Pojďme šifrovat

Pojďme šifrovat
Administrativní centrum
Adresa San Francisco, USA
Typ organizace Certifikační autorita a nezisková organizace
Základna
Datum založení 2014
Průmysl kryptografie
produkty Certifikační autorita X.509
Počet zaměstnanců
Mateřská organizace Internet Security Research Group
webová stránka letsencrypt.org
 Mediální soubory na Wikimedia Commons

Let's Encrypt  je certifikační autorita, která zdarma poskytuje kryptografické certifikáty X.509 pro šifrování dat HTTPS přenášených přes internet a dalších protokolů používaných servery na internetu. Proces vydávání certifikátů je plně automatizovaný [3] [4] .

Službu poskytuje veřejná organizace Internet Security Research Group (ISRG).

Úkoly

Projekt Let's Encrypt vznikl proto, aby většina internetových stránek mohla přejít na šifrovaná připojení ( HTTPS ). Na rozdíl od komerčních certifikačních autorit tento projekt nevyžaduje platby, rekonfiguraci webových serverů, používání e-mailu, zpracování prošlých certifikátů, což značně zjednodušuje proces instalace a konfigurace šifrování TLS [5] . Například na typickém webovém serveru založeném na Linuxu jsou vyžadovány dva příkazy k nastavení šifrování HTTPS , získání a instalaci certifikátu za přibližně 20–30 sekund [6] [7] .

Balíček s automatickou konfigurací a certifikačními nástroji je součástí oficiálních repozitářů distribuce Debian [8] . Vývojáři prohlížečů Mozilla a Google hodlají postupně ukončit podporu nešifrovaného HTTP tím, že upustí od podpory nových webových standardů pro stránky http [9] [10] . Projekt Let's Encrypt má potenciál převést velkou část internetu na šifrovaná připojení [11] .

Certifikační autorita Let's Encrypt vydává certifikáty ověřené doménou s dobou platnosti 90 dnů [12] . Neplánuje se nabízet osvědčení o ověření organizace a rozšířené ověření [13] .

K srpnu 2021 má Let's Encrypt 1 930 558 registrovaných certifikátů a 2 527 642 plně definovaných aktivních domén. A počet vydaných certifikátů Let's Encrypt za den přesahuje 2,5 milionu [14]

Projekt publikuje mnoho informací za účelem ochrany před útoky a pokusy o manipulaci [15] . Je udržován veřejný protokol všech transakcí ACME , používají se otevřené standardy a programy s otevřeným zdrojovým kódem [6] .

Členové

Službu Let's Encrypt poskytuje veřejná organizace Internet Security Research Group (ISRG).

Hlavní sponzoři projektu: Electronic Frontier Foundation ( EFF ), Mozilla Foundation , Akamai , Cisco Systems .

Partnery projektu jsou certifikační autorita IdenTrust , University of Michigan (UM), Stanford Law School , Linux Foundation [16] ; Stephen Kent (z Raytheon / BBN Technologies ) a Alex Polvi (z CoreOS ) [6] .

Historie

Projekt Let's Encrypt iniciovali koncem roku 2012 dva zaměstnanci Mozilly , Josh Aas a Eric Rescorla . Skupina pro výzkum internetové bezpečnosti byla založena v květnu 2013, aby řídila projekt. V červnu 2013 byly projekty Electronic Frontier Foundation a University of Michigan sloučeny do Let's Encrypt [17] .

Projekt Let's Encrypt byl poprvé veřejně oznámen 18. listopadu 2014 [18] .

Dne 28. ledna 2015 byl protokol ACME předložen IETF k přijetí jako internetový standard [19] .

9. dubna 2015 ISRG a Linux Foundation oznámily spolupráci [16] .

Začátkem června 2015 byl vytvořen kořenový certifikát RSA pro projekt Let's Encrypt [20] [21] . Zároveň byly vytvořeny mezicertifikáty [20] .

Dne 16. června 2015 byly oznámeny plány na spuštění služby, na konci července 2015 byly vydány první finální certifikáty pro testování bezpečnosti a škálovatelnosti. Široká dostupnost služby byla plánována na polovinu září 2015 [22] . 7. srpna 2015 došlo k posunu plánů, široké spuštění služby bylo odloženo na polovinu listopadu [23] .

Podepisování zprostředkujících certifikátů od IdenTrust bylo plánováno na období, kdy se Let's Encrypt stal široce dostupným [24] .

14. září 2015 byl vydán první koncový certifikát pro doménu helloworld.letsencrypt.org . Ve stejný den odeslal ISRG veřejný klíč svého kořenového certifikátu, aby byl důvěryhodný pro Mozilla , Microsoft , Google a Apple [25] .

Dne 12. listopadu 2015 přeplánovala Let's Encrypt svou širokou beta verzi na 3. prosince 2015 [26] .

CA Let 's Encrypt vstoupila do beta verze 3. prosince 2015 [26] .

12. dubna 2016 byl oznámen konec období beta testování [27] .

Dne 28. června 2017 oznámila společnost Let's Encrypt vydání 100miliontého certifikátu [28] .

Dne 7. prosince 2017 bylo oznámeno zahájení veřejného beta testování vydávání wildcard certifikátů od 4. ledna 2018. Plánovaný termín ukončení zkušebního období je 27. února 2018 [29] .

13. března 2018 začala Let's Encrypt vydávat zástupné certifikáty, nyní může každý získat zdarma SSL/TLS certifikát jako *.example.com . [30] [31]

Dne 6. srpna 2018 společnost Let's Encrypt uvedla, že ke konci července 2018 je jejich kořenový certifikát ISRG Root X1 důvěryhodný všemi hlavními seznamy kořenových certifikátů včetně Microsoft , Google , Apple , Mozilla , Oracle a Blackberry [32] [33] .

V období konec roku 2015 - začátek roku 2016 bylo plánováno vygenerování kořenového certifikátu s klíčem pomocí algoritmu ECDSA , ale poté bylo datum vydání odloženo na rok 2018 [21] [34] [35] .

Dne 13. března 2018 oznámilo Centrum uživatelské podpory Let's Encrypt možnost vytvořit „ wildcard certificate “ (certifikáty, které zahrnují neomezený počet subdomén) [36] . Dříve bylo plánováno spuštění této funkce na 27. února 2018 [37] .

V březnu 2020 byla Let's Encrypt oceněna výroční cenou Free Software Foundation za společenskou hodnotu [38] .

V září 2021 přechod certifikátů DST Root CA X3 na ISRG Root X1 [39] .

Technologie

Od roku 2015 je klíč od kořenového certifikátu standardu RSA uložen v hardwarovém úložišti HSM [ en ] Hardware security module ), nepřipojeném k počítačovým sítím [21] .  Tento kořenový certifikát podepsal dva přechodné kořenové certifikáty [21] , které byly také podepsány CA IdenTrust [24] . Jeden ze zprostředkujících certifikátů slouží k vydávání certifikátů finálních stránek, druhý je uchováván jako záloha v úložišti, které není připojeno k internetu, pro případ kompromitace prvního certifikátu [21] . Vzhledem k tomu, že kořenový certifikát autority IdenTrust je na většině operačních systémů a prohlížečů předinstalován jako důvěryhodný kořenový certifikát, certifikáty vydané projektem Let's Encrypt jsou ověřovány a přijímány klienty [20] i přes absenci kořenového certifikátu ISRG v seznamu důvěryhodných. .

Site Authentication Protocol

K automatickému vydání certifikátu koncovému webu se používá autentizační protokol třídy výzva-odpověď (výzva-odpověď) nazvaný Automated Certificate Management Environment (ACME). V tomto protokolu je na webový server, který požadoval podepsání certifikátu, odeslána řada požadavků, aby se potvrdilo vlastnictví domény ( ověření domény ). Pro příjem požadavků nakonfiguruje klient ACME speciální server TLS , který je dotazován serverem ACME pomocí indikace názvu serveru ( ověření domény pomocí indikace názvu serveru , DVSNI).

Ověření se provádí vícekrát pomocí různých síťových cest. DNS záznamy jsou dotazovány z více geograficky rozptýlených míst, aby se zkomplikovaly útoky DNS spoofing .

Protokol ACME funguje na principu výměny dokumentů JSON přes připojení HTTPS [40] . Návrh protokolu byl zveřejněn na GitHubu [41] a předložen Internet Engineering Task Force (IETF) jako návrh pro internetový standard [42] .

Protokol ACME je popsán v RFC 8555 .

Implementace softwaru

CA používá server protokolu ACME "Boulder" napsaný v programovacím jazyce Go (dostupný ve zdrojovém kódu pod licencí Mozilla Public License 2) [43] . Server poskytuje protokol RESTful , který funguje přes šifrovaný kanál TLS.

Klient protokolu ACME, certbot(dříve letsencrypt) open source pod licencí Apache [44] , je napsán v Pythonu . Tento klient je nainstalován na cílovém serveru a používá se k vyžádání certifikátu, provedení ověření domény, instalaci certifikátu a konfiguraci šifrování HTTPS na webovém serveru. Tento klient je pak využíván k pravidelnému opětovnému vydávání certifikátu, jakmile vyprší platnost [6] [45] . Po instalaci a přijetí licence stačí k získání certifikátu provést jeden příkaz. Kromě toho lze povolit možnosti sešívání OCSP a HTTP Strict Transport Security (HSTS, nucený přechod z HTTP na HTTPS) [40] . Automatická konfigurace serveru https je nativně dostupná pro webové servery Apache a nginx .

Viz také

Poznámky

  1. https://letsencrypt.org/contact/
  2. https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html
  3. Kerner, Sean Michael. Úsilí o šifrování usiluje o zlepšení zabezpečení internetu . eWeek.com . Quinstreet Enterprise (18. listopadu 2014). Staženo: 27. února 2015.
  4. Eckersley, Peter. Spuštění v roce 2015: Certifikační autorita pro šifrování celého webu . Electronic Frontier Foundation (18. listopadu 2014). Získáno 27. února 2015. Archivováno z originálu 10. května 2018.
  5. Liam Tung (ZDNet), 19. listopadu 2014: EFF, Mozilla spouští bezplatné šifrování webových stránek jedním kliknutím
  6. 1 2 3 4 Fabian Scherschel (heise.de), 19. listopadu 2014: Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf
  7. Rob Marvin (SD Times), 19. listopadu 2014: EFF chce nastavit HTTPS jako výchozí protokol
  8. Podrobnosti o balíčku certbot in stretch
  9. Richard Barnes (Mozilla), 30. dubna 2015: Ukončení podpory nezabezpečeného HTTP
  10. Projekty Chromium – Označení HTTP jako nezabezpečené
  11. Glyn Moody, 25. listopadu 2014: Přicházející válka o šifrování, Tor a VPN – čas postavit se za své právo na soukromí online
  12. Let's Encrypt Documentation. Vydání 0.2.0.dev0 Archivováno 29. července 2017 na Wayback Machine / Let's Encrypt, 18. prosince 2015 „Let's Encrypt CA vydává krátkodobé certifikáty (90 dní)“
  13. Steven J. Vaughan-Nichols (ZDNet), 9. dubna 2015: web jednou provždy: Projekt Let's Encrypt
  14. Let's Encrypt statistics . https://letsencrypt.org/en . Získáno 30. září 2021. Archivováno z originálu dne 30. září 2021.
  15. Zeljka Zorz (Help Net Security), 6. července 2015: Let's Encrypt CA vydává zprávu o transparentnosti před svým prvním certifikátem
  16. 1 2 Sean Michael Kerner (eweek.com), 9. dubna 2015: Projekt Let's Encrypt Becomes Linux Foundation Collaborative Project
  17. Pojďme šifrovat | Boom Swagger Boom (nedostupný odkaz) . Datum přístupu: 12. prosince 2015. Archivováno z originálu 8. prosince 2015. 
  18. Joseph Tsidulko Let's Encrypt, bezplatná a automatizovaná certifikační autorita, vychází z režimu  utajení ( 18. listopadu 2014). Získáno 26. srpna 2015. Archivováno 12. června 2018 na Wayback Machine
  19. Historie pro draft-barnes-acme
  20. 1 2 3 Reiko Kaps (heise.de), 5. června 2015: Let's Encrypt: Meilenstein zu kostenlosen SSL-Zertifikaten für alle
  21. 1 2 3 4 5 Aas, Josh Zašifrujeme kořenové a zprostředkující certifikáty (4. června 2015). Datum přístupu: 12. prosince 2015. Archivováno z originálu 3. prosince 2015.
  22. Josh Aas. Let's Encrypt Launch Schedule . letsencrypt.org . Let's Encrypt (16. června 2015). Získáno 19. června 2015. Archivováno z originálu 26. května 2018.
  23. Aktualizován plán spuštění Let's Encrypt (7. srpna 2015). Získáno 12. 12. 2015. Archivováno z originálu 27. 9. 2015.
  24. 1 2 Reiko Kaps (heise.de), 17. června 2015: SSL-Zertifizierungsstelle Lets Encrypt will Mitte September 2015 öffnen
  25. Michael Mimoso. Nejprve zašifrujeme bezplatný certifikát . Threatpost.com, Kaspersky Labs. Získáno 16. září 2015. Archivováno z originálu 12. června 2018.
  26. 1 2 Veřejná beta: 3. prosince 2015 (12. listopadu 2015). Datum přístupu: 12. prosince 2015. Archivováno z originálu 7. dubna 2018.
  27. Let's Encrypt Leaves Beta (downlink) (15. dubna 2016). Staženo 25. 1. 2018. Archivováno z originálu 15. 4. 2016. 
  28. Milník . 100 milionů vydaných  certifikátů . Pojďme zašifrovat . Staženo 25. 1. 2018. Archivováno z originálu 12. 5. 2018.
  29. Těšíme se na rok 2018  . Pojďme šifrovat. Staženo 25. 1. 2018. Archivováno z originálu 22. 1. 2018.
  30. Podpora certifikátů  ACME v2 a zástupných znaků je aktivní . Podpora komunity Encrypt . Získáno 28. června 2018. Archivováno z originálu 1. června 2018.
  31. Let's Encrypt začal vydávat certifikáty se zástupnými znaky  (ruština) . Archivováno z originálu 28. června 2018. Staženo 28. června 2018.
  32. Zašifrujme root důvěryhodný všemi hlavními kořenovými programy . Získáno 9. 8. 2018. Archivováno z originálu 6. 8. 2018.
  33. Všechny hlavní seznamy kořenových certifikátů nyní důvěřují Let's Encrypt . Získáno 9. srpna 2018. Archivováno z originálu 9. srpna 2018.
  34. Certifikáty . Pojďme zašifrovat . Archivováno z originálu 3. prosince 2015.
  35. Certifikáty . Pojďme zašifrovat . Archivováno z originálu 9. října 2017.
  36. Podpora certifikátů  ACME v2 a zástupných znaků je aktivní . Podpora komunity Encrypt. Získáno 16. března 2018. Archivováno z originálu 1. června 2018.
  37. Certifikáty se zástupnými znaky V lednu 2018 . Získáno 9. července 2017. Archivováno z originálu 8. ledna 2021.
  38. Let's Encrypt, Jim Meyering a Clarissa Lima Borges přebírají ceny FSF za rok 2019 Free Software Awards Archivováno 18. července 2021 na Wayback Machine Free Software Foundation, 2020
  39. Vypršení platnosti kořenové CA X3 DST  . https://letsencrypt.org/ (2021-5-7). Získáno 30. září 2021. Archivováno z originálu dne 30. září 2021.
  40. 1 2 Chris Brook (Threatpost), 18. listopadu 2014: EFF, jiní plánují v roce 2015 zjednodušit šifrování webu
  41. Návrh specifikace ACME . Datum přístupu: 12. prosince 2015. Archivováno z originálu 21. listopadu 2014.
  42. R. Barnes, P. Eckersley, S. Schoen, A. Halderman, J. Kasten. Automatic Certificate Management Environment (ACME) draft-barnes-acme-01 (28. ledna 2015). Získáno 12. prosince 2015. Archivováno z originálu dne 28. června 2020.
  43. boulder/LICENSE.txt na master letsencrypt/boulder GitHub . Získáno 12. prosince 2015. Archivováno z originálu 19. března 2019.
  44. letsencrypt/LICENSE.txt na hlavní letsencrypt/letsencrypt GitHub
  45. James Sanders (TechRepublic), 25. listopadu 2014: Iniciativa Let's Encrypt poskytuje bezplatné šifrovací certifikáty

Literatura

Odkazy