27 年 2020 月 XNUMX 日免费 Let's Encrypt 证书颁发机构
在庆祝新闻稿中,项目代表回顾了上一亿张证书颁发周年纪念日
Let's Encrypt 在使 HTTPS 证书成为实用标准并使强流量加密成为互联网规范方面发挥了非常重要的作用。
创新型 Let's Encrypt 认证机构的 Beta 测试于 2015 年 XNUMX 月开始。 新中心的一个独特之处在于,颁发证书的过程最初是完全自动化的。
服务器上 HTTPS 的自动配置分两个阶段进行。 在第一阶段,代理通知证书颁发机构服务器管理员对该域名的权限。 例如,验证可能涉及创建特定子域或在域内安装具有特定 URI 的 HTTP 资源。
Let's Encrypt 使用其公钥来识别运行代理的 Web 服务器。 公钥和私钥是由代理在第一次连接到证书颁发机构之前生成的。 在自动验证过程中,代理会执行一系列测试:例如,它使用公钥对收到的一次性密码进行签名,并提供具有特定 URI 的 HTTP 资源。 如果数字签名正确并且所有测试都通过,则代理将被授予管理域证书的权限。
在第二阶段,代理可以请求、续订和撤销证书。 为了自动颁发证书,使用了称为自动证书管理环境 (ACME) 的质询-响应类身份验证协议。 所有对证书的操作都是在不使用 ACME 客户端停止 Web 服务器的情况下进行的
让我们加密的重要作用
Let's Encrypt 彻底改变了以前由商业 CA 主导的市场。 现在,他们几乎停止了颁发 DV 证书(域验证证书)的业务,尽管他们继续销售组织验证 (OV) 和扩展验证 (EV) 证书,而 Let's Encrypt 不会颁发这些证书,因为它们无法自动化。 然而,这是一款小众产品,免费的 Let's Encrypt 证书在大众市场上占据着主导地位。
Let's Encrypt 已制定自动证书重新颁发标准。 尽管其生命周期较短(90 天),但自动程序消除了传统上代表主要安全漏洞的“人为因素”。 域管理员经常忘记更新证书,从而导致服务失败。 最近的此类事件发生在 Microsoft Teams 上。 3年2020月XNUMX日,该协作服务下线
使用 ACME 协议自动替换证书消除了此类事件发生的可能性。
虽然 Let's Encrypt 项目为半个互联网提供动力,但在现实世界中它只是一个小型非营利组织:“在这两年半的时间里,我们的组织成长了,但只是一点点! - 他们写。 “2017 年 46 月,我们拥有 11 名全职员工,年度预算为 2,61 万美元,为近 192 万个网站提供服务。如今,我们拥有 13 名全职员工,为近 3,35 亿个网站提供服务,年度预算约为 28 万美元。”这意味着我们只需增加两名员工即可服务四倍多的站点,并且预算增加 XNUMX%。”
目前,HTTPS已经成为互联网事实上的标准。 自去年以来,主要浏览器一直在警告用户连接到未通过 HTTPS 加密流量的网站的危险。 Let's Encrypt 对安全格局的这一变化负有主要责任。
最重要的是,Let's Encrypt 确实是
“作为一个社区,我们为保护网上人们做了令人难以置信的事情,”它说。
来源: habr.com