27 年 2020 月 XNUMX 日 Let's Encrypt 免費證書頒發機構 .
在慶祝新聞稿中,項目代表回顧了上一億張證書頒發週年紀念日 。 那麼 HTTPS 流量在互聯網上的份額為 58%(在美國為 64%)。 在兩年半的時間裡,這一數字顯著增長:“如今,全球 81% 的加載頁面使用 HTTPS,而在美國,這一比例為 91%! - 該項目的人員很高興。 - 令人難以置信的成就。 這對每個人來說都是更高級別的隱私和安全。”
Let's Encrypt 在使 HTTPS 證書成為實用標準以及強大的流量加密成為互聯網上的完美規範方面發揮了非常重要的作用。
創新型 Let's Encrypt 證書頒發機構的 Beta 測試於 2015 年 XNUMX 月開始。 新中心的一個獨特之處在於,頒發證書的過程最初是完全自動化的。
服務器上 HTTPS 的自動配置分兩個階段進行。 第一步,代理通知CA服務器對該域名的管理員權限。 例如,驗證可能涉及創建特定的子域,或在域內安裝具有特定 URI 的 HTTP 資源。
Let's Encrypt 通過公鑰識別運行代理的 Web 服務器。 公鑰和私鑰由代理在首次連接到 CA 之前生成。 在自動驗證過程中,代理會執行一系列測試:例如,它使用公鑰對收到的一次性密碼進行簽名,並提供具有特定 URI 的 HTTP 資源。 如果數字簽名正確並且所有測試都通過,則代理將被授予管理域證書的權限。
第二步,代理可以請求、續訂和撤銷證書。 為了自動頒發證書,需要使用稱為自動證書管理環境 (ACME) 的質詢-響應(challenge-response、challenge-response)類身份驗證協議。 所有對證書的操作都是在不使用 ACME 客戶端停止 Web 服務器的情況下進行的 。 它易於使用,適用於大多數操作系統,並且有詳細的文檔記錄。 有一個帶有擴展設置集的專家模式。 除了Certbot之外,還有 .
讓我們加密的重要性
Let's Encrypt 徹底改變了之前由商業 CA 主導的市場。 他們現在幾乎退出了 DV(域驗證)證書業務,儘管他們繼續銷售 Let's Encrypt 不頒發的組織驗證(OV)和擴展驗證(EV)證書,因為它們無法自動化。 然而,這是一個小眾產品,免費的 Let's Encrypt 證書在大眾市場上佔據著主導地位。
Let's Encrypt 已將自動重新頒發證書作為標準。 儘管其生命週期較短(90 天),但自動程序消除了傳統上代表重大安全漏洞的“人為因素”。 域管理員經常忘記更新證書,從而導致服務失敗。 上一次此類事件發生在 Microsoft Teams 上。 3年2020月XNUMX日,該協作服務下線 .
使用 ACME 協議自動替換證書消除了此類事件發生的可能性。
雖然 Let's Encrypt 項目服務了半個互聯網,但在現實世界中它只是一個小型的非營利組織:“在這兩年半的時間裡,我們的組織有所成長,但並不多! 他們寫。 “2017 年 46 月,我們擁有 11 名全職員工,年度預算為 2,61 萬美元,託管了約 192 萬個網站。如今,我們擁有 13 名全職員工,運營著近 3,35 億個網站,年度預算約為 28 萬美元。這意味著只需增加兩名員工,我們的服務站點數量就增加了四倍多,預算也增加了 XNUMX%。”
該項目通過以下方式獲得支持 и .
到目前為止,HTTPS 已經成為互聯網事實上的標準。 自去年以來,主要瀏覽器一直在警告用戶連接到未通過 HTTPS 加密流量的網站的危險。 Let's Encrypt 被譽為安全領域的這種變化。
最重要的是,讓我們加密實際上是 。 現在,Jabber 在客戶端-服務器和服務器-服務器級別均採用強加密,並且絕大多數證書都是由 Let's Encrypt 頒發的。
“作為一個社區,我們做了令人難以置信的事情來保護人們的上網安全,”寫道 。 “發行 XNUMX 億枚證書證明了我們作為一個社區所取得的所有進步。”
來源: www.habr.com