27 年 2020 月 XNUMX 日免费 Let's Encrypt 证书颁发机构 .
在庆祝新闻稿中,项目代表回顾了上一亿张证书颁发周年纪念日 。 当时,HTTPS 流量在互联网上的份额为 58%(在美国为 64%)。 在两年半的时间里,这个数字显着增长:“如今,全球加载的页面中有 81% 使用 HTTPS,而在美国,这一比例为 91%! ——项目里的人很高兴。 - 令人难以置信的成就。 这对每个人来说都是更高级别的隐私和安全。”
Let's Encrypt 在使 HTTPS 证书成为实用标准并使强流量加密成为互联网规范方面发挥了非常重要的作用。
创新型 Let's Encrypt 认证机构的 Beta 测试于 2015 年 XNUMX 月开始。 新中心的一个独特之处在于,颁发证书的过程最初是完全自动化的。
服务器上 HTTPS 的自动配置分两个阶段进行。 在第一阶段,代理通知证书颁发机构服务器管理员对该域名的权限。 例如,验证可能涉及创建特定子域或在域内安装具有特定 URI 的 HTTP 资源。
Let's Encrypt 使用其公钥来识别运行代理的 Web 服务器。 公钥和私钥是由代理在第一次连接到证书颁发机构之前生成的。 在自动验证过程中,代理会执行一系列测试:例如,它使用公钥对收到的一次性密码进行签名,并提供具有特定 URI 的 HTTP 资源。 如果数字签名正确并且所有测试都通过,则代理将被授予管理域证书的权限。
在第二阶段,代理可以请求、续订和撤销证书。 为了自动颁发证书,使用了称为自动证书管理环境 (ACME) 的质询-响应类身份验证协议。 所有对证书的操作都是在不使用 ACME 客户端停止 Web 服务器的情况下进行的 。 它易于使用,适用于大多数操作系统,并且有详细的文档记录。 有一个具有扩展设置集的专家模式。 除了Certbot之外,还有 .
让我们加密的重要作用
Let's Encrypt 彻底改变了以前由商业 CA 主导的市场。 现在,他们几乎停止了颁发 DV 证书(域验证证书)的业务,尽管他们继续销售组织验证 (OV) 和扩展验证 (EV) 证书,而 Let's Encrypt 不会颁发这些证书,因为它们无法自动化。 然而,这是一款小众产品,免费的 Let's Encrypt 证书在大众市场上占据着主导地位。
Let's Encrypt 已制定自动证书重新颁发标准。 尽管其生命周期较短(90 天),但自动程序消除了传统上代表主要安全漏洞的“人为因素”。 域管理员经常忘记更新证书,从而导致服务失败。 最近的此类事件发生在 Microsoft Teams 上。 3年2020月XNUMX日,该协作服务下线 .
使用 ACME 协议自动替换证书消除了此类事件发生的可能性。
虽然 Let's Encrypt 项目为半个互联网提供动力,但在现实世界中它只是一个小型非营利组织:“在这两年半的时间里,我们的组织成长了,但只是一点点! - 他们写。 “2017 年 46 月,我们拥有 11 名全职员工,年度预算为 2,61 万美元,为近 192 万个网站提供服务。如今,我们拥有 13 名全职员工,为近 3,35 亿个网站提供服务,年度预算约为 28 万美元。”这意味着我们只需增加两名员工即可服务四倍多的站点,并且预算增加 XNUMX%。”
该项目通过以下方式获得支持 и .
目前,HTTPS已经成为互联网事实上的标准。 自去年以来,主要浏览器一直在警告用户连接到未通过 HTTPS 加密流量的网站的危险。 Let's Encrypt 对安全格局的这一变化负有主要责任。
最重要的是,Let's Encrypt 确实是 。 Jabber 现在在客户端-服务器和服务器-服务器级别均采用强加密,并且绝大多数证书都是由 Let's Encrypt 颁发的。
“作为一个社区,我们为保护网上人们做了令人难以置信的事情,”它说。 。 “发行 XNUMX 亿枚证书证明了我们作为一个社区所取得的所有进步。”
来源: habr.com