27 лютого 2020 року безкоштовний центр сертифікації Let's Encrypt
У святковому прес-релізі представники проекту згадують, що попередній ювілей у 100 млн виданих сертифікатів відзначали
Let's Encrypt відіграв дуже важливу роль у тому, щоб сертифікати HTTPS стали утилітарним стандартом, а надійне шифрування трафіку – досконалою нормою в інтернеті.
Бета-тестування інноваційного центру сертифікації Let's Encrypt розпочалося у грудні 2015 року. Унікальною особливістю нового центру стало те, що процес видачі сертифікатів був повністю автоматизований.
Автоматичне налаштування HTTPS на сервері відбувається у два етапи. На першому етапі агент повідомляє центр сертифікації прав адміністратора сервера на доменне ім'я. Наприклад, перевірка може включати створення певного піддомену або установку всередині домену HTTP-ресурсу з певним URI.
Let's Encrypt ідентифікує веб-сервер із запущеним агентом з відкритого ключа. Відкритий та закритий ключі генеруються агентом перед першим підключенням до центру сертифікації. Під час автоматичної перевірки агент виконує ряд тестів: наприклад, підписує відкритим ключем отриманий одноразовий пароль та пред'являє HTTP-ресурс із певним URI. Якщо цифровий підпис вірний і всі тести пройдені, агенту видаються права на управління сертифікатами для домену.
На другому етапі агент може вимагати, оновлювати та відкликати сертифікати. Для автоматичної видачі сертифіката використовується протокол автентифікації класу "challenge-response" (дзвінок-відповідь, виклик-відгук) під назвою Automated Certificate Management Environment (ACME). Усі маніпуляції з сертифікатом здійснюються без зупинки веб-сервера за допомогою ACME-клієнта
Важлива роль Let's Encrypt
Let's Encrypt здійснив справжню революцію на ринку, де раніше панували комерційні центри сертифікації. Тепер вони практично вийшли з бізнесу видачі DV-сертифікатів (сертифікати з підтвердженням домену, Domain Validation), хоча продовжують продавати сертифікати з підтвердженням організації (Organization Validation, OV) та сертифікати високої надійності (Extended Validation, EV), які Let's Enc, тому що їх не можна автоматизувати. Втім, це нішевий товар, а на масовому ринку безроздільно панують безкоштовні сертифікати Let's Encrypt.
Let's Encrypt зробив стандартом автоматичний перевипуск сертифікатів. Незважаючи на короткий термін їхнього життя (90 днів), автоматична процедура усуває «людський фактор», який традиційно становить основну вразливість у безпеці. Адміністратори доменів часто просто забувають продовжити сертифікати, через що сервіси виходять з ладу. Останній такий казус стався із Microsoft Teams. 3 лютого 2020 року цей сервіс для спільної роботи пішов до офлайну
Автоматична заміна сертифікатів за протоколом ACME унеможливлює подібні інциденти.
Хоча проект Let's Encrypt обслуговує половину інтернету, у фізичному світі це невелика некомерційна організація: «За ці два з половиною роки наша організація зросла, але зовсім небагато! - пишуть вони. — У червні 2017 року ми обслуговували близько 46 млн веб-сайтів силами 11 штатних співробітників та з річним бюджетом у $2,61 млн. Сьогодні ми обслуговуємо майже 192 млн веб-сайтів із 13 штатними співробітниками та річним бюджетом приблизно у $3,35 млн. Це означає, що ми обслуговуємо більш ніж вчетверо більше сайтів із двома додатковими співробітниками та 28-відсотковим збільшенням бюджету».
Підтримка проекту відбувається через
На сьогодні HTTPS став стандартом де-факто в інтернеті. З минулого року основні браузери попереджають користувачів про небезпеку підключення до сайтів, які не шифрують трафік HTTPS. У такому зміні ландшафту безпеки велика заслуга Let's Encrypt.
До того ж, Let's Encrypt буквально
«Як спільноту ми зробили неймовірні речі, щоб захистити людей в інтернеті, — сказано в
Джерело: habr.com