Låt oss kryptera

Let's Encrypt  är en certifikatmyndighet som tillhandahåller gratis X.509 kryptografiska certifikat för kryptering av HTTPS- data som överförs över Internet och andra protokoll som används av servrar på Internet. Processen för att utfärda certifikat är helt automatiserad [3] [4] .

Tjänsten tillhandahålls av den offentliga organisationen Internet Security Research Group (ISRG).

Uppgifter

Projektet Let's Encrypt skapades så att majoriteten av webbplatser kunde byta till krypterade anslutningar ( HTTPS ). Till skillnad från kommersiella certifikatmyndigheter kräver detta projekt inte betalning, omkonfigurering av webbservrar, användning av e-post, bearbetning av utgångna certifikat, vilket gör processen att installera och konfigurera TLS-kryptering mycket enklare [5] . Till exempel, på en typisk Linux -baserad webbserver , krävs två kommandon för att ställa in HTTPS- kryptering, erhålla och installera ett certifikat på cirka 20-30 sekunder [6] [7] .

Ett paket med automatisk konfiguration och certifikatverktyg ingår i Debiandistributionens officiella arkiv [ 8] . Webbläsarutvecklarna Mozilla och Google avser att fasa ut stödet för okrypterad HTTP genom att slopa stödet för nya webbstandarder för http-sajter [9] [10] . Projektet Let's Encrypt har potential att konvertera mycket av Internet till krypterade anslutningar [11] .

Let's Encrypt- certifieringsmyndigheten utfärdar domänvaliderade certifikat med en giltighetstid på 90 dagar [12] . Det finns inga planer på att erbjuda organisationsvalidering och utökade valideringscertifikat [13] .

Från och med augusti 2021 har Let's Encrypt 1 930 558 registrerade certifikat och 2 527 642 fullt definierade aktiva domäner. Och antalet Let's Encrypt-certifikat som utfärdas per dag överstiger 2,5 miljoner [14]

Projektet publicerar mycket information för att skydda mot attacker och manipulationsförsök [15] . En offentlig logg över alla ACME- transaktioner upprätthålls , öppna standarder och program med öppen källkod används [6] .

Medlemmar

Tjänsten Let's Encrypt tillhandahålls av den offentliga organisationen Internet Security Research Group (ISRG).

Projektets huvudsponsorer: Electronic Frontier Foundation ( EFF ), Mozilla Foundation , Akamai , Cisco Systems .

Projektpartners är certifikatutfärdaren IdenTrust , University of Michigan (UM), Stanford Law School , Linux Foundation [16] ; Stephen Kent (av Raytheon / BBN Technologies ) och Alex Polvi (av CoreOS ) [6] .

Historik

Let's Encrypt-projektet initierades i slutet av 2012 av två Mozilla - anställda , Josh Aas och Eric Rescorla . Internet Security Research Group bildades i maj 2013 för att leda projektet. I juni 2013 slogs projekten från Electronic Frontier Foundation och University of Michigan samman till Let's Encrypt [17] .

Let 's Encrypt-projektet tillkännagavs först offentligt den 18 november 2014 [18] .

Den 28 januari 2015 lämnades ACME-protokollet till IETF för antagande som en Internetstandard [19] .

Den 9 april 2015 tillkännagav ISRG och Linux Foundation ett samarbete [16] .

I början av juni 2015 skapades ett RSA -rotcertifikat för projektet Let's Encrypt [20] [21] . Samtidigt skapades mellanliggande certifikat [20] .

Den 16 juni 2015 tillkännagavs planerna på att lansera tjänsten, de första slutgiltiga certifikaten utfärdades i slutet av juli 2015 för säkerhets- och skalbarhetstestning. Den breda tillgängligheten av tjänsten var planerad till mitten av september 2015 [22] . Den 7 augusti 2015 ändrades planerna, den breda lanseringen av tjänsten sköts upp till mitten av november [23] .

Signeringen av mellanliggande certifikat från IdenTrust var planerad för den period då Let's Encrypt blev allmänt tillgänglig [24] .

Den 14 september 2015 släpptes det första slutcertifikatet för domänen helloworld.letsencrypt.org . Samma dag skickade ISRG den publika nyckeln till sitt rotcertifikat för att kunna litas på av Mozilla , Microsoft , Google och Apple [25] .

Den 12 november 2015 omplanerade Let's Encrypt sin breda betalansering till den 3 december 2015 [26] .

Let 's Encrypt CA gick in i betaversionen den 3 december 2015 [26] .

Den 12 april 2016 tillkännagavs slutet av betatestperioden [27] .

Den 28 juni 2017 tillkännagav Let's Encrypt lanseringen av det 100 miljonte certifikatet [28] .

Den 7 december 2017 tillkännagavs starten för offentlig beta-testning av utfärdandet av jokerteckencertifikat från den 4 januari 2018. Det planerade datumet för testperiodens slut är den 27 februari 2018 [29] .

Den 13 mars 2018 började Let's Encrypt utfärda jokerteckencertifikat, nu kan alla få ett gratis SSL/TLS-certifikat som *.example.com . [30] [31]

Den 6 augusti 2018 uppgav Let's Encrypt att i slutet av juli 2018 är deras ISRG Root X1 rotcertifikat betrodd av alla större rotcertifikatlistor inklusive Microsoft , Google , Apple , Mozilla , Oracle och Blackberry [32] [33] .

Under perioden från slutet av 2015 - början av 2016 var det planerat att generera ett rotcertifikat med en nyckel med hjälp av ECDSA- algoritmen , men sedan sköts dess releasedatum upp till 2018 [21] [34] [35] .

Den 13 mars 2018 tillkännagav Let's Encrypt User Support Center möjligheten att skapa ett " jokerteckencertifikat " (certifikat som inkluderar ett obegränsat antal underdomäner) [36] . Det var tidigare planerat att lansera denna funktion den 27 februari 2018 [37] .

I mars 2020 tilldelades Let's Encrypt Free Software Foundations årliga Free Software Award for Social Value [38] .

I september 2021, övergången av DST Root CA X3-certifikat till ISRG Root X1 [39] .

Teknik

Sedan 2015 har nyckeln från RSA-standardrotcertifikatet lagrats i hårdvarulagringen HSM [ en ] Hardware security module ), inte ansluten till datornätverk [21] .  Detta rotcertifikat signerade två mellanliggande rotcertifikat [21] , som också signerades av IdenTrust CA [24] . Ett av de mellanliggande certifikaten används för att utfärda slutgiltiga platscertifikat, det andra hålls som en säkerhetskopia i en butik som inte är ansluten till Internet, om det första certifikatet äventyras [21] . Eftersom IdenTrust-myndighetens rotcertifikat är förinstallerat på de flesta operativsystem och webbläsare som ett pålitligt rotcertifikat, valideras och accepteras certifikat som utfärdats av Let's Encrypt-projektet av klienter [20] trots avsaknaden av ISRG-rotcertifikatet i listan över betrodda sådana. .

Site Authentication Protocol

För att automatiskt utfärda ett certifikat till slutplatsen används ett autentiseringsprotokoll för klassen challenge-response (challenge-response) som kallas Automated Certificate Management Environment (ACME). I det här protokollet görs en serie förfrågningar till webbservern som begärde signering av ett certifikat för att bekräfta faktumet att domänägandet äger rum ( domänvalidering ). För att ta emot förfrågningar konfigurerar ACME-klienten en speciell TLS -server, som pollas av ACME-servern med hjälp av servernamnsindikering ( domänvalidering med servernamnsindikering, DVSNI).

Validering utförs flera gånger med olika nätverksvägar. DNS- poster efterfrågas från flera geografiskt spridda platser för att komplicera DNS-spoofingattacker .

ACME-protokollet fungerar genom att JSON- dokument utbyts över HTTPS-anslutningar [40] . Ett utkast till protokollet har publicerats på GitHub [41] och skickats till Internet Engineering Task Force (IETF) som ett utkast för en Internetstandard [42] .

ACME-protokollet beskrivs i RFC 8555 .

Programvaruimplementering

CA använder "Boulder" ACME-protokollservern skriven i programmeringsspråket Go (tillgänglig i källkod under Mozilla Public License 2) [43] . Servern tillhandahåller ett RESTful - protokoll som fungerar över en TLS-krypterad kanal.

ACME-protokollklienten, certbot(tidigare letsencrypt) öppen källkod under Apache -licensen [44] , är skriven i Python . Den här klienten är installerad på målservern och används för att begära ett certifikat, utföra domänvalidering, installera ett certifikat och konfigurera HTTPS-kryptering på en webbserver. Denna klient används sedan för att regelbundet utfärda certifikatet på nytt när det löper ut [6] [45] . Efter att ha installerat och accepterat licensen räcker det att köra ett kommando för att få ett certifikat. Dessutom kan alternativen OCSP-häftning och HTTP Strict Transport Security (HSTS, forcerad växling från HTTP till HTTPS) [40] aktiveras . Automatisk https-serverkonfiguration är tillgänglig för Apache- och nginx -webbservrar .

Se även

• Elektronisk signatur
• Certifieringsmyndighet
• Självsignerat certifikat
• Digitalt certifikat

Anteckningar

1. ↑ https://letsencrypt.org/contact/
2. ↑ https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html
3. ↑ Kerner, Sean Michael. Let's Encrypt Insats syftar till att förbättra Internetsäkerheten . eWeek.com . Quinstreet Enterprise (18 november 2014). Hämtad: 27 februari 2015. (obestämd)
4. ↑ Eckersley, Peter. Lanseras 2015: En certifikatutfärdare för att kryptera hela webben . Electronic Frontier Foundation (18 november 2014). Hämtad 27 februari 2015. Arkiverad från originalet 10 maj 2018. (obestämd)
5. ↑ Liam Tung (ZDNet), 19 november 2014: EFF, Mozilla lanserar gratis webbkryptering med ett klick
6. ↑ 1 2 3 4 Fabian Scherschel (heise.de), 19 november 2014: Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf
7. ↑ Rob Marvin (SD Times), 19 november 2014: EFF vill göra HTTPS till standardprotokollet
8. ↑ Detaljer om certbot-paketet i stretch
9. ↑ Richard Barnes (Mozilla), 30 april 2015: Deprecating Non-Secure HTTP
10. ↑ The Chromium Projects - Markera HTTP som icke-säkert
11. ↑ Glyn Moody, 25 november 2014: The Coming War on Encryption, Tor, and VPNs – Dags att stå upp för din rätt till integritet online
12. ↑ Låt oss kryptera dokumentation. Release 0.2.0.dev0 Arkiverad 29 juli 2017 på Wayback Machine / Let's Encrypt, 18 december 2015 "Let's Encrypt CA utfärdar kortlivade certifikat (90 dagar)"
13. ↑ Steven J. Vaughan-Nichols (ZDNet), 9 april 2015: webben en gång för alla: The Let's Encrypt Project
14. ↑ Låt oss kryptera statistik . https://letsencrypt.org/en . Hämtad 30 september 2021. Arkiverad från originalet 30 september 2021. (ryska)
15. ↑ Zeljka Zorz (Help Net Security), 6 juli 2015: Let's Encrypt CA släpper transparensrapport före sitt första certifikat
16. ↑ 1 2 Sean Michael Kerner (eweek.com), 9 april 2015: Let's Encrypt Becomes Linux Foundation Collaborative Project
17. ↑ Låt oss kryptera | Boom Swagger Boom (inte tillgänglig länk) . Tillträdesdatum: 12 december 2015. Arkiverad från originalet 8 december 2015. (obestämd) 
18. ↑ Joseph Tsidulko Låt oss kryptera, en gratis och automatiserad certifikatutfärdare, kommer ut ur smygläge  ( 18 november 2014). Hämtad 26 augusti 2015. Arkiverad 12 juni 2018 på Wayback Machine
19. ↑ Historia för draft-barnes-acme
20. ↑ 1 2 3 Reiko Kaps (heise.de), 5 juni 2015: Let's Encrypt: Meilenstein zu kostenlosen SSL-Zertifikaten für alle
21. ↑ 1 2 3 4 5 Aas, Josh Låt oss kryptera rot- och mellancertifikat (4 juni 2015). Tillträdesdatum: 12 december 2015. Arkiverad från originalet 3 december 2015. (obestämd)
22. ↑ Josh Aas. Låt oss kryptera startschema . letsencrypt.org . Let's Encrypt (16 juni 2015). Hämtad 19 juni 2015. Arkiverad från originalet 26 maj 2018. (obestämd)
23. ↑ Uppdaterat Let's Encrypt Launch Schema (7 augusti 2015). Hämtad 12 december 2015. Arkiverad från originalet 27 september 2015. (obestämd)
24. ↑ 1 2 Reiko Kaps (heise.de), 17 juni 2015: SSL-Zertifizierungsstelle Lets Encrypt will Mitte September 2015 öffnen
25. ↑ Michael Mimoso. Låt oss först kryptera gratiscertifikatet går live . Threatpost.com, Kaspersky Labs. Hämtad 16 september 2015. Arkiverad från originalet 12 juni 2018. (obestämd)
26. ↑ 1 2 Public Beta: 3 december 2015 (12 november 2015). Datum för åtkomst: 12 december 2015. Arkiverad från originalet den 7 april 2018. (obestämd)
27. ↑ Let's Encrypt Leaves Beta (nedlänk) (15 april 2016). Hämtad 25 januari 2018. Arkiverad från originalet 15 april 2016. (obestämd) 
28. ↑ Milstolpe .  100 miljoner certifikat utfärdade . Låt oss kryptera . Hämtad 25 januari 2018. Arkiverad från originalet 12 maj 2018.
29. ↑ Ser fram emot 2018  . Låt oss kryptera. Hämtad 25 januari 2018. Arkiverad från originalet 22 januari 2018.
30. ↑ ACME v2 och Wildcard Certificate Support är live  . Låt oss kryptera Community Support . Hämtad 28 juni 2018. Arkiverad från originalet 1 juni 2018.
31. ↑ Let's Encrypt började utfärda jokerteckencertifikat  (ryska) . Arkiverad från originalet den 28 juni 2018. Hämtad 28 juni 2018.
32. ↑ Låt oss kryptera roten pålitlig av alla större rotprogram . Hämtad 9 augusti 2018. Arkiverad från originalet 6 augusti 2018. (obestämd)
33. ↑ Alla större rotcertifikatlistor litar nu på Let's Encrypt . Hämtad 9 augusti 2018. Arkiverad från originalet 9 augusti 2018. (obestämd)
34. ↑ Intyg . Låt oss kryptera . Arkiverad från originalet den 3 december 2015. (obestämd)
35. ↑ Intyg . Låt oss kryptera . Arkiverad från originalet den 9 oktober 2017. (obestämd)
36. ↑ ACME v2 och Wildcard Certificate Support är live  . Låt oss kryptera Community Support. Hämtad 16 mars 2018. Arkiverad från originalet 1 juni 2018.
37. ↑ Wildcard-certifikat kommer januari 2018 . Hämtad 9 juli 2017. Arkiverad från originalet 8 januari 2021. (obestämd)
38. ↑ Let's Encrypt, Jim Meyering och Clarissa Lima Borges tar emot FSF:s 2019 Free Software Awards arkiverade 18 juli 2021 på Wayback Machine Free Software Foundation, 2020
39. ↑ DST Root CA X3  Expiration . https://letsencrypt.org/ (2021-5-7). Hämtad 30 september 2021. Arkiverad från originalet 30 september 2021.
40. ↑ 1 2 Chris Brook (Threatpost), 18 november 2014: EFF, Others Plan to Make Encrypting the Web Easier in 2015
41. ↑ Utkast till ACME-specifikation . Datum för åtkomst: 12 december 2015. Arkiverad från originalet den 21 november 2014. (obestämd)
42. ↑ R. Barnes, P. Eckersley, S. Schoen, A. Halderman, J. Kasten. Automatic Certificate Management Environment (ACME) draft-barnes-acme-01 (28 januari 2015). Hämtad 12 december 2015. Arkiverad från originalet 28 juni 2020. (obestämd)
43. ↑ boulder/LICENSE.txt på master letsencrypt/boulder GitHub . Hämtad 12 december 2015. Arkiverad från originalet 19 mars 2019. (obestämd)
44. ↑ letsencrypt/LICENSE.txt på master letsencrypt/letsencrypt GitHub
45. ↑ James Sanders (TechRepublic), 25 november 2014: Låt oss kryptera initiativ för att tillhandahålla gratis krypteringscertifikat

Litteratur

• Richard Barnes, Jacob Hoffman-Andrews, James Kasten, Automatic Certificate Management Environment (ACME) Arkiverad 28 juni 2020 på Wayback Machine // IETF , Active Internet-Drafts, 21 juli  2015

Länkar

• letsencrypt.org - officiell webbplats för Let's Encrypt
• Låt oss kryptera projekt på GitHub
• Seth Schoens Libre Planet 2015 föreläsning om Let's  Encrypt
• Teknisk introduktion , David Wong
• pde's talk om Let's Encrypt , CCCamp 2015 
• Lista över certifikat utfärdade av Let's Encrypt Arkiverad 8 september 2018 på Wayback Machine 

I sociala nätverk	Twitter Facebook
Tematiska platser	GitHub