27. februar 2020 gratis Let's Encrypt sertifiseringsinstans .
I en festlig pressemelding minner prosjektrepresentanter om at det forrige jubileet for 100 millioner utstedte sertifikater ble feiret . På det tidspunktet var andelen HTTPS-trafikk på Internett 58 % (i USA - 64 %). På to og et halvt år har tallene vokst betraktelig: «I dag bruker 81 % av sidene som lastes over hele verden HTTPS, og i USA er vi på 91 %! — gutta fra prosjektet er fornøyde. – En utrolig prestasjon. Dette er et mye høyere nivå av personvern og sikkerhet for alle."
Let's Encrypt spilte en svært viktig rolle i å gjøre HTTPS-sertifikater til en praktisk standard og sterk trafikkkryptering til normen på Internett.
Betatesting av den innovative Let's Encrypt-sertifiseringsmyndigheten begynte i desember 2015. Et unikt trekk ved det nye senteret var at prosessen med å utstede sertifikater i utgangspunktet var helautomatisert.
Automatisk konfigurasjon av HTTPS på serveren skjer i to trinn. I det første trinnet varsler agenten sertifiseringsmyndigheten om serveradministratorens rettigheter til domenenavnet. For eksempel kan verifisering innebære å opprette et spesifikt underdomene eller installere en HTTP-ressurs med en spesifikk URI innenfor domenet.
Let's Encrypt identifiserer webserveren som kjører agenten ved å bruke dens offentlige nøkkel. De offentlige og private nøklene genereres av agenten før den første tilkoblingen til sertifiseringsmyndigheten. Under automatisk verifisering utfører agenten en rekke tester: for eksempel signerer den det mottatte engangspassordet med en offentlig nøkkel og presenterer en HTTP-ressurs med en spesifikk URI. Hvis den digitale signaturen er riktig og alle tester er bestått, gis agenten rettigheter til å administrere sertifikater for domenet.
I det andre trinnet kan agenten be om, fornye og tilbakekalle sertifikater. For å automatisk utstede et sertifikat, brukes en autentiseringsprotokoll for challenge-response-klasse kalt ACME (Automatic Certificate Management Environment). Alle manipulasjoner med sertifikatet utføres uten å stoppe webserveren ved å bruke ACME-klienten . Den er enkel å bruke, fungerer på de fleste operativsystemer og er godt dokumentert. Det er en ekspertmodus med et utvidet sett med innstillinger. I tillegg til Certbot er det .
Den viktige rollen til Let's Encrypt
Let's Encrypt revolusjonerer et marked som tidligere var dominert av kommersielle CAer. Nå er de nesten ute av virksomheten med å utstede DV-sertifikater (Domain Validation-sertifikater), selv om de fortsetter å selge Organization Validation (OV) og Extended Validation (EV)-sertifikater, som Let's Encrypt ikke utsteder, fordi de ikke kan automatiseres. Dette er imidlertid et nisjeprodukt, og gratis Let's Encrypt-sertifikater regjerer på massemarkedet.
Let's Encrypt har laget automatisk gjenutstedelse av sertifikater til standard. Til tross for deres korte levetid (90 dager), eliminerer den automatiske prosedyren den "menneskelige faktoren" som tradisjonelt representerer den største sikkerhetssårbarheten. Domeneadministratorer glemmer ofte å fornye sertifikater, noe som fører til at tjenester mislykkes. Den siste slike hendelsen skjedde med Microsoft Teams. 3. februar 2020 gikk denne samarbeidstjenesten offline .
Automatisk utskifting av sertifikater ved bruk av ACME-protokollen eliminerer muligheten for slike hendelser.
Selv om Let's Encrypt-prosjektet driver halvparten av Internett, er det i den fysiske verden en liten ideell organisasjon: «På disse to og et halvt årene har organisasjonen vår vokst, men bare litt! - de skriver. "I juni 2017 serverte vi nesten 46 millioner nettsteder med 11 heltidsansatte og et årlig budsjett på $2,61 millioner. I dag betjener vi nesten 192 millioner nettsteder med 13 heltidsansatte og et årlig budsjett på omtrent $3,35 millioner." betyr at vi betjener mer enn fire ganger så mange nettsteder med bare to ekstra ansatte og en budsjettøkning på 28 prosent.»
Prosjektet er støttet gjennom и .
Nå har HTTPS blitt de facto-standarden på Internett. Siden i fjor har store nettlesere advart brukere om farene ved å koble til nettsteder som ikke krypterer trafikk over HTTPS. Let's Encrypt er i stor grad ansvarlig for denne endringen i sikkerhetslandskapet.
På toppen av alt annet er Let's Encrypt bokstavelig talt . Jabber jobber nå med sterk kryptering på både klient-server- og server-server-nivå, og de aller fleste sertifikater ble utstedt av Let's Encrypt.
"Som et fellesskap har vi gjort utrolige ting for å beskytte folk på nettet," heter det. . "Utstedelsen av én milliard sertifikater er et bevis på all fremgangen vi har gjort som et fellesskap."
Kilde: www.habr.com