Să criptăm

Let's Encrypt  este o autoritate de certificare care oferă certificate criptografice X.509 gratuite pentru criptarea datelor HTTPS transmise prin Internet și a altor protocoale utilizate de serverele de pe Internet. Procesul de eliberare a certificatelor este complet automatizat [3] [4] .

Serviciul este furnizat de organizația publică Internet Security Research Group (ISRG).

Sarcini

Proiectul Let's Encrypt a fost creat astfel încât majoritatea site-urilor de Internet să poată trece la conexiuni criptate ( HTTPS ). Spre deosebire de autoritățile comerciale de certificare, acest proiect nu necesită plata, reconfigurarea serverelor web, utilizarea e-mailului, procesarea certificatelor expirate, ceea ce face mult mai simplu procesul de instalare și configurare a criptării TLS [5] . De exemplu, pe un server web tipic bazat pe Linux , sunt necesare două comenzi pentru a configura criptarea HTTPS , pentru a obține și a instala un certificat în aproximativ 20-30 de secunde [6] [7] .

Un pachet cu utilități de auto-configurare și certificat este inclus în depozitele oficiale ale distribuției Debian [8] . Dezvoltatorii de browsere Mozilla și Google intenționează să elimine treptat suportul pentru HTTP necriptat , renunțând la suportul pentru noile standarde web pentru site-urile http [9] [10] . Proiectul Let's Encrypt are potențialul de a converti o mare parte a internetului în conexiuni criptate [11] .

Autoritatea de certificare Let's Encrypt emite certificate validate de domeniu cu o perioadă de valabilitate de 90 de zile [12] . Nu există planuri de a oferi certificate de validare a organizației și validare extinsă [13] .

În august 2021, Let's Encrypt are 1.930.558 de certificate înregistrate și 2.527.642 de domenii active complet definite. Și numărul de certificate Let's Encrypt emise pe zi depășește 2,5 milioane [14]

Proiectul publică o mulțime de informații pentru a proteja împotriva atacurilor și încercărilor de manipulare [15] . Este menținut un jurnal public al tuturor tranzacțiilor ACME , sunt utilizate standarde deschise și programe open source [6] .

Membrii

Serviciul Let's Encrypt este oferit de organizația publică Internet Security Research Group (ISRG).

Principalii sponsori ai proiectului: Electronic Frontier Foundation ( EFF ), Mozilla Foundation , Akamai , Cisco Systems .

Partenerii proiectului sunt autoritatea de certificare IdenTrust , Universitatea din Michigan (UM), Stanford Law School , Linux Foundation [16] ; Stephen Kent (de la Raytheon / BBN Technologies ) și Alex Polvi (de la CoreOS ) [ 6] .

Istorie

Proiectul Let's Encrypt a fost inițiat la sfârșitul anului 2012 de doi angajați Mozilla , Josh Aas și Eric Rescorla . Internet Security Research Group a fost înființat în mai 2013 pentru a gestiona proiectul. În iunie 2013, proiectele Electronic Frontier Foundation și ale Universității din Michigan au fost fuzionate în Let's Encrypt [17] .

Proiectul Let's Encrypt a fost anunțat public pentru prima dată pe 18 noiembrie 2014 [18] .

Pe 28 ianuarie 2015, protocolul ACME a fost transmis IETF pentru adoptare ca standard de Internet [19] .

Pe 9 aprilie 2015, ISRG și Linux Foundation au anunțat o colaborare [16] .

La începutul lunii iunie 2015, a fost creat un certificat rădăcină RSA pentru proiectul Let's Encrypt [20] [21] . Totodată, au fost create certificate intermediare [20] .

Pe 16 iunie 2015 au fost anunțate planurile de lansare a serviciului, primele certificate finale au fost eliberate la sfârșitul lunii iulie 2015 pentru testarea securității și scalabilității. Disponibilitatea largă a serviciului a fost planificată pentru mijlocul lunii septembrie 2015 [22] . Pe 7 august 2015, planurile au fost mutate, lansarea largă a serviciului a fost amânată la jumătatea lunii noiembrie [23] .

Semnarea certificatelor intermediare de la IdenTrust a fost planificată pentru perioada în care Let's Encrypt a devenit disponibil pe scară largă [24] .

Pe 14 septembrie 2015, a fost lansat primul certificat final pentru domeniul helloworld.letsencrypt.org . În aceeași zi, ISRG a trimis cheia publică a certificatului său rădăcină pentru a fi de încredere de către Mozilla , Microsoft , Google și Apple [25] .

Pe 12 noiembrie 2015, Let's Encrypt și-a reprogramat lansarea beta largă la 3 decembrie 2015 [26] .

Let's Encrypt CA a intrat în versiune beta pe 3 decembrie 2015 [26] .

Pe 12 aprilie 2016 a fost anunțat sfârșitul perioadei de testare beta [27] .

Pe 28 iunie 2017, Let's Encrypt a anunțat lansarea celui de-al 100-lea certificat [28] .

Pe 7 decembrie 2017, a fost anunțată începerea testării publice beta a eliberării certificatelor wildcard din 4 ianuarie 2018. Data planificată pentru încheierea perioadei de testare este 27 februarie 2018 [29] .

Pe 13 martie 2018, Let's Encrypt a început să emită certificate wildcard, acum toată lumea poate obține un certificat SSL/TLS gratuit, cum ar fi *.example.com . [30] [31]

La 6 august 2018, Let's Encrypt a declarat că de la sfârșitul lunii iulie 2018, certificatul rădăcină ISRG Root X1 este de încredere de către toate listele majore de certificate rădăcină, inclusiv Microsoft , Google , Apple , Mozilla , Oracle și Blackberry [32] [33] .

În perioada sfârșitului anului 2015 - începutul anului 2016, a fost planificată generarea unui certificat rădăcină cu o cheie folosind algoritmul ECDSA , dar apoi data de lansare a acestuia a fost amânată pentru 2018 [21] [34] [35] .

Pe 13 martie 2018, Centrul de asistență pentru utilizatori Let's Encrypt a anunțat posibilitatea de a crea un „ certificat wildcard ” (certificate care includ un număr nelimitat de subdomenii) [36] . Anterior a fost planificată lansarea acestei funcționalități pe 27 februarie 2018 [37] .

În martie 2020, Let's Encrypt a primit premiul anual al Free Software Foundation pentru valoare socială [38] .

În septembrie 2021, tranziția certificatelor DST Root CA X3 la ISRG Root X1 [39] .

Tehnologie

Din 2015, cheia din certificatul rădăcină standard RSA este stocată în stocarea hardware HSM [ en ] Hardware security module ), neconectată la rețelele de calculatoare [21] .  Acest certificat rădăcină a semnat două certificate rădăcină intermediare [21] , care au fost semnate și de CA IdenTrust [24] . Unul dintre certificatele intermediare este folosit pentru eliberarea certificatelor finale de site, al doilea este păstrat ca rezervă într-un magazin care nu este conectat la Internet, în cazul în care primul certificat este compromis [21] . Deoarece certificatul rădăcină al autorității IdenTrust este preinstalat pe majoritatea sistemelor de operare și browsere ca certificat rădăcină de încredere, certificatele emise de proiectul Let's Encrypt sunt validate și acceptate de clienți [20] în ciuda absenței certificatului rădăcină ISRG în lista celor de încredere. .

Protocolul de autentificare a site -ului

Pentru a emite automat un certificat către site-ul final, se utilizează un protocol de autentificare de clasă provocare-răspuns (provocare-răspuns) numit Mediul de management automat al certificatelor (ACME). În acest protocol, se fac o serie de solicitări către serverul web care a solicitat semnarea unui certificat pentru a confirma faptul deținerii domeniului (validarea domeniului ). Pentru a primi cereri, clientul ACME configurează un server TLS special , care este interogat de serverul ACME utilizând indicația numelui serverului ( Validarea domeniului folosind indicația numelui serverului , DVSNI).

Validarea este efectuată de mai multe ori folosind diferite căi de rețea. Înregistrările DNS sunt interogate din mai multe locații dispersate geografic pentru a complica atacurile de falsificare DNS .

Protocolul ACME funcționează prin schimbul de documente JSON prin conexiuni HTTPS [40] . O schiță a protocolului a fost publicată pe GitHub [41] și transmisă Internet Engineering Task Force (IETF) ca proiect pentru un standard de internet [42] .

Protocolul ACME este descris în RFC 8555 .

Implementarea software

CA folosește serverul de protocol ACME „Boulder” scris în limbajul de programare Go (disponibil în codul sursă sub Licența Publică Mozilla 2) [43] . Serverul oferă un protocol RESTful care funcționează pe un canal criptat TLS.

Clientul de protocol ACME, certbot(fost letsencrypt) open source sub licența Apache [44] , este scris în Python . Acest client este instalat pe serverul de destinație și este utilizat pentru a solicita un certificat, pentru a efectua validarea domeniului, pentru a instala un certificat și pentru a configura criptarea HTTPS pe un server web. Acest client este apoi folosit pentru a reemite în mod regulat certificatul pe măsură ce expiră [6] [45] . După instalarea și acceptarea licenței, este suficient să executați o comandă pentru a obține un certificat. În plus, opțiunile de capsare OCSP și HTTP Strict Transport Security (HSTS, comutare forțată de la HTTP la HTTPS) [40] pot fi activate . Configurarea automată a serverului https este disponibilă nativ pentru serverele web Apache și nginx .

Vezi și

• Semnatura electronica
• Autoritatea de Certificare
• Certificat autosemnat
• Certificat digital

Note

1. ↑ https://letsencrypt.org/contact/
2. ↑ https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html
3. ↑ Kerner, Sean Michael. Efortul Let's Encrypt are ca scop îmbunătățirea securității pe internet . eWeek.com . Quinstreet Enterprise (18 noiembrie 2014). Preluat: 27 februarie 2015. (nedefinit)
4. ↑ Eckersley, Peter. Lansare în 2015: O autoritate de certificare pentru a cripta întregul web . Electronic Frontier Foundation (18 noiembrie 2014). Consultat la 27 februarie 2015. Arhivat din original la 10 mai 2018. (nedefinit)
5. ↑ Liam Tung (ZDNet), 19 noiembrie 2014: EFF, Mozilla lansează criptarea site-urilor web cu un singur clic
6. ↑ 1 2 3 4 Fabian Scherschel (heise.de), 19 noiembrie 2014: Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf
7. ↑ Rob Marvin (SD Times), 19 noiembrie 2014: EFF vrea să facă HTTPS protocolul implicit
8. ↑ Detalii despre pachetul certbot în întindere
9. ↑ Richard Barnes (Mozilla), 30 aprilie 2015: Deprecating Non-Secure HTTP
10. ↑ Proiectele Chromium - Marcarea HTTP ca nesecurizat
11. ↑ Glyn Moody, 25 noiembrie 2014: The Coming War on Encryption, Tor și VPN -uri – E timpul să-ți susții dreptul la confidențialitate online
12. ↑ Să criptăm documentația. Versiunea 0.2.0.dev0 Arhivat 29 iulie 2017 la Wayback Machine / Let's Encrypt, 18 decembrie 2015 „Let's Encrypt CA emite certificate de scurtă durată (90 de zile)”
13. ↑ Steven J. Vaughan-Nichols (ZDNet), 9 aprilie 2015: web o dată pentru totdeauna: Proiectul Let's Encrypt
14. ↑ Să criptăm statisticile . https://letsencrypt.org/en . Preluat la 30 septembrie 2021. Arhivat din original la 30 septembrie 2021. (Rusă)
15. ↑ Zeljka Zorz (Help Net Security), 6 iulie 2015: Let's Encrypt CA lansează un raport de transparență înainte de primul său certificat
16. ↑ 1 2 Sean Michael Kerner (eweek.com), 9 aprilie 2015: Let's Encrypt Becomes Linux Foundation Collaborative Project
17. ↑ Să criptăm | Boom Swagger Boom (link indisponibil) . Data accesului: 12 decembrie 2015. Arhivat din original pe 8 decembrie 2015. (nedefinit) 
18. ↑ Joseph Tsidulko Let's Encrypt, A Free And Automated Certificate Authority, Comes Out Of Stealth Mode  ( 18 noiembrie 2014). Preluat la 26 august 2015. Arhivat la 12 iunie 2018 la Wayback Machine
19. ↑ Istoric pentru draft-barnes-acme
20. ↑ 1 2 3 Reiko Kaps (heise.de), 5 iunie 2015: Let's Encrypt: Meilenstein zu kostenlosen SSL-Zertifikaten für alle
21. ↑ 1 2 3 4 5 Aas, Josh Let's Encrypt Root and Intermediate Certificates (4 iunie 2015). Data accesului: 12 decembrie 2015. Arhivat din original pe 3 decembrie 2015. (nedefinit)
22. ↑ Josh Aas. Să criptăm programul de lansare . letsencrypt.org . Let's Encrypt (16 iunie 2015). Preluat la 19 iunie 2015. Arhivat din original la 26 mai 2018. (nedefinit)
23. ↑ Program actualizat de lansare Let's Encrypt (7 august 2015). Consultat la 12 decembrie 2015. Arhivat din original la 27 septembrie 2015. (nedefinit)
24. ↑ 1 2 Reiko Kaps (heise.de), 17 iunie 2015: SSL-Zertifizierungsstelle Lets Encrypt va Mitte septembrie 2015 öffnen
25. ↑ Michael Mimoso. Mai întâi, Let's Encrypt Free Certificate se lansează . Threatpost.com, Kaspersky Labs. Consultat la 16 septembrie 2015. Arhivat din original la 12 iunie 2018. (nedefinit)
26. ↑ 1 2 Public Beta: 3 decembrie 2015 (12 noiembrie 2015). Data accesului: 12 decembrie 2015. Arhivat din original pe 7 aprilie 2018. (nedefinit)
27. ↑ Let's Encrypt Leaves Beta (link descendent) (15 aprilie 2016). Consultat la 25 ianuarie 2018. Arhivat din original la 15 aprilie 2016. (nedefinit) 
28. ↑ Piatră de hotar .  100 de milioane de certificate emise . Să criptăm . Consultat la 25 ianuarie 2018. Arhivat din original la 12 mai 2018.
29. ↑ Așteptăm cu nerăbdare 2018  . Să criptăm. Preluat la 25 ianuarie 2018. Arhivat din original la 22 ianuarie 2018.
30. ↑ Asistența pentru certificate ACME v2 și Wildcard este live  . Let's Encrypt Community Support . Preluat la 28 iunie 2018. Arhivat din original la 1 iunie 2018.
31. ↑ Let's Encrypt a început să emită certificate wildcard  (rusă) . Arhivat din original pe 28 iunie 2018. Preluat la 28 iunie 2018.
32. ↑ Să criptăm rădăcină de încredere de către toate programele rădăcină majore . Preluat la 9 august 2018. Arhivat din original la 6 august 2018. (nedefinit)
33. ↑ Toate listele majore de certificate rădăcină au acum încredere în Let's Encrypt . Preluat la 9 august 2018. Arhivat din original la 9 august 2018. (nedefinit)
34. ↑ Certificate . Să criptăm . Arhivat din original pe 3 decembrie 2015. (nedefinit)
35. ↑ Certificate . Să criptăm . Arhivat din original pe 9 octombrie 2017. (nedefinit)
36. ↑ Asistența pentru certificate ACME v2 și Wildcard este live  . Să criptăm asistența comunității. Preluat la 16 martie 2018. Arhivat din original la 1 iunie 2018.
37. ↑ Wildcard Certificates Venind în ianuarie 2018 . Preluat la 9 iulie 2017. Arhivat din original la 8 ianuarie 2021. (nedefinit)
38. ↑ Let's Encrypt, Jim Meyering și Clarissa Lima Borges primesc premiile FSF pentru software liber 2019, arhivate 18 iulie 2021 la Wayback Machine Free Software Foundation, 2020
39. ↑ DST Root CA X3  Expiration . https://letsencrypt.org/ (2021-5-7). Preluat la 30 septembrie 2021. Arhivat din original la 30 septembrie 2021.
40. ↑ 1 2 Chris Brook (Threatpost), 18 noiembrie 2014: EFF, Alții intenționează să facă criptarea web-ului mai ușoară în 2015
41. ↑ Proiect de specificație ACME . Data accesului: 12 decembrie 2015. Arhivat din original pe 21 noiembrie 2014. (nedefinit)
42. ↑ R. Barnes, P. Eckersley, S. Schoen, A. Halderman, J. Kasten. Automatic Certificate Management Environment (ACME) draft-barnes-acme-01 (28 ianuarie 2015). Preluat la 12 decembrie 2015. Arhivat din original la 28 iunie 2020. (nedefinit)
43. ↑ boulder/LICENSE.txt la master letsencrypt/boulder GitHub . Consultat la 12 decembrie 2015. Arhivat din original la 19 martie 2019. (nedefinit)
44. ↑ letsencrypt/LICENSE.txt la master letsencrypt/letsencrypt GitHub
45. ↑ James Sanders (TechRepublic), 25 noiembrie 2014: Let's Encrypt initiative pentru a oferi certificate de criptare gratuite

Literatură

• Richard Barnes, Jacob Hoffman-Andrews, James Kasten, Automatic Certificate Management Environment (ACME) Arhivat la 28 iunie 2020 la Wayback Machine // IETF , Active Internet-Drafts, 21 iulie  2015

Link -uri

• letsencrypt.org - site-ul oficial al Let's Encrypt
• Să criptăm proiecte pe GitHub
• Conferința Libre Planet 2015 a lui Seth Schoen despre Let's  Encrypt
• Introducere tehnică , David Wong
• discursul pde pe Let's Encrypt , CCCamp 2015 
• Lista certificatelor emise de Let's Encrypt Arhivată 8 septembrie 2018 la Wayback Machine 

În rețelele sociale	Stare de nervozitate Facebook
Site-uri tematice	GitHub