Să criptăm | |
---|---|
Centru administrativ | |
Abordare | San Francisco, SUA |
Tipul organizației | Autoritate de certificare și organizație non-profit |
Baza | |
Data fondarii | 2014 |
Industrie | criptografie |
Produse | Autoritatea de certificare X.509 |
Numar de angajati | |
Organizația părintelui | Internet Security Research Group |
Site-ul web | letsencrypt.org |
Fișiere media la Wikimedia Commons |
Let's Encrypt este o autoritate de certificare care oferă certificate criptografice X.509 gratuite pentru criptarea datelor HTTPS transmise prin Internet și a altor protocoale utilizate de serverele de pe Internet. Procesul de eliberare a certificatelor este complet automatizat [3] [4] .
Serviciul este furnizat de organizația publică Internet Security Research Group (ISRG).
Proiectul Let's Encrypt a fost creat astfel încât majoritatea site-urilor de Internet să poată trece la conexiuni criptate ( HTTPS ). Spre deosebire de autoritățile comerciale de certificare, acest proiect nu necesită plata, reconfigurarea serverelor web, utilizarea e-mailului, procesarea certificatelor expirate, ceea ce face mult mai simplu procesul de instalare și configurare a criptării TLS [5] . De exemplu, pe un server web tipic bazat pe Linux , sunt necesare două comenzi pentru a configura criptarea HTTPS , pentru a obține și a instala un certificat în aproximativ 20-30 de secunde [6] [7] .
Un pachet cu utilități de auto-configurare și certificat este inclus în depozitele oficiale ale distribuției Debian [8] . Dezvoltatorii de browsere Mozilla și Google intenționează să elimine treptat suportul pentru HTTP necriptat , renunțând la suportul pentru noile standarde web pentru site-urile http [9] [10] . Proiectul Let's Encrypt are potențialul de a converti o mare parte a internetului în conexiuni criptate [11] .
Autoritatea de certificare Let's Encrypt emite certificate validate de domeniu cu o perioadă de valabilitate de 90 de zile [12] . Nu există planuri de a oferi certificate de validare a organizației și validare extinsă [13] .
În august 2021, Let's Encrypt are 1.930.558 de certificate înregistrate și 2.527.642 de domenii active complet definite. Și numărul de certificate Let's Encrypt emise pe zi depășește 2,5 milioane [14]
Proiectul publică o mulțime de informații pentru a proteja împotriva atacurilor și încercărilor de manipulare [15] . Este menținut un jurnal public al tuturor tranzacțiilor ACME , sunt utilizate standarde deschise și programe open source [6] .
Serviciul Let's Encrypt este oferit de organizația publică Internet Security Research Group (ISRG).
Principalii sponsori ai proiectului: Electronic Frontier Foundation ( EFF ), Mozilla Foundation , Akamai , Cisco Systems .
Partenerii proiectului sunt autoritatea de certificare IdenTrust , Universitatea din Michigan (UM), Stanford Law School , Linux Foundation [16] ; Stephen Kent (de la Raytheon / BBN Technologies ) și Alex Polvi (de la CoreOS ) [ 6] .
Proiectul Let's Encrypt a fost inițiat la sfârșitul anului 2012 de doi angajați Mozilla , Josh Aas și Eric Rescorla . Internet Security Research Group a fost înființat în mai 2013 pentru a gestiona proiectul. În iunie 2013, proiectele Electronic Frontier Foundation și ale Universității din Michigan au fost fuzionate în Let's Encrypt [17] .
Proiectul Let's Encrypt a fost anunțat public pentru prima dată pe 18 noiembrie 2014 [18] .
Pe 28 ianuarie 2015, protocolul ACME a fost transmis IETF pentru adoptare ca standard de Internet [19] .
Pe 9 aprilie 2015, ISRG și Linux Foundation au anunțat o colaborare [16] .
La începutul lunii iunie 2015, a fost creat un certificat rădăcină RSA pentru proiectul Let's Encrypt [20] [21] . Totodată, au fost create certificate intermediare [20] .
Pe 16 iunie 2015 au fost anunțate planurile de lansare a serviciului, primele certificate finale au fost eliberate la sfârșitul lunii iulie 2015 pentru testarea securității și scalabilității. Disponibilitatea largă a serviciului a fost planificată pentru mijlocul lunii septembrie 2015 [22] . Pe 7 august 2015, planurile au fost mutate, lansarea largă a serviciului a fost amânată la jumătatea lunii noiembrie [23] .
Semnarea certificatelor intermediare de la IdenTrust a fost planificată pentru perioada în care Let's Encrypt a devenit disponibil pe scară largă [24] .
Pe 14 septembrie 2015, a fost lansat primul certificat final pentru domeniul helloworld.letsencrypt.org . În aceeași zi, ISRG a trimis cheia publică a certificatului său rădăcină pentru a fi de încredere de către Mozilla , Microsoft , Google și Apple [25] .
Pe 12 noiembrie 2015, Let's Encrypt și-a reprogramat lansarea beta largă la 3 decembrie 2015 [26] .
Let's Encrypt CA a intrat în versiune beta pe 3 decembrie 2015 [26] .
Pe 12 aprilie 2016 a fost anunțat sfârșitul perioadei de testare beta [27] .
Pe 28 iunie 2017, Let's Encrypt a anunțat lansarea celui de-al 100-lea certificat [28] .
Pe 7 decembrie 2017, a fost anunțată începerea testării publice beta a eliberării certificatelor wildcard din 4 ianuarie 2018. Data planificată pentru încheierea perioadei de testare este 27 februarie 2018 [29] .
Pe 13 martie 2018, Let's Encrypt a început să emită certificate wildcard, acum toată lumea poate obține un certificat SSL/TLS gratuit, cum ar fi *.example.com . [30] [31]
La 6 august 2018, Let's Encrypt a declarat că de la sfârșitul lunii iulie 2018, certificatul rădăcină ISRG Root X1 este de încredere de către toate listele majore de certificate rădăcină, inclusiv Microsoft , Google , Apple , Mozilla , Oracle și Blackberry [32] [33] .
În perioada sfârșitului anului 2015 - începutul anului 2016, a fost planificată generarea unui certificat rădăcină cu o cheie folosind algoritmul ECDSA , dar apoi data de lansare a acestuia a fost amânată pentru 2018 [21] [34] [35] .
Pe 13 martie 2018, Centrul de asistență pentru utilizatori Let's Encrypt a anunțat posibilitatea de a crea un „ certificat wildcard ” (certificate care includ un număr nelimitat de subdomenii) [36] . Anterior a fost planificată lansarea acestei funcționalități pe 27 februarie 2018 [37] .
În martie 2020, Let's Encrypt a primit premiul anual al Free Software Foundation pentru valoare socială [38] .
În septembrie 2021, tranziția certificatelor DST Root CA X3 la ISRG Root X1 [39] .
Din 2015, cheia din certificatul rădăcină standard RSA este stocată în stocarea hardware HSM [ en ] Hardware security module ), neconectată la rețelele de calculatoare [21] . Acest certificat rădăcină a semnat două certificate rădăcină intermediare [21] , care au fost semnate și de CA IdenTrust [24] . Unul dintre certificatele intermediare este folosit pentru eliberarea certificatelor finale de site, al doilea este păstrat ca rezervă într-un magazin care nu este conectat la Internet, în cazul în care primul certificat este compromis [21] . Deoarece certificatul rădăcină al autorității IdenTrust este preinstalat pe majoritatea sistemelor de operare și browsere ca certificat rădăcină de încredere, certificatele emise de proiectul Let's Encrypt sunt validate și acceptate de clienți [20] în ciuda absenței certificatului rădăcină ISRG în lista celor de încredere. .
Pentru a emite automat un certificat către site-ul final, se utilizează un protocol de autentificare de clasă provocare-răspuns (provocare-răspuns) numit Mediul de management automat al certificatelor (ACME). În acest protocol, se fac o serie de solicitări către serverul web care a solicitat semnarea unui certificat pentru a confirma faptul deținerii domeniului (validarea domeniului ). Pentru a primi cereri, clientul ACME configurează un server TLS special , care este interogat de serverul ACME utilizând indicația numelui serverului ( Validarea domeniului folosind indicația numelui serverului , DVSNI).
Validarea este efectuată de mai multe ori folosind diferite căi de rețea. Înregistrările DNS sunt interogate din mai multe locații dispersate geografic pentru a complica atacurile de falsificare DNS .
Protocolul ACME funcționează prin schimbul de documente JSON prin conexiuni HTTPS [40] . O schiță a protocolului a fost publicată pe GitHub [41] și transmisă Internet Engineering Task Force (IETF) ca proiect pentru un standard de internet [42] .
Protocolul ACME este descris în RFC 8555 .
CA folosește serverul de protocol ACME „Boulder” scris în limbajul de programare Go (disponibil în codul sursă sub Licența Publică Mozilla 2) [43] . Serverul oferă un protocol RESTful care funcționează pe un canal criptat TLS.
Clientul de protocol ACME, certbot(fost letsencrypt) open source sub licența Apache [44] , este scris în Python . Acest client este instalat pe serverul de destinație și este utilizat pentru a solicita un certificat, pentru a efectua validarea domeniului, pentru a instala un certificat și pentru a configura criptarea HTTPS pe un server web. Acest client este apoi folosit pentru a reemite în mod regulat certificatul pe măsură ce expiră [6] [45] . După instalarea și acceptarea licenței, este suficient să executați o comandă pentru a obține un certificat. În plus, opțiunile de capsare OCSP și HTTP Strict Transport Security (HSTS, comutare forțată de la HTTP la HTTPS) [40] pot fi activate . Configurarea automată a serverului https este disponibilă nativ pentru serverele web Apache și nginx .
În rețelele sociale | |
---|---|
Site-uri tematice |