dallo scorso anno, i principali browser hanno avvertito gli utenti dei pericoli della connessione a siti che non crittografano il traffico su HTTPS. Let's Encrypt è accreditato di un tale cambiamento nel panorama della sicurezza.
Inoltre, Let's Encrypt è letteralmente . Ora Jabber funziona con una crittografia avanzata sia a livello client-server che server-server e la stragrande maggioranza dei certificati è stata emessa da Let's Encrypt.
"Come comunità, abbiamo fatto cose incredibili per proteggere le persone online", si legge nel . "L'emissione di un miliardo di certificati è una testimonianza di tutti i progressi che abbiamo fatto come comunità".
Fonte: habr.com