Давайте зашифруем
Центр сертификации, предоставляющий бесплатные сертификаты с проверкой домена

Давайте зашифруем
Формирование18 ноября 2014 г. ; 10 лет назад ( 2014-11-18 )
Основатель
Штаб-квартираСан-Франциско , Калифорния , США
Координаты37°48′01″с.ш. 122°27′00″з.д. / 37.800322°с.ш. 122.449951°з.д. / 37.800322; -122.449951
Услуги Центр сертификации X.509
Головная организация
Группа исследований интернет-безопасности
Бюджет3,6 млн долларов США [1] (2019)
Персонал27 [2] (2023)
Веб-сайтletsencrypt.org

Let's Encryptнекоммерческий центр сертификации, управляемый Internet Security Research Group (ISRG), который предоставляет сертификаты X.509 для шифрования Transport Layer Security (TLS) бесплатно. Это крупнейший в мире центр сертификации, [3] используемый более чем 400 миллионами веб-сайтов , [4] с целью обеспечения безопасности всех веб-сайтов и использования HTTPS . Internet Security Research Group (ISRG), поставщик услуг, является общественной организацией. [5] Основными спонсорами являются Electronic Frontier Foundation (EFF), Mozilla Foundation , OVHcloud , Cisco Systems, Inc. , Facebook , Google Chrome , The Internet Society , AWS , Nginx и Bill and Melinda Gates Foundation . [6] Другими партнерами являются центр сертификации IdenTrust , [7] University of Michigan (UM), [8] и Linux Foundation . [9]

Обзор

Пример веб-сайта, использующего Let's Encrypt
Пример сертификата Let's Encrypt

Миссия организации — создать более безопасную и уважающую конфиденциальность Всемирную паутину , продвигая широкое внедрение HTTPS. [10] Сертификаты Let's Encrypt действительны в течение 90 дней, в течение которых их можно обновить в любое время. [11] Это осуществляется с помощью автоматизированного процесса, разработанного для устранения ручного создания, проверки , подписания , установки и обновления сертификатов для защищенных веб-сайтов. [12] [13] Проект заявляет, что его цель — сделать зашифрованные соединения с серверами Всемирной паутины повсеместными. [14] Устраняя платежи, настройку веб-сервера, управление проверочной электронной почтой и задачи обновления сертификатов, он призван значительно снизить сложность настройки и поддержки шифрования TLS. [15]

На веб-сервере Linux достаточно выполнить всего две команды для настройки HTTPS- шифрования, а также получения и установки сертификатов. [16] [17] С этой целью в официальные репозитории программного обеспечения Debian и Ubuntu был включен пакет программного обеспечения . [18] [19] Текущие инициативы крупных разработчиков браузеров, таких как Mozilla и Google, по прекращению поддержки незашифрованного HTTP рассчитывают на доступность Let's Encrypt. [20] [21] Признано, что проект имеет потенциал для реализации зашифрованных соединений в качестве варианта по умолчанию для всего Интернета. [22]

Служба выдает только сертификаты с проверкой домена , поскольку они могут быть полностью автоматизированы. Сертификаты проверки организации и расширенной проверки требуют человеческой проверки любых регистраторов и поэтому не предлагаются Let's Encrypt. [23] Поддержка ACME v2 и wildcard сертификатов была добавлена ​​в марте 2018 года. [24] Проверка домена (DV), используемая Let's Encrypt, восходит к 2002 году и сначала была спорной, когда была представлена ​​GeoTrust, прежде чем стать широко принятым методом выдачи SSL-сертификатов. [25]

Будучи максимально прозрачной, организация надеется как защитить свою собственную надежность, так и защититься от атак и попыток манипуляции. Для этой цели она регулярно публикует отчеты о прозрачности, [26] публично регистрирует все транзакции ACME (например, с помощью Certificate Transparency ), и использует открытые стандарты и свободное программное обеспечение в максимально возможной степени. [16]

История

Проект Let's Encrypt был начат в 2012 году двумя сотрудниками Mozilla, Джошем Аасом и Эриком Рескорлой, совместно с Питером Экерсли из Electronic Frontier Foundation и Дж. Алексом Халдерманом из Мичиганского университета . Internet Security Research Group , компания, стоящая за Let's Encrypt, была зарегистрирована в мае 2013 года. [8]

Let's Encrypt был публично анонсирован 18 ноября 2014 года. [27]

28 января 2015 года протокол ACME был официально представлен в IETF для стандартизации. [28] 9 апреля 2015 года ISRG и Linux Foundation объявили о своем сотрудничестве. [9] Корневые и промежуточные сертификаты были сгенерированы в начале июня. [29] 16 июня 2015 года был объявлен окончательный график запуска сервиса, при этом первый сертификат, как ожидается, будет выпущен где-то на неделе 27 июля 2015 года, за которым последует ограниченный период выпуска для проверки безопасности и масштабируемости. Первоначально планировалось, что общедоступность сервиса начнется где-то на неделе 14 сентября 2015 года. [30] 7 августа 2015 года график запуска был изменен, чтобы предоставить больше времени для обеспечения безопасности и стабильности системы, при этом первый сертификат будет выпущен на неделе 7 сентября 2015 года, за которым последует общедоступность на неделе 16 ноября 2015 года. [31]

14 сентября 2015 года Let's Encrypt выпустил свой первый сертификат, который был для домена helloworld.letsencrypt.org . В тот же день ISRG представила свои корневые программные приложения в Mozilla , Microsoft , Google и Apple . [32]

19 октября 2015 года промежуточные сертификаты стали перекрестно подписаны IdenTrust , в результате чего все сертификаты, выпущенные Let's Encrypt, стали доверенными для всех основных браузеров. [7]

12 ноября 2015 года Let's Encrypt объявили, что общедоступность будет отложена и что первая публичная бета-версия начнется 3 декабря 2015 года. [33] Публичная бета-версия работала с 3 декабря 2015 года [34] по 12 апреля 2016 года. [35] Она была запущена 12 апреля 2016 года. [36] [37] [5]

3 марта 2020 года Let's Encrypt объявила, что 4 марта ей придется отозвать более 3 миллионов сертификатов из-за уязвимости в программном обеспечении своего центра сертификации. [38] Благодаря работе с поставщиками программного обеспечения и связавшись с операторами сайта, Let's Encrypt удалось продлить 1,7 миллиона затронутых сертификатов до истечения крайнего срока. В конечном итоге они решили не отзывать оставшиеся затронутые сертификаты, поскольку риск безопасности был низким, а срок действия сертификатов истекал в течение следующих 90 дней. [39] Событие массового отзыва значительно увеличило глобальный уровень отзыва. [40]

В марте 2020 года Let's Encrypt был удостоен ежегодной премии Free Software Foundation за проекты, имеющие общественное значение. [41]

27 февраля 2020 года Let's Encrypt объявила о выпуске миллиарда сертификатов. [42]

В апреле 2022 года Let's Encrypt была удостоена премии Левчина за «фундаментальные улучшения в экосистеме сертификатов, которые предоставляют бесплатные сертификаты для всех». [43]

По данным Let's Encrypt, по состоянию на сентябрь 2022 года было выдано 234 миллиона активных (непросроченных) сертификатов. [4]

Технологии

Цепочка доверия

ISRG Корень X1 (RSA)

В июне 2015 года Let's Encrypt объявили о создании своего первого корневого сертификата RSA , ISRG Root X1. [44] Корневой сертификат использовался для подписи двух промежуточных сертификатов , [44] которые также перекрестно подписаны центром сертификации IdenTrust . [7] [45] Один из промежуточных сертификатов используется для подписи выпущенных сертификатов, в то время как другой хранится в автономном режиме в качестве резервного на случай возникновения проблем с первым промежуточным сертификатом. [44] Поскольку сертификат IdenTrust уже широко использовался основными веб-браузерами, сертификаты Let's Encrypt обычно могут быть проверены и приняты проверяющими сторонами [29] даже до того, как поставщики браузеров включат корневой сертификат ISRG в качестве якоря доверия .

ISRG Root X2 (ECDSA)

Разработчики Let's Encrypt планировали сгенерировать корневой ключ ECDSA еще в 2015 году [44] , но затем отложили этот план до начала 2016 года, затем до 2019 года и, наконец, до 2020 года. 3 сентября 2020 года Let's Encrypt выпустила шесть новых сертификатов: один новый корневой ключ ECDSA под названием «ISRG Root X2», четыре промежуточных и один перекрестный. Новый ISRG Root X2 перекрестно подписан с ISRG Root X1, собственным корневым сертификатом Let's Encrypt. Let's Encrypt не выпустила ответчик OCSP для новых промежуточных сертификатов и вместо этого планирует полагаться исключительно на списки отзыва сертификатов (CRL) для отзыва скомпрометированных сертификатов и короткие периоды действия для снижения опасности компрометации сертификатов. [46]

протокол ACME

Протокол вызова-ответа, используемый для автоматизации регистрации в центре сертификации, называется Automated Certificate Management Environment (ACME). Он может запрашивать либо веб-серверы, либо DNS-серверы, контролируемые доменом, охватываемым выдаваемым сертификатом. В зависимости от того, соответствуют ли полученные ответы ожиданиям, обеспечивается контроль зарегистрировавшегося над доменом (проверка домена). Клиентское программное обеспечение ACME может настроить выделенный сервер TLS, который получает запросы от сервера центра сертификации ACME с использованием Server Name Indication (проверка домена с использованием Server Name Indication, DVSNI), или он может использовать хуки для публикации ответов на существующих веб- и DNS-серверах.

Процессы проверки запускаются несколько раз по отдельным сетевым путям. Проверка того, предоставлены ли записи DNS, выполняется из нескольких географически разнесенных мест, чтобы затруднить проведение атак DNS-спуфинга.

Взаимодействие ACME основано на обмене документами JSON через соединения HTTPS. [47] Спецификация, разработанная Internet Engineering Task Force (IETF), является предлагаемым стандартом RFC 8555. [48]

До завершения и публикации RFC 8555 Let's Encrypt реализовал предварительный стандартный проект протокола ACME. RFC 8555 ввел критические изменения, и поэтому он был назван ACMEv2. Let's Encrypt реализовал новую версию и начал подталкивать существующих клиентов к обновлениям. Подталкивание было реализовано с помощью периодических простоев API ACMEv1. Окончание жизненного цикла было объявлено с датами и фазами в «Плане окончания жизненного цикла ACMEv1». [49] С 8 ноября 2019 года ACMEv1 больше не принимает новые регистрации учетных записей. С июня 2020 года ACMEv1 прекратил принимать новые проверки доменов. С января 2021 года ACMEv1 претерпел 24-часовые отключения . API ACMEv1 был полностью отключен 1 июня 2021 года. [50]

Реализация программного обеспечения

Диалог выбора домена

Центр сертификации состоит из программного обеспечения Boulder, написанного на Go , которое реализует серверную часть протокола ACME . Оно публикуется как свободное программное обеспечение с исходным кодом в соответствии с условиями версии 2 Mozilla Public License (MPL). [51] Оно предоставляет RESTful API , к которому можно получить доступ через зашифрованный TLS-канал.

Лицензированная Apache [52] программа управления сертификатами Python , называемая certbot (ранее letsencrypt ) , устанавливается на стороне клиента (веб-сервер зарегистрировавшегося пользователя). Она используется для заказа сертификата, проведения процесса проверки домена, установки сертификата, настройки шифрования HTTPS на HTTP-сервере и позднее для регулярного обновления сертификата. [16] [53] После установки и согласия с пользовательской лицензией достаточно выполнить одну команду, чтобы установить действительный сертификат. Также можно включить дополнительные параметры, такие как сшивание OCSP или HTTP Strict Transport Security (HSTS). [47] Автоматическая настройка изначально работает только с Apache и nginx .

Let's Encrypt выпускает сертификаты, действительные в течение 90 дней. Причина в том, что эти сертификаты «ограничивают ущерб от компрометации ключей и неправильной выдачи» и поощряют автоматизацию. [54]

Первоначально Let's Encrypt разработал свой собственный ACME-клиент – Certbot – в качестве официальной реализации. Он был передан Electronic Frontier Foundation , а его название «letsencrypt» было изменено на «certbot». Существует большой выбор ACME-клиентов и проектов для ряда сред, разработанных сообществом. [55]

Смотрите также

  • HTTPS везде
  • Статистика Let's Encrypt — интерактивные графики сертификатов Let's Encrypt, выданных ежедневно

Дальнейшее чтение

  • Barnes, R.; Hoffman-Andrews, J.; McCarney, D.; Kasten, J. (март 2019 г.). Среда автоматического управления сертификатами (ACME) RFC 8555 . IETF .

Ссылки

  1. ^ Аас, Джош (31 декабря 2019 г.). «С нетерпением ждем 2019 год». Let's Encrypt . Получено 26 января 2019 г. .
  2. ^ "Building A Better Internet - ISRG 2023 Annual Report" (PDF) . Internet Security Research Group . 27 декабря 2023 г. . Получено 27 мая 2024 г. .
  3. ^ "For A Better Internet - ISRG 2020 Annual Report" (PDF) . Internet Security Research Group . 17 ноября 2020 г. . Получено 11 мая 2021 г. .
  4. ^ ab "Let's Encrypt Stats - Let's Encrypt - Бесплатные SSL/TLS-сертификаты". letsencrypt.org . Получено 1 октября 2022 г. .
  5. ^ ab "О Let's Encrypt". Let's Encrypt.
  6. ^ "Текущие спонсоры и спонсоры". Let's Encrypt.
  7. ^ abc Aas, Джош (19 октября 2015 г.). «Let's Encrypt — это доверие».
  8. ^ ab Aas, Josh (18 ноября 2014 г.). «Let's Encrypt | Boom Swagger Boom». Boomswaggerboom.wordpress.com. Архивировано из оригинала 8 декабря 2015 г. Получено 6 января 2016 г.
  9. ^ ab Kerner, Sean Michael (9 апреля 2015 г.). «Let's Encrypt становится совместным проектом Linux Foundation». eWeek . QuinStreet Enterprise.[ постоянная мертвая ссылка ‍ ]
  10. ^ "Let's Encrypt - FAQ". Let's Encrypt . Получено 11 мая 2021 г. .
  11. ^ "Почему срок действия сертификатов составляет девяносто дней? - Let's Encrypt". letsencrypt.org . Получено 5 сентября 2021 г. .
  12. ^ Кернер, Шон Майкл (18 ноября 2014 г.). «Let's Encrypt Effort Aims to Improve Internet Security». eWeek.com . Quinstreet Enterprise. Архивировано из оригинала 13 декабря 2016 г. Получено 27 февраля 2015 г.
  13. ^ Экерсли, Питер (18 ноября 2014 г.). «Запуск в 2015 г.: центр сертификации для шифрования всей сети». Electronic Frontier Foundation . Получено 27 февраля 2015 г.
  14. ^ "How It Works". Let's Encrypt . Получено 9 июля 2016 г.
  15. ^ Танг, Лиам (19 ноября 2014 г.). «EFF и Mozilla запустят бесплатное шифрование веб-сайтов в один клик». ZDNet . CBS Interactive.
  16. ↑ abc Фабиан Шершель (19 ноября 2014 г.). «Давайте зашифруем: Mozilla и EFF mischen den CA-Markt auf» (на немецком языке). heise.de.
  17. ^ Марвин, Роб (19 ноября 2014 г.). «EFF хочет сделать HTTPS протоколом по умолчанию». Software Development Times . BZ Media. Архивировано из оригинала 17 июня 2016 г. Получено 27 мая 2019 г.
  18. ^ Мариер, Франсуа (1 января 2015 г.). «ITP: letsencrypt – клиент Let's Encrypt, который может обновлять конфигурации Apache». Журналы отчетов об ошибках Debian .
  19. ^ "python-letsencrypt". Debian Package Tracker . 27 мая 2015 г.
  20. ^ Барнс, Ричард (30 апреля 2015 г.). «Устаревание небезопасного HTTP». Блог безопасности Mozilla . Mozilla.
  21. ^ «Маркировка HTTP как небезопасного». Проекты Chromium .
  22. ^ Муди, Глин (25 ноября 2014 г.). «Грядущая война с шифрованием, Tor и VPN». Computerworld UK . IDG UK.
  23. ^ Vaughan-Nichols, Steven J. (9 апреля 2015 г.). «Защита сети раз и навсегда: проект Let's Encrypt». ZDNet . CBS Interactive.
  24. ^ Аас, Джош (13 марта 2018 г.). «ACME v2 и поддержка Wildcard Certificate уже в работе». Let's Encrypt . Получено 24 мая 2018 г.
  25. ^ "Сертификаты есть сертификаты – VeriSign ругает конкурентов". www.theregister.com . Получено 20 августа 2020 г. .
  26. ^ Zorz, Zeljka (6 июля 2015 г.). «Let's Encrypt CA выпускает отчет о прозрачности до своего первого сертификата». Help Net Security .
  27. ^ Джозеф Цидулко (18 ноября 2014 г.). «Let's Encrypt, бесплатный и автоматизированный центр сертификации, выходит из скрытого режима». crn.com . Получено 26 августа 2015 г.
  28. ^ История для draft-barnes-acme
  29. ^ аб Рейко Капс (5 июня 2015 г.). «Давайте зашифруем: Meilenstein zu kostenlosen SSL-Zertifikaten für alle» (на немецком языке). heise.de.
  30. ^ Джош Аас (16 июня 2015 г.). «Расписание запуска Let's Encrypt». letsencrypt.org . Let's Encrypt . Получено 19 июня 2015 г. .
  31. ^ «Обновлённый график запуска Let's Encrypt». 7 августа 2015 г.
  32. ^ Майкл Мимозо. «First Let's Encrypt Free Certificate Goes Live». Threatpost.com, Kaspersky Labs . Получено 16 сентября 2015 г.
  33. ^ "Публичная бета-версия: 3 декабря 2015 г.". 12 ноября 2015 г.
  34. ^ «Entering Public Beta — Let's Encrypt — Free SSL/TLS Certificates». Let's Encrypt. 3 декабря 2015 г. Получено 6 января 2016 г.
  35. ^ "Let's Encrypt покидает бета-версию". LinuxFoundation.org . Архивировано из оригинала 15 апреля 2016 г. Получено 17 апреля 2016 г.
  36. ^ Джош Аас; Исполнительный директор ISRG. «Покидая бета-версию, новые спонсоры». EFF . Получено 12 апреля 2016 г.
  37. ^ Catalin Cimpanu. «Let's Encrypt запущен сегодня, в настоящее время защищает 3,8 миллиона доменов». Softpedia News . Получено 12 апреля 2016 г.
  38. ^ "Отзыв определенных сертификатов 4 марта". 3 марта 2020 г. Получено 4 марта 2020 г.
  39. ^ Барретт, Брайан (9 марта 2020 г.). «Интернет избежал незначительной катастрофы на прошлой неделе». Wired . Conde Nast . Получено 12 мая 2020 г.
  40. ^ Коржицкий, Никита; Карлссон, Никлас (2021). «Статусы отзыва в Интернете». arXiv : 2102.04288 .
  41. ^ Let's Encrypt, Джим Мейеринг и Кларисса Лима Борхес получают премию FSF Free Software Awards 2019 Free Software Foundation, 2020
  42. ^ «Let's Encrypt выпустил миллиард сертификатов — Let's Encrypt — бесплатные сертификаты SSL/TLS». letsencrypt.org . Получено 3 апреля 2021 г. .
  43. ^ "Премия Левчина за криптографию реального мира". Симпозиум по криптографии реального мира . Международная ассоциация криптологических исследований . Получено 9 апреля 2024 г.
  44. ^ abcd Aas, Джош (4 июня 2015 г.). «Давайте зашифруем корневые и промежуточные сертификаты». Давайте зашифруем .
  45. Рейко Капс (17 июня 2015 г.). «SSL-Zertifizierungsstelle Lets Encrypt выйдет в сентябре 2015 г.» (на немецком языке). heise.de.
  46. ^ Гейбл, Аарон (17 сентября 2020 г.). «Новые корневые и промежуточные сертификаты Let's Encrypt». Let's Encrypt . Получено 22 сентября 2020 г. .
  47. ^ ab Brook, Chris (18 ноября 2014 г.). "EFF и другие планируют упростить шифрование в Интернете в 2015 г.". Threatpost: Служба новостей безопасности Лаборатории Касперского .
  48. ^ Р. Барнс, Дж. Хоффман-Эндрюс, Д. Маккарни и Дж. Кастен (март 2019 г.). «Среда автоматического управления сертификатами (ACME)». RFC 8555 . {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
  49. ^ "План окончания срока службы ACMEv1". Поддержка сообщества Let's Encrypt . 11 марта 2019 г. Получено 20 августа 2020 г.
  50. ^ "План окончания срока службы ACMEv1 - Объявления API". Поддержка сообщества Let's Encrypt . 5 мая 2021 г. Получено 12 мая 2021 г.
  51. ^ letsencrypt. "boulder/LICENSE.txt в master · letsencrypt/boulder · GitHub". Github.com . Получено 6 января 2016 г. .
  52. ^ letsencrypt (23 ноября 2015 г.). «letsencrypt/LICENSE.txt в мастере · letencrypt/letsencrypt · GitHub». Гитхаб.com . Проверено 6 января 2016 г.
  53. ^ Сандерс, Джеймс (25 ноября 2014 г.). «Инициатива Let's Encrypt по предоставлению бесплатных сертификатов шифрования». TechRepublic . CBS Interactive.
  54. ^ Аас, Джош (9 ноября 2015 г.). «Почему срок действия сертификатов составляет девяносто дней?». Let's Encrypt . Получено 26 июня 2016 г.
  55. ^ "Реализации клиента ACME - Let's Encrypt - Бесплатные сертификаты SSL/TLS". letsencrypt.org . Получено 20 августа 2020 г. .
На Викискладе есть медиафайлы по теме Let's Encrypt .
  • Официальный сайт
  • Certbot
  • Давайте зашифруем на GitHub
  • Лекция Сета Шоена на конференции Libre Planet 2015 о Let's Encrypt
  • Доклад pde о Let's Encrypt на CCCamp 2015
  • Список сертификатов, выданных Let's Encrypt
Взято с "https://en.wikipedia.org/w/index.php?title=Let%27s_Encrypt&oldid=1269173014"