27 lutego 2020 r. bezpłatnie Urząd certyfikacji Let's Encrypt .
W uroczystym komunikacie prasowym przedstawiciele projektu wspominają, że obchodzono poprzednią rocznicę wydania 100 milionów certyfikatów . Udział ruchu HTTPS w Internecie wynosił wówczas 58% (w USA – 64%). W ciągu dwóch i pół roku liczby te znacznie wzrosły: „Dziś 81% stron ładowanych na całym świecie korzysta z protokołu HTTPS, a w Stanach Zjednoczonych odsetek ten wynosi 91%! — chłopaki z projektu są zadowoleni. - Niesamowite osiągnięcie. To znacznie wyższy poziom prywatności i bezpieczeństwa dla wszystkich”.
Let's Encrypt odegrało bardzo ważną rolę w uczynieniu certyfikatów HTTPS praktycznym standardem, a silne szyfrowanie ruchu normą w Internecie.
Beta testy innowacyjnego urzędu certyfikacji Let's Encrypt rozpoczęły się w grudniu 2015 roku. Unikalną cechą nowego centrum było to, że proces wydawania certyfikatów był początkowo w pełni zautomatyzowany.
Automatyczna konfiguracja protokołu HTTPS na serwerze odbywa się w dwóch etapach. W pierwszym etapie agent powiadamia urząd certyfikacji o uprawnieniach administratora serwera do nazwy domeny. Na przykład weryfikacja może obejmować utworzenie określonej subdomeny lub zainstalowanie w domenie zasobu HTTP o określonym URI.
Let's Encrypt identyfikuje serwer WWW, na którym działa agent, przy użyciu jego klucza publicznego. Klucze publiczny i prywatny są generowane przez agenta przed pierwszym połączeniem z urzędem certyfikacji. Podczas automatycznej weryfikacji agent wykonuje szereg testów: np. otrzymane hasło jednorazowe podpisuje kluczem publicznym i prezentuje zasób HTTP o określonym URI. Jeżeli podpis cyfrowy będzie poprawny i wszystkie testy zostaną pomyślnie zaliczone, agent otrzymuje uprawnienia do zarządzania certyfikatami dla domeny.
W drugim etapie agent może żądać, odnawiać i unieważniać certyfikaty. Aby automatycznie wystawić certyfikat, używany jest protokół uwierzytelniania klasy wyzwanie-odpowiedź zwany automatycznym środowiskiem zarządzania certyfikatami (ACME). Wszelkie manipulacje certyfikatem odbywają się bez zatrzymywania serwera WWW za pomocą klienta ACME . Jest łatwy w użyciu, działa na większości systemów operacyjnych i jest dobrze udokumentowany. Dostępny jest tryb ekspercki z rozszerzonym zestawem ustawień. Oprócz Certbota istnieje .
Ważna rola Let's Encrypt
Let's Encrypt rewolucjonizuje rynek wcześniej zdominowany przez komercyjne urzędy certyfikacji. Teraz prawie wycofali się z działalności w zakresie wydawania certyfikatów DV (certyfikatów Domain Validation), chociaż nadal sprzedają certyfikaty Organisation Validation (OV) i Extended Validation (EV), których Let's Encrypt nie wydaje, ponieważ nie można ich zautomatyzować. Jest to jednak produkt niszowy, a na rynku masowym królują darmowe certyfikaty Let's Encrypt.
Let's Encrypt uczyniło standardem automatyczne ponowne wydawanie certyfikatów. Pomimo krótkiego czasu życia (90 dni), automatyczna procedura eliminuje „czynnik ludzki”, który tradycyjnie stanowi główną lukę w zabezpieczeniach. Administratorzy domen często po prostu zapominają o odnowieniu certyfikatów, co powoduje awarię usług. Ostatni taki incydent miał miejsce w przypadku Microsoft Teams. 3 lutego 2020 r. ta usługa współpracy została wyłączona .
Automatyczna wymiana certyfikatów przy wykorzystaniu protokołu ACME eliminuje możliwość wystąpienia takich incydentów.
Chociaż projekt Let's Encrypt obsługuje połowę Internetu, w świecie fizycznym jest to mała organizacja non-profit: „W ciągu tych dwóch i pół roku nasza organizacja urosła, ale tylko trochę! - piszą. "W czerwcu 2017 roku obsługiwaliśmy prawie 46 milionów stron internetowych, zatrudniając 11 pełnoetatowych pracowników i przy rocznym budżecie wynoszącym 2,61 miliona dolarów. Dziś obsługujemy prawie 192 miliony stron internetowych, zatrudniając 13 pełnoetatowych pracowników i przy rocznym budżecie wynoszącym około 3,35 miliona dolarów. " oznacza, że obsługujemy ponad czterokrotnie więcej lokalizacji przy zaledwie dwóch dodatkowych pracownikach i 28-procentowym wzroście budżetu”.
Projekt jest wspierany przez и .
Do tej pory protokół HTTPS stał się de facto standardem w Internecie. Od zeszłego roku główne przeglądarki ostrzegają użytkowników o niebezpieczeństwach związanych z łączeniem się z witrynami, które nie szyfrują ruchu za pośrednictwem protokołu HTTPS. Let's Encrypt jest w dużej mierze odpowiedzialny za tę zmianę w krajobrazie bezpieczeństwa.
Co więcej, Let's Encrypt jest dosłownie . Jabber działa teraz z silnym szyfrowaniem zarówno na poziomie klient-serwer, jak i serwer-serwer, a zdecydowana większość certyfikatów została wystawiona przez Let's Encrypt.
„Jako społeczność zrobiliśmy niesamowite rzeczy, aby chronić ludzi w Internecie” – stwierdzono. . „Wydanie miliarda certyfikatów jest świadectwem całego postępu, jakiego dokonaliśmy jako społeczność”.
Źródło: www.habr.com