27 februari 2020 gratis Let's Encrypt-certificeringsinstantie .
In een feestelijk persbericht herinneren projectvertegenwoordigers eraan dat de vorige verjaardag van 100 miljoen uitgegeven certificaten werd gevierd . Op dat moment bedroeg het aandeel HTTPS-verkeer op internet 58% (in de VS - 64%). In twee en een half jaar zijn de cijfers aanzienlijk gegroeid: “Vandaag de dag gebruikt 81% van de wereldwijd geladen pagina's HTTPS, en in de Verenigde Staten zitten we op 91%! — de jongens van het project zijn blij. - Een ongelooflijke prestatie. Dit is een veel hoger niveau van privacy en veiligheid voor iedereen.”
Let's Encrypt heeft een zeer belangrijke rol gespeeld bij het maken van HTTPS-certificaten tot een praktische standaard en sterke verkeersencryptie tot de norm op internet.
De bètatests van de innovatieve certificeringsinstantie Let's Encrypt zijn in december 2015 begonnen. Uniek aan het nieuwe centrum was dat het proces van het uitgeven van certificaten aanvankelijk volledig geautomatiseerd was.
Automatische configuratie van HTTPS op de server vindt plaats in twee fasen. In de eerste fase informeert de agent de certificeringsinstantie over de rechten van de serverbeheerder op de domeinnaam. Bij verificatie kan het bijvoorbeeld gaan om het aanmaken van een specifiek subdomein of het installeren van een HTTP-bron met een specifieke URI binnen het domein.
Let's Encrypt identificeert de webserver waarop de agent draait met behulp van de openbare sleutel. De publieke en private sleutels worden door de agent gegenereerd vóór de eerste verbinding met de certificeringsinstantie. Tijdens de automatische verificatie voert de agent een aantal tests uit: hij ondertekent bijvoorbeeld het ontvangen eenmalige wachtwoord met een publieke sleutel en presenteert een HTTP-bron met een specifieke URI. Als de digitale handtekening correct is en alle tests zijn geslaagd, krijgt de agent rechten om certificaten voor het domein te beheren.
In de tweede fase kan de agent certificaten aanvragen, vernieuwen en intrekken. Om automatisch een certificaat uit te geven, wordt een challenge-response-klasse-authenticatieprotocol gebruikt, de Automated Certificate Management Environment (ACME). Alle manipulaties met het certificaat worden uitgevoerd zonder de webserver te stoppen met behulp van de ACME-client . Het is gemakkelijk te gebruiken, werkt op de meeste besturingssystemen en is goed gedocumenteerd. Er is een expertmodus met een uitgebreide set instellingen. Naast Certbot is er ook .
De belangrijke rol van Let's Encrypt
Let's Encrypt brengt een revolutie teweeg in een markt die voorheen werd gedomineerd door commerciële CA's. Nu zijn ze bijna gestopt met het uitgeven van DV-certificaten (Domain Validation-certificaten), hoewel ze nog steeds Organization Validation (OV) en Extended Validation (EV)-certificaten blijven verkopen, die Let's Encrypt niet uitgeeft, omdat ze niet kunnen worden geautomatiseerd. Dit is echter een nicheproduct en gratis Let's Encrypt-certificaten voeren de boventoon op de massamarkt.
Let's Encrypt heeft de automatische heruitgifte van certificaten standaard gemaakt. Ondanks hun korte levensduur (90 dagen) elimineert de automatische procedure de “menselijke factor” die traditioneel het grootste beveiligingsprobleem vertegenwoordigt. Domeinbeheerders vergeten vaak eenvoudigweg certificaten te vernieuwen, waardoor services uitvallen. Het laatste dergelijke incident vond plaats met Microsoft Teams. Op 3 februari 2020 is deze samenwerkingsdienst offline gegaan .
Automatische vervanging van certificaten met behulp van het ACME-protocol elimineert de mogelijkheid van dergelijke incidenten.
Hoewel het Let's Encrypt-project de helft van het internet aandrijft, is het in de fysieke wereld een kleine non-profitorganisatie: “In deze twee en een half jaar is onze organisatie gegroeid, maar slechts een klein beetje! - zij schrijven. "In juni 2017 bedienden we bijna 46 miljoen websites met 11 fulltime werknemers en een jaarlijks budget van $2,61 miljoen. Tegenwoordig bedienen we bijna 192 miljoen websites met 13 fulltime werknemers en een jaarlijks budget van ongeveer $3,35 miljoen." betekent dat we ruim vier keer zoveel locaties bedienen met slechts twee extra medewerkers en een budgetverhoging van 28 procent.”
Het project wordt ondersteund via и .
Inmiddels is HTTPS de de facto standaard op internet geworden. Sinds vorig jaar waarschuwen grote browsers gebruikers voor de gevaren van het verbinden met sites die het verkeer niet via HTTPS versleutelen. Let's Encrypt is grotendeels verantwoordelijk voor deze verandering in het beveiligingslandschap.
Bovendien is Let's Encrypt letterlijk . Jabber werkt nu met sterke encryptie op zowel client-server- als server-server-niveau, en de overgrote meerderheid van de certificaten is uitgegeven door Let's Encrypt.
“Als gemeenschap hebben we ongelooflijke dingen gedaan om mensen online te beschermen”, aldus het rapport. . “De uitgifte van één miljard certificaten is een bewijs van alle vooruitgang die we als gemeenschap hebben geboekt.”
Bron: www.habr.com