Давайте зашифруем

Центр сертификации, предоставляющий бесплатные сертификаты с проверкой домена

Let's Encrypt — некоммерческий центр сертификации, управляемый Internet Security Research Group (ISRG), который предоставляет сертификаты X.509 для шифрования Transport Layer Security (TLS) бесплатно. Это крупнейший в мире центр сертификации, ^[3] используемый более чем 300 миллионами веб-сайтов , ^[4] с целью обеспечения безопасности всех веб-сайтов и использования HTTPS . Internet Security Research Group (ISRG), поставщик услуг, является общественной организацией. ^[5] Основными спонсорами являются Electronic Frontier Foundation (EFF), Mozilla Foundation , OVH , Cisco Systems , Facebook , Google Chrome , Internet Society , AWS , NGINX и Bill and Melinda Gates Foundation . ^[6] Другими партнерами являются центр сертификации IdenTrust , ^[7] Мичиганский университет ( UM), ^[8] и Linux Foundation . ^[9]

Обзор

Пример веб-сайта, использующего Let's Encrypt

Пример сертификата Let's Encrypt

Миссия организации — создать более безопасную и уважающую конфиденциальность Всемирную паутину , продвигая широкое внедрение HTTPS. ^[10] Сертификаты Let's Encrypt действительны в течение 90 дней, в течение которых их можно обновить в любое время. ^[11] Это осуществляется с помощью автоматизированного процесса, разработанного для устранения ручного создания, проверки , подписания , установки и обновления сертификатов для защищенных веб-сайтов. ^{[12] [13]} Проект заявляет, что его цель — сделать зашифрованные соединения с серверами Всемирной паутины повсеместными. ^[14] Устраняя задачи оплаты, настройки веб-сервера, проверки управления электронной почтой и обновления сертификатов, он призван значительно снизить сложность настройки и поддержки шифрования TLS. ^[15]

На веб-сервере Linux для настройки HTTPS- шифрования, а также получения и установки сертификатов достаточно выполнить всего две команды. ^{[16] [17]} С этой целью в официальные репозитории программного обеспечения Debian и Ubuntu был включен программный пакет . ^{[18] [19]} Текущие инициативы крупных разработчиков браузеров, таких как Mozilla и Google, по прекращению поддержки незашифрованного HTTP рассчитывают на доступность Let's Encrypt. ^{[20] [21]} Признано, что проект имеет потенциал для реализации зашифрованных соединений в качестве варианта по умолчанию для всего Интернета. ^[22]

Служба выдает только сертификаты с проверкой домена , поскольку они могут быть полностью автоматизированы. Сертификаты проверки организации и расширенной проверки требуют человеческой проверки всех регистраторов и поэтому не предлагаются Let's Encrypt. ^[23] Поддержка ACME v2 и wildcard сертификатов была добавлена ​​в марте 2018 года. ^[24] Проверка домена (DV), используемая Let's Encrypt, восходит к 2002 году и сначала была спорной, когда была представлена ​​GeoTrust, прежде чем стать широко принятым методом выдачи SSL-сертификатов. ^[25]

Будучи максимально прозрачной, организация надеется как защитить свою собственную надежность, так и защититься от атак и попыток манипуляции. Для этой цели она регулярно публикует отчеты о прозрачности, ^[26] публично регистрирует все транзакции ACME (например, с помощью Certificate Transparency ), и использует открытые стандарты и свободное программное обеспечение в максимально возможной степени. ^[16]

История

Проект Let's Encrypt был начат в 2012 году двумя сотрудниками Mozilla, Джошем Аасом и Эриком Рескорлой, совместно с Питером Экерсли из Electronic Frontier Foundation и Дж. Алексом Халдерманом из Мичиганского университета . Internet Security Research Group , компания, стоящая за Let's Encrypt, была зарегистрирована в мае 2013 года. ^[8]

Let's Encrypt был публично анонсирован 18 ноября 2014 года. ^[27]

28 января 2015 года протокол ACME был официально представлен в IETF для стандартизации. ^[28] 9 апреля 2015 года ISRG и Linux Foundation объявили о своем сотрудничестве. ^[9] Корневые и промежуточные сертификаты были сгенерированы в начале июня. ^[29] 16 июня 2015 года был объявлен окончательный график запуска сервиса, при этом первый сертификат, как ожидается, будет выпущен где-то на неделе 27 июля 2015 года, за которым последует ограниченный период выпуска для проверки безопасности и масштабируемости. Первоначально планировалось, что общедоступность сервиса начнется где-то на неделе 14 сентября 2015 года. ^[30] 7 августа 2015 года график запуска был изменен, чтобы предоставить больше времени для обеспечения безопасности и стабильности системы, при этом первый сертификат будет выпущен на неделе 7 сентября 2015 года, за которым последует общедоступность на неделе 16 ноября 2015 года. ^[31]

14 сентября 2015 года Let's Encrypt выпустил свой первый сертификат, который был для домена helloworld.letsencrypt.org . В тот же день ISRG представила свои приложения корневой программы в Mozilla , Microsoft , Google и Apple . ^[32]

19 октября 2015 года промежуточные сертификаты стали перекрестно подписаны IdenTrust , в результате чего все сертификаты, выпущенные Let's Encrypt, стали доверенными для всех основных браузеров. ^[7]

12 ноября 2015 года Let's Encrypt объявили, что общедоступность будет отложена и что первая публичная бета-версия начнется 3 декабря 2015 года. ^[33] Публичная бета-версия работала с 3 декабря 2015 года ^[34] по 12 апреля 2016 года. ^[35] Она была запущена 12 апреля 2016 года. ^{[36] [37] [5]}

3 марта 2020 года Let's Encrypt объявила, что 4 марта ей придется отозвать более 3 миллионов сертификатов из-за уязвимости в программном обеспечении своего центра сертификации. ^[38] Благодаря работе с поставщиками программного обеспечения и связавшись с операторами сайта, Let's Encrypt удалось продлить 1,7 миллиона затронутых сертификатов до истечения крайнего срока. В конечном итоге они решили не отзывать оставшиеся затронутые сертификаты, поскольку риск безопасности был низким, а срок действия сертификатов истекал в течение следующих 90 дней. ^[39] Событие массового отзыва значительно увеличило глобальный уровень отзыва. ^[40]

В марте 2020 года Let's Encrypt был удостоен ежегодной премии Free Software Foundation за проекты, имеющие общественное значение. ^[41]

27 февраля 2020 года Let's Encrypt объявила о выпуске миллиарда сертификатов. ^[42]

В апреле 2022 года Let's Encrypt была удостоена премии Левчина за «фундаментальные улучшения в экосистеме сертификатов, которые предоставляют бесплатные сертификаты для всех». ^[43]

По данным Let's Encrypt, по состоянию на сентябрь 2022 года было выдано 234 миллиона активных (непросроченных) сертификатов. ^[4]

Технологии

Цепочка доверия

ISRG Корень X1 (RSA)

В июне 2015 года Let's Encrypt объявили о создании своего первого корневого сертификата RSA , ISRG Root X1. ^[44] Корневой сертификат использовался для подписи двух промежуточных сертификатов , ^[44] которые также перекрестно подписаны центром сертификации IdenTrust . ^{[7] [45]} Один из промежуточных сертификатов используется для подписи выпущенных сертификатов, в то время как другой хранится в автономном режиме в качестве резервного на случай возникновения проблем с первым промежуточным сертификатом. ^[44] Поскольку сертификат IdenTrust уже широко использовался основными веб-браузерами, сертификаты Let's Encrypt обычно могут быть проверены и приняты проверяющими сторонами ^[29] даже до того, как поставщики браузеров включат корневой сертификат ISRG в качестве якоря доверия .

ISRG Root X2 (ECDSA)

Разработчики Let's Encrypt планировали сгенерировать корневой ключ ECDSA еще в 2015 году ^[44] , но затем отложили этот план до начала 2016 года, затем до 2019 года и, наконец, до 2020 года. 3 сентября 2020 года Let's Encrypt выпустила шесть новых сертификатов: один новый корневой ключ ECDSA под названием «ISRG Root X2», четыре промежуточных и один перекрестный. Новый ISRG Root X2 перекрестно подписан с ISRG Root X1, собственным корневым сертификатом Let's Encrypt. Let's Encrypt не выпустила ответчик OCSP для новых промежуточных сертификатов и вместо этого планирует полагаться исключительно на списки отзыва сертификатов (CRL) для отзыва скомпрометированных сертификатов и короткие периоды действия для снижения опасности компрометации сертификатов. ^[46]

протокол ACME

Протокол вызова-ответа, используемый для автоматизации регистрации в центре сертификации, называется Automated Certificate Management Environment (ACME). Он может запрашивать либо веб-серверы, либо DNS-серверы, контролируемые доменом, охватываемым выдаваемым сертификатом. В зависимости от того, соответствуют ли полученные ответы ожиданиям, обеспечивается контроль зарегистрировавшегося над доменом (проверка домена). Клиентское программное обеспечение ACME может настроить выделенный сервер TLS, который получает запросы от сервера центра сертификации ACME с использованием Server Name Indication (проверка домена с использованием Server Name Indication, DVSNI), или он может использовать хуки для публикации ответов на существующих веб- и DNS-серверах.

Процессы проверки запускаются несколько раз по отдельным сетевым путям. Проверка того, предоставлены ли записи DNS, выполняется из нескольких географически разнесенных мест, чтобы затруднить проведение атак DNS-спуфинга.

Взаимодействие ACME основано на обмене документами JSON через соединения HTTPS. ^[47] Проект спецификации доступен на GitHub , ^[48] а версия была представлена ​​в Internet Engineering Task Force (IETF) в качестве предложения по стандарту Интернета. ^[49]

Let's Encrypt реализовал свой собственный проект протокола ACME. В то же время они настаивали на стандартизации. Это привело к «предлагаемому стандарту» (RFC8555) в мае 2019 года. Он внес критические изменения и, как таковой, был назван ACMEv2. Let's Encrypt реализовал новую версию и начал подталкивать существующих клиентов к обновлениям. Подталкивание было реализовано с помощью периодических простоев API ACMEv1. Окончание жизненного цикла было объявлено с датами и фазами в «Плане окончания жизненного цикла ACMEv1». ^[50] С 8 ноября 2019 года ACMEv1 больше не принимает новые регистрации учетных записей. С июня 2020 года ACMEv1 прекратил принимать новые проверки доменов. С января 2021 года ACMEv1 претерпел 24-часовые отключения . API ACMEv1 был полностью отключен 1 июня 2021 года. ^[51]

Реализация программного обеспечения

Диалог выбора домена

Центр сертификации состоит из программного обеспечения Boulder, написанного на Go , которое реализует серверную часть протокола ACME . Оно публикуется как свободное программное обеспечение с исходным кодом в соответствии с условиями версии 2 Mozilla Public License (MPL). ^[52] Оно предоставляет RESTful API , к которому можно получить доступ через зашифрованный TLS-канал.

Apache -лицензированная ^[53] программа управления сертификатами Python , называемая certbot (ранее letsencrypt ) , устанавливается на стороне клиента (веб-сервер зарегистрировавшегося). Она используется для заказа сертификата, проведения процесса проверки домена, установки сертификата, настройки шифрования HTTPS на HTTP-сервере и позже для регулярного обновления сертификата. ^{[16] [54]} После установки и согласия с пользовательской лицензией достаточно выполнить одну команду, чтобы установить действительный сертификат. Также можно включить дополнительные параметры, такие как OCSP stapling или HTTP Strict Transport Security (HSTS). ^[47] Автоматическая настройка изначально работает только с Apache и nginx .

Let's Encrypt выпускает сертификаты, действительные в течение 90 дней. Причина в том, что эти сертификаты «ограничивают ущерб от компрометации ключей и неправильной выдачи» и поощряют автоматизацию. ^[55]

Первоначально Let's Encrypt разработал свой собственный ACME-клиент – Certbot – в качестве официальной реализации. Он был передан Electronic Frontier Foundation , а его название «letsencrypt» было изменено на «certbot». Существует большой выбор ACME-клиентов и проектов для ряда сред, разработанных сообществом. ^[56]

Смотрите также

• HTTPS везде
• Статистика Let's Encrypt — интерактивные графики сертификатов Let's Encrypt, выданных ежедневно

Дальнейшее чтение

• Barnes, R.; Hoffman-Andrews, J.; McCarney, D.; Kasten, J. (март 2019 г.). Среда автоматического управления сертификатами (ACME) RFC 8555 . IETF .

Ссылки

1. Аас, Джош (31 декабря 2019 г.). «С нетерпением ждем 2019 года». Let's Encrypt . Получено 26 января 2019 г. .
2. "Building A Better Internet - ISRG 2023 Annual Report" (PDF) . Internet Security Research Group . 27 декабря 2023 г. . Получено 27 мая 2024 г. .
3. "For A Better Internet - ISRG 2020 Annual Report" (PDF) . Internet Security Research Group . 17 ноября 2020 г. . Получено 11 мая 2021 г. .
4. "Let's Encrypt Stats - Let's Encrypt - Бесплатные SSL/TLS-сертификаты". letsencrypt.org . Получено 1 октября 2022 г. .
5. "О Let's Encrypt". Let's Encrypt.
6. "Текущие спонсоры и спонсоры". Let's Encrypt.
7. Aas, Джош (19 октября 2015 г.). «Let's Encrypt — это доверие».
8. Aas, Josh (18 ноября 2014 г.). «Let's Encrypt | Boom Swagger Boom». Boomswaggerboom.wordpress.com. Архивировано из оригинала 8 декабря 2015 г. Получено 6 января 2016 г.
9. Kerner, Sean Michael (9 апреля 2015 г.). «Let's Encrypt становится совместным проектом Linux Foundation». eWeek . QuinStreet Enterprise.^{[ постоянная мертвая ссылка ]}
10. "Let's Encrypt - FAQ". Let's Encrypt . Получено 11 мая 2021 г. .
11. "Почему срок действия сертификатов составляет девяносто дней? - Let's Encrypt". letsencrypt.org . Получено 5 сентября 2021 г. .
12. Кернер, Шон Майкл (18 ноября 2014 г.). «Let's Encrypt Effort Aims to Improve Internet Security». eWeek.com . Quinstreet Enterprise. Архивировано из оригинала 13 декабря 2016 г. Получено 27 февраля 2015 г.
13. Экерсли, Питер (18 ноября 2014 г.). «Запуск в 2015 г.: центр сертификации для шифрования всего Интернета». Electronic Frontier Foundation . Получено 27 февраля 2015 г.
14. "How It Works". Let's Encrypt . Получено 9 июля 2016 г.
15. Танг, Лиам (19 ноября 2014 г.). «EFF и Mozilla запустят бесплатное шифрование веб-сайтов в один клик». ZDNet . CBS Interactive.
16. Фабиан Шершель (19 ноября 2014 г.). «Давайте зашифруем: Mozilla und die EFF mischen den CA-Markt auf» (на немецком языке). heise.de.
17. Марвин, Роб (19 ноября 2014 г.). «EFF хочет сделать HTTPS протоколом по умолчанию». Software Development Times . BZ Media. Архивировано из оригинала 17 июня 2016 г. . Получено 27 мая 2019 г. .
18. Мариер, Франсуа (1 января 2015 г.). «ITP: letsencrypt – клиент Let's Encrypt, который может обновлять конфигурации Apache». Журналы отчетов об ошибках Debian .
19. "python-letsencrypt". Debian Package Tracker . 27 мая 2015 г.
20. Барнс, Ричард (30 апреля 2015 г.). «Устаревание небезопасного HTTP». Блог безопасности Mozilla . Mozilla.
21. «Маркировка HTTP как небезопасного». Проекты Chromium .
22. Муди, Глин (25 ноября 2014 г.). «Грядущая война с шифрованием, Tor и VPN». Computerworld UK . IDG UK.
23. Vaughan-Nichols, Steven J. (9 апреля 2015 г.). «Защита сети раз и навсегда: проект Let's Encrypt». ZDNet . CBS Interactive.
24. Аас, Джош (13 марта 2018 г.). «ACME v2 и поддержка Wildcard Certificate уже доступны». Let's Encrypt . Получено 24 мая 2018 г.
25. «Сертификаты есть сертификаты – VeriSign ругает конкурентов». www.theregister.com . Получено 20 августа 2020 г. .
26. Zorz, Zeljka (6 июля 2015 г.). «Let's Encrypt CA выпускает отчет о прозрачности до своего первого сертификата». Help Net Security .
27. Джозеф Цидулко (18 ноября 2014 г.). «Let's Encrypt, бесплатный и автоматизированный центр сертификации, выходит из скрытого режима». crn.com . Получено 26 августа 2015 г.
28. История для draft-barnes-acme
29. Рейко Капс (5 июня 2015 г.). «Давайте зашифруем: Meilenstein zu kostenlosen SSL-Zertifikaten für alle» (на немецком языке). heise.de.
30. Джош Аас (16 июня 2015 г.). «Расписание запуска Let's Encrypt». letsencrypt.org . Let's Encrypt . Получено 19 июня 2015 г. .
31. «Обновлённый график запуска Let's Encrypt». 7 августа 2015 г.
32. Майкл Мимозо. «First Let's Encrypt Free Certificate Goes Live». Threatpost.com, Kaspersky Labs . Получено 16 сентября 2015 г.
33. "Публичная бета-версия: 3 декабря 2015 г.". 12 ноября 2015 г.
34. «Entering Public Beta — Let's Encrypt — Free SSL/TLS Certificates». Let's Encrypt. 3 декабря 2015 г. Получено 6 января 2016 г.
35. "Let's Encrypt покидает бета-версию". LinuxFoundation.org . Архивировано из оригинала 15 апреля 2016 г. Получено 17 апреля 2016 г.
36. Джош Аас; Исполнительный директор ISRG. «Покидая бета-версию, новые спонсоры». EFF . Получено 12 апреля 2016 г.
37. Catalin Cimpanu. «Let's Encrypt запущен сегодня, в настоящее время защищает 3,8 миллиона доменов». Softpedia News . Получено 12 апреля 2016 г.
38. "Отзыв определенных сертификатов 4 марта". 3 марта 2020 г. Получено 4 марта 2020 г.
39. Барретт, Брайан (9 марта 2020 г.). «Интернет избежал незначительной катастрофы на прошлой неделе». Wired . Conde Nast . Получено 12 мая 2020 г.
40. Коржицкий, Никита; Карлссон, Никлас (2021). Статусы отзыва в Интернете . arXiv : 2102.04288 . {{cite book}}: |work=проигнорировано ( помощь )
41. Let's Encrypt, Джим Мейеринг и Кларисса Лима Борхес получают награды FSF Free Software Awards 2019 Free Software Foundation, 2020
42. «Let's Encrypt выпустил миллиард сертификатов — Let's Encrypt — бесплатные сертификаты SSL/TLS». letsencrypt.org . Получено 3 апреля 2021 г. .
43. "Премия Левчина за криптографию реального мира". Симпозиум по криптографии реального мира . Международная ассоциация криптологических исследований . Получено 9 апреля 2024 г.
44. Аас, Джош (4 июня 2015 г.). «Давайте зашифруем корневые и промежуточные сертификаты». Давайте зашифруем .
45. Рейко Капс (17 июня 2015 г.). «SSL-Zertifizierungsstelle Lets Encrypt выйдет в сентябре 2015 г.» (на немецком языке). heise.de.
46. Гейбл, Аарон (17 сентября 2020 г.). «Новые корневые и промежуточные сертификаты Let's Encrypt». Let's Encrypt . Получено 22 сентября 2020 г. .
47. Brook, Chris (18 ноября 2014 г.). "EFF и другие планируют упростить шифрование в Интернете в 2015 г.". Threatpost: Служба новостей безопасности Лаборатории Касперского .
48. "Черновик спецификации ACME". GitHub . 6 мая 2020 г.
49. Барнс, Ричард; Экерсли, Питер; Шоен, Сет; Хальдерман, Алекс; Кастен, Джеймс (28 января 2015 г.). «Среда автоматического управления сертификатами (ACME) draft-barnes-acme-01». Сетевая рабочая группа.
50. "План окончания срока службы ACMEv1". Поддержка сообщества Let's Encrypt . 11 марта 2019 г. Получено 20 августа 2020 г.
51. "План окончания срока службы ACMEv1 - Объявления API". Поддержка сообщества Let's Encrypt . 5 мая 2021 г. Получено 12 мая 2021 г.
52. letsencrypt. "boulder/LICENSE.txt в master · letsencrypt/boulder · GitHub". Github.com . Получено 6 января 2016 г. .
53. letsencrypt (23 ноября 2015 г.). "letsencrypt/LICENSE.txt в master · letsencrypt/letsencrypt · GitHub". Github.com . Получено 6 января 2016 г. .
54. Сандерс, Джеймс (25 ноября 2014 г.). «Инициатива Let's Encrypt по предоставлению бесплатных сертификатов шифрования». TechRepublic . CBS Interactive.
55. Аас, Джош (9 ноября 2015 г.). «Почему срок действия сертификатов девяносто дней?». Let's Encrypt . Получено 26 июня 2016 г.
56. "Реализации клиента ACME - Let's Encrypt - Бесплатные сертификаты SSL/TLS". letsencrypt.org . Получено 20 августа 2020 г. .

Внешние ссылки

• Официальный сайт
• Certbot
• Давайте зашифруем на GitHub
• Лекция Сета Шоена на конференции Libre Planet 2015 о Let's Encrypt
• Доклад pde о Let's Encrypt на CCCamp 2015
• Список сертификатов, выданных Let's Encrypt