Pojďme šifrovat | |
---|---|
Administrativní centrum | |
Adresa | San Francisco, USA |
Typ organizace | Certifikační autorita a nezisková organizace |
Základna | |
Datum založení | 2014 |
Průmysl | kryptografie |
produkty | Certifikační autorita X.509 |
Počet zaměstnanců | |
Mateřská organizace | Internet Security Research Group |
webová stránka | letsencrypt.org |
Mediální soubory na Wikimedia Commons |
Let's Encrypt je certifikační autorita, která zdarma poskytuje kryptografické certifikáty X.509 pro šifrování dat HTTPS přenášených přes internet a dalších protokolů používaných servery na internetu. Proces vydávání certifikátů je plně automatizovaný [3] [4] .
Službu poskytuje veřejná organizace Internet Security Research Group (ISRG).
Projekt Let's Encrypt vznikl proto, aby většina internetových stránek mohla přejít na šifrovaná připojení ( HTTPS ). Na rozdíl od komerčních certifikačních autorit tento projekt nevyžaduje platby, rekonfiguraci webových serverů, používání e-mailu, zpracování prošlých certifikátů, což značně zjednodušuje proces instalace a konfigurace šifrování TLS [5] . Například na typickém webovém serveru založeném na Linuxu jsou vyžadovány dva příkazy k nastavení šifrování HTTPS , získání a instalaci certifikátu za přibližně 20–30 sekund [6] [7] .
Balíček s automatickou konfigurací a certifikačními nástroji je součástí oficiálních repozitářů distribuce Debian [8] . Vývojáři prohlížečů Mozilla a Google hodlají postupně ukončit podporu nešifrovaného HTTP tím, že upustí od podpory nových webových standardů pro stránky http [9] [10] . Projekt Let's Encrypt má potenciál převést velkou část internetu na šifrovaná připojení [11] .
Certifikační autorita Let's Encrypt vydává certifikáty ověřené doménou s dobou platnosti 90 dnů [12] . Neplánuje se nabízet osvědčení o ověření organizace a rozšířené ověření [13] .
K srpnu 2021 má Let's Encrypt 1 930 558 registrovaných certifikátů a 2 527 642 plně definovaných aktivních domén. A počet vydaných certifikátů Let's Encrypt za den přesahuje 2,5 milionu [14]
Projekt publikuje mnoho informací za účelem ochrany před útoky a pokusy o manipulaci [15] . Je udržován veřejný protokol všech transakcí ACME , používají se otevřené standardy a programy s otevřeným zdrojovým kódem [6] .
Službu Let's Encrypt poskytuje veřejná organizace Internet Security Research Group (ISRG).
Hlavní sponzoři projektu: Electronic Frontier Foundation ( EFF ), Mozilla Foundation , Akamai , Cisco Systems .
Partnery projektu jsou certifikační autorita IdenTrust , University of Michigan (UM), Stanford Law School , Linux Foundation [16] ; Stephen Kent (z Raytheon / BBN Technologies ) a Alex Polvi (z CoreOS ) [6] .
Projekt Let's Encrypt iniciovali koncem roku 2012 dva zaměstnanci Mozilly , Josh Aas a Eric Rescorla . Skupina pro výzkum internetové bezpečnosti byla založena v květnu 2013, aby řídila projekt. V červnu 2013 byly projekty Electronic Frontier Foundation a University of Michigan sloučeny do Let's Encrypt [17] .
Projekt Let's Encrypt byl poprvé veřejně oznámen 18. listopadu 2014 [18] .
Dne 28. ledna 2015 byl protokol ACME předložen IETF k přijetí jako internetový standard [19] .
9. dubna 2015 ISRG a Linux Foundation oznámily spolupráci [16] .
Začátkem června 2015 byl vytvořen kořenový certifikát RSA pro projekt Let's Encrypt [20] [21] . Zároveň byly vytvořeny mezicertifikáty [20] .
Dne 16. června 2015 byly oznámeny plány na spuštění služby, na konci července 2015 byly vydány první finální certifikáty pro testování bezpečnosti a škálovatelnosti. Široká dostupnost služby byla plánována na polovinu září 2015 [22] . 7. srpna 2015 došlo k posunu plánů, široké spuštění služby bylo odloženo na polovinu listopadu [23] .
Podepisování zprostředkujících certifikátů od IdenTrust bylo plánováno na období, kdy se Let's Encrypt stal široce dostupným [24] .
14. září 2015 byl vydán první koncový certifikát pro doménu helloworld.letsencrypt.org . Ve stejný den odeslal ISRG veřejný klíč svého kořenového certifikátu, aby byl důvěryhodný pro Mozilla , Microsoft , Google a Apple [25] .
Dne 12. listopadu 2015 přeplánovala Let's Encrypt svou širokou beta verzi na 3. prosince 2015 [26] .
CA Let 's Encrypt vstoupila do beta verze 3. prosince 2015 [26] .
12. dubna 2016 byl oznámen konec období beta testování [27] .
Dne 28. června 2017 oznámila společnost Let's Encrypt vydání 100miliontého certifikátu [28] .
Dne 7. prosince 2017 bylo oznámeno zahájení veřejného beta testování vydávání wildcard certifikátů od 4. ledna 2018. Plánovaný termín ukončení zkušebního období je 27. února 2018 [29] .
13. března 2018 začala Let's Encrypt vydávat zástupné certifikáty, nyní může každý získat zdarma SSL/TLS certifikát jako *.example.com . [30] [31]
Dne 6. srpna 2018 společnost Let's Encrypt uvedla, že ke konci července 2018 je jejich kořenový certifikát ISRG Root X1 důvěryhodný všemi hlavními seznamy kořenových certifikátů včetně Microsoft , Google , Apple , Mozilla , Oracle a Blackberry [32] [33] .
V období konec roku 2015 - začátek roku 2016 bylo plánováno vygenerování kořenového certifikátu s klíčem pomocí algoritmu ECDSA , ale poté bylo datum vydání odloženo na rok 2018 [21] [34] [35] .
Dne 13. března 2018 oznámilo Centrum uživatelské podpory Let's Encrypt možnost vytvořit „ wildcard certificate “ (certifikáty, které zahrnují neomezený počet subdomén) [36] . Dříve bylo plánováno spuštění této funkce na 27. února 2018 [37] .
V březnu 2020 byla Let's Encrypt oceněna výroční cenou Free Software Foundation za společenskou hodnotu [38] .
V září 2021 přechod certifikátů DST Root CA X3 na ISRG Root X1 [39] .
Od roku 2015 je klíč od kořenového certifikátu standardu RSA uložen v hardwarovém úložišti HSM [ en ] Hardware security module ), nepřipojeném k počítačovým sítím [21] . Tento kořenový certifikát podepsal dva přechodné kořenové certifikáty [21] , které byly také podepsány CA IdenTrust [24] . Jeden ze zprostředkujících certifikátů slouží k vydávání certifikátů finálních stránek, druhý je uchováván jako záloha v úložišti, které není připojeno k internetu, pro případ kompromitace prvního certifikátu [21] . Vzhledem k tomu, že kořenový certifikát autority IdenTrust je na většině operačních systémů a prohlížečů předinstalován jako důvěryhodný kořenový certifikát, certifikáty vydané projektem Let's Encrypt jsou ověřovány a přijímány klienty [20] i přes absenci kořenového certifikátu ISRG v seznamu důvěryhodných. .
K automatickému vydání certifikátu koncovému webu se používá autentizační protokol třídy výzva-odpověď (výzva-odpověď) nazvaný Automated Certificate Management Environment (ACME). V tomto protokolu je na webový server, který požadoval podepsání certifikátu, odeslána řada požadavků, aby se potvrdilo vlastnictví domény ( ověření domény ). Pro příjem požadavků nakonfiguruje klient ACME speciální server TLS , který je dotazován serverem ACME pomocí indikace názvu serveru ( ověření domény pomocí indikace názvu serveru , DVSNI).
Ověření se provádí vícekrát pomocí různých síťových cest. DNS záznamy jsou dotazovány z více geograficky rozptýlených míst, aby se zkomplikovaly útoky DNS spoofing .
Protokol ACME funguje na principu výměny dokumentů JSON přes připojení HTTPS [40] . Návrh protokolu byl zveřejněn na GitHubu [41] a předložen Internet Engineering Task Force (IETF) jako návrh pro internetový standard [42] .
Protokol ACME je popsán v RFC 8555 .
CA používá server protokolu ACME "Boulder" napsaný v programovacím jazyce Go (dostupný ve zdrojovém kódu pod licencí Mozilla Public License 2) [43] . Server poskytuje protokol RESTful , který funguje přes šifrovaný kanál TLS.
Klient protokolu ACME, certbot(dříve letsencrypt) open source pod licencí Apache [44] , je napsán v Pythonu . Tento klient je nainstalován na cílovém serveru a používá se k vyžádání certifikátu, provedení ověření domény, instalaci certifikátu a konfiguraci šifrování HTTPS na webovém serveru. Tento klient je pak využíván k pravidelnému opětovnému vydávání certifikátu, jakmile vyprší platnost [6] [45] . Po instalaci a přijetí licence stačí k získání certifikátu provést jeden příkaz. Kromě toho lze povolit možnosti sešívání OCSP a HTTP Strict Transport Security (HSTS, nucený přechod z HTTP na HTTPS) [40] . Automatická konfigurace serveru https je nativně dostupná pro webové servery Apache a nginx .
V sociálních sítích | |
---|---|
Tematické stránky |