27 年 2020 月 XNUMX 日 Let's Encrypt 免費證書頒發機構
在慶祝新聞稿中,項目代表回顧了上一億張證書頒發週年紀念日
Let's Encrypt 在使 HTTPS 證書成為實用標準以及強大的流量加密成為互聯網上的完美規範方面發揮了非常重要的作用。
創新型 Let's Encrypt 證書頒發機構的 Beta 測試於 2015 年 XNUMX 月開始。 新中心的一個獨特之處在於,頒發證書的過程最初是完全自動化的。
服務器上 HTTPS 的自動配置分兩個階段進行。 第一步,代理通知CA服務器對該域名的管理員權限。 例如,驗證可能涉及創建特定的子域,或在域內安裝具有特定 URI 的 HTTP 資源。
Let's Encrypt 通過公鑰識別運行代理的 Web 服務器。 公鑰和私鑰由代理在首次連接到 CA 之前生成。 在自動驗證過程中,代理會執行一系列測試:例如,它使用公鑰對收到的一次性密碼進行簽名,並提供具有特定 URI 的 HTTP 資源。 如果數字簽名正確並且所有測試都通過,則代理將被授予管理域證書的權限。
第二步,代理可以請求、續訂和撤銷證書。 為了自動頒發證書,需要使用稱為自動證書管理環境 (ACME) 的質詢-響應(challenge-response、challenge-response)類身份驗證協議。 所有對證書的操作都是在不使用 ACME 客戶端停止 Web 服務器的情況下進行的
讓我們加密的重要性
Let's Encrypt 徹底改變了之前由商業 CA 主導的市場。 他們現在幾乎退出了 DV(域驗證)證書業務,儘管他們繼續銷售 Let's Encrypt 不頒發的組織驗證(OV)和擴展驗證(EV)證書,因為它們無法自動化。 然而,這是一個小眾產品,免費的 Let's Encrypt 證書在大眾市場上佔據著主導地位。
Let's Encrypt 已將自動重新頒發證書作為標準。 儘管其生命週期較短(90 天),但自動程序消除了傳統上代表重大安全漏洞的“人為因素”。 域管理員經常忘記更新證書,從而導致服務失敗。 上一次此類事件發生在 Microsoft Teams 上。 3年2020月XNUMX日,該協作服務下線
使用 ACME 協議自動替換證書消除了此類事件發生的可能性。
雖然 Let's Encrypt 項目服務了半個互聯網,但在現實世界中它只是一個小型的非營利組織:“在這兩年半的時間裡,我們的組織有所成長,但並不多! 他們寫。 “2017 年 46 月,我們擁有 11 名全職員工,年度預算為 2,61 萬美元,託管了約 192 萬個網站。如今,我們擁有 13 名全職員工,運營著近 3,35 億個網站,年度預算約為 28 萬美元。這意味著只需增加兩名員工,我們的服務站點數量就增加了四倍多,預算也增加了 XNUMX%。”
到目前為止,HTTPS 已經成為互聯網事實上的標準。 自去年以來,主要瀏覽器一直在警告用戶連接到未通過 HTTPS 加密流量的網站的危險。 Let's Encrypt 被譽為安全領域的這種變化。
最重要的是,讓我們加密實際上是
“作為一個社區,我們做了令人難以置信的事情來保護人們的上網安全,”寫道
來源: www.habr.com