27. februar 2020 brezplačen overitelj potrdil Let's Encrypt
Predstavniki projekta v slavnostnem sporočilu za javnost spominjajo, da so praznovali prejšnjo obletnico 100 milijonov izdanih certifikatov
Let's Encrypt je igral zelo pomembno vlogo pri tem, da so certifikati HTTPS postali praktični standard, močno šifriranje prometa pa norma na internetu.
Beta testiranje inovativnega overitelja Let's Encrypt se je začelo decembra 2015. Edinstvena značilnost novega centra je bila, da je bil postopek izdaje certifikatov na začetku popolnoma avtomatiziran.
Samodejna konfiguracija HTTPS na strežniku poteka v dveh stopnjah. Na prvi stopnji agent obvesti overitelja o pravicah skrbnika strežnika do imena domene. Preverjanje lahko na primer vključuje ustvarjanje določene poddomene ali namestitev vira HTTP z določenim URI znotraj domene.
Let's Encrypt identificira spletni strežnik, ki izvaja agenta, z uporabo njegovega javnega ključa. Javni in zasebni ključ generira agent pred prvo povezavo s overiteljem. Med samodejnim preverjanjem agent izvede številne teste: na primer podpiše prejeto enkratno geslo z javnim ključem in predstavi vir HTTP z določenim URI. Če je digitalni podpis pravilen in so uspešno opravljeni vsi testi, dobi agent pravice za upravljanje certifikatov za domeno.
V drugi fazi lahko agent zahteva, obnavlja in prekliče potrdila. Za samodejno izdajo potrdila se uporablja protokol za preverjanje pristnosti razreda izziv-odziv, imenovan okolje za samodejno upravljanje potrdil (ACME). Vse manipulacije s potrdilom se izvajajo brez zaustavitve spletnega strežnika z uporabo odjemalca ACME
Pomembna vloga Let's Encrypt
Let's Encrypt revolucionira trg, ki so ga prej obvladovali komercialni overitelji potrdil. Zdaj so skoraj prenehali z izdajo potrdil DV (Domain Validation certificates), čeprav še naprej prodajajo potrdila Organisation Validation (OV) in Extended Validation (EV), ki jih Let's Encrypt ne izdaja, ker jih ni mogoče avtomatizirati. Je pa to nišni izdelek, na množičnem trgu pa kraljujejo brezplačni certifikati Let's Encrypt.
Podjetje Let's Encrypt je samodejno ponovno izdajanje potrdil postalo standard. Kljub kratki življenjski dobi (90 dni) samodejni postopek odpravi »človeški faktor«, ki tradicionalno predstavlja glavno varnostno ranljivost. Skrbniki domen pogosto preprosto pozabijo obnoviti certifikate, kar povzroči neuspeh storitev. Zadnji tak incident se je zgodil z Microsoft Teams. 3. februarja 2020 je ta storitev sodelovanja prenehala delovati
Samodejna zamenjava certifikatov s protokolom ACME odpravlja možnost tovrstnih incidentov.
Čeprav projekt Let's Encrypt poganja polovico interneta, je v fizičnem svetu majhna neprofitna organizacija: »V teh dveh letih in pol je naša organizacija zrasla, a malo! - oni pišejo. "Junija 2017 smo oskrbovali skoraj 46 milijonov spletnih mest z 11 redno zaposlenimi in letnim proračunom 2,61 milijona USD. Danes oskrbujemo skoraj 192 milijonov spletnih mest s 13 redno zaposlenimi in letnim proračunom približno 3,35 milijona USD." pomeni, da oskrbujemo več kot štirikrat več spletnih mest s samo dvema dodatnima zaposlenima in 28-odstotnim povečanjem proračuna.«
Projekt je podprt preko
Do zdaj je HTTPS postal de facto standard na internetu. Od lanskega leta glavni brskalniki uporabnike opozarjajo na nevarnosti povezovanja s spletnimi mesti, ki ne šifrirajo prometa prek HTTPS. Let's Encrypt je v veliki meri odgovoren za to spremembo v varnostnem okolju.
Poleg vsega drugega je Let's Encrypt dobesedno
"Kot skupnost smo naredili neverjetne stvari za zaščito ljudi na spletu," je zapisano.
Vir: www.habr.com