Salataan

Let's Encrypt  on varmenteen myöntäjä, joka tarjoaa ilmaisia ​​X.509 -salausvarmenteita Internetin ja muiden Internet-palvelimien käyttämien protokollien kautta lähetettävien HTTPS -tietojen salaamiseen. Varmenteiden myöntämisprosessi on täysin automatisoitu [3] [4] .

Palvelun tarjoaa julkinen organisaatio Internet Security Research Group (ISRG).

Tehtävät

Let's Encrypt -projekti luotiin , jotta suurin osa Internet-sivustoista voisi siirtyä salattuihin yhteyksiin ( HTTPS ). Toisin kuin kaupalliset varmenneviranomaiset, tämä projekti ei vaadi maksua, verkkopalvelimien uudelleenmäärittämistä, sähköpostin käyttöä, vanhentuneiden sertifikaattien käsittelyä, mikä tekee TLS-salauksen asentamisesta ja määrittämisestä paljon yksinkertaisempaa [5] . Esimerkiksi tyypillisessä Linux -pohjaisessa verkkopalvelimessa tarvitaan kaksi komentoa HTTPS - salauksen määrittämiseen, varmenteen hankkimiseen ja asentamiseen noin 20-30 sekunnissa [6] [7] .

Paketti automaattisen konfiguroinnin ja varmenneapuohjelmien kanssa sisältyy Debian -jakelun virallisiin tietovarastoihin [8] . Selainten kehittäjät Mozilla ja Google aikovat luopua vaiheittain tuesta salaamattomalle HTTP :lle luopumalla uusien verkkostandardien tuesta http-sivustoille [9] [10] . Let's Encrypt -projektilla on mahdollisuus muuntaa suuri osa Internetistä salatuiksi yhteyksiksi [11] .

Let's Encrypt -varmenneviranomainen myöntää Domain-validoituja varmenteita [ , joiden voimassaoloaika on 90 päivää [12] . Organisaation validointi- ja laajennettuja validointivarmenteita ei ole tarkoitus tarjota [13] .

Elokuussa 2021 Let's Encryptillä on 1 930 558 rekisteröityä varmennetta ja 2 527 642 täysin määriteltyä aktiivista verkkotunnusta. Ja päivässä myönnettyjen Let's Encrypt -sertifikaattien määrä ylittää 2,5 miljoonaa [14]

Hanke julkaisee paljon tietoa suojautuakseen hyökkäyksiltä ja manipulointiyrityksiltä [15] . Kaikista ACME -tapahtumista pidetään julkista lokia, käytetään avoimia standardeja ja avoimen lähdekoodin ohjelmia [6] .

Jäsenet

Let's Encrypt -palvelun tarjoaa julkinen organisaatio Internet Security Research Group (ISRG).

Hankkeen pääsponsorit: Electronic Frontier Foundation ( EFF ), Mozilla Foundation , Akamai , Cisco Systems .

Projektikumppanit ovat varmenneviranomainen IdenTrust , University of Michigan (UM), Stanford Law School , Linux Foundation [16] ; Stephen Kent ( Raytheon / BBN Technologies ) ja Alex Polvi ( CoreOS ) [6] .

Historia

Let's Encrypt -projektin käynnistivät vuoden 2012 lopulla kaksi Mozillan työntekijää , Josh Aas ja Eric Rescorla . Internet Security Research Group perustettiin toukokuussa 2013 johtamaan hanketta. Kesäkuussa 2013 Electronic Frontier Foundationin ja Michiganin yliopiston projektit yhdistettiin Let's Encryptiin [17] .

Let's Encrypt -projekti julkistettiin ensimmäisen kerran 18. marraskuuta 2014 [18] .

28. tammikuuta 2015 ACME-protokolla lähetettiin IETF :lle hyväksyttäväksi Internet-standardiksi [19] .

9. huhtikuuta 2015 ISRG ja Linux Foundation ilmoittivat yhteistyöstä [16] .

Kesäkuun alussa 2015 Let 's Encrypt -projektille luotiin RSA -juurivarmenne [20] [21] . Samaan aikaan luotiin välivarmenteita [20] .

16.6.2015 julkistettiin suunnitelmat palvelun käynnistämiseksi, ensimmäiset lopulliset sertifikaatit myönnettiin heinäkuun 2015 lopussa tietoturva- ja skaalautuvuustestausta varten. Palvelun laajan saatavuuden suunniteltiin syyskuun 2015 puolivälissä [22] . 7. elokuuta 2015 suunnitelmia siirrettiin, palvelun laaja lanseeraus siirrettiin marraskuun puoliväliin [23] .

Välisertifikaattien allekirjoittaminen IdenTrustilta suunniteltiin ajalle, jolloin Let's Encrypt tuli laajalti saataville [24] .

Helloworld.letsencrypt.org -verkkotunnuksen ensimmäinen loppuvarmenne julkaistiin 14. syyskuuta 2015 . Samana päivänä ISRG lähetti juurivarmenteensa julkisen avaimen Mozillan , Microsoftin , Googlen ja Applen luotettaviksi [25] .

12. marraskuuta 2015 Let's Encrypt ajoitti laajan betajulkaisunsa uudelleen 3. joulukuuta 2015 [26] .

Let's Encrypt CA aloitti betavaiheen 3. joulukuuta 2015 [26] .

12. huhtikuuta 2016 beta-testausjakson päättymisestä ilmoitettiin [27] .

28. kesäkuuta 2017 Let's Encrypt ilmoitti 100 miljoonannen varmenteen julkaisemisesta [28] .

7. joulukuuta 2017 julkistettiin jokerimerkkivarmenteiden myöntämisen betatestauksen alkaminen 4. tammikuuta 2018 alkaen. Testijakson suunniteltu päättymispäivä on 27.2.2018 [29] .

Let's Encrypt aloitti 13. maaliskuuta 2018 jokerimerkkivarmenteiden myöntämisen. Nyt kaikki voivat saada ilmaisen SSL/TLS-varmenteen, kuten *.example.com . [30] [31]

6. elokuuta 2018 Let's Encrypt ilmoitti, että heinäkuun 2018 lopulla heidän ISRG Root X1 -juurivarmenteeseensa ovat luottaneet kaikki tärkeimmät juurivarmenneluettelot, mukaan lukien Microsoft , Google , Apple , Mozilla , Oracle ja Blackberry [32] [33] .

Ajanjaksolla loppu 2015 - alku 2016 suunniteltiin luoda juurivarmenne avaimella ECDSA -algoritmia käyttäen , mutta sitten sen julkaisupäivää siirrettiin vuoteen 2018 [21] [34] [35] .

Let's Encrypt User Support Center ilmoitti 13. maaliskuuta 2018 mahdollisuudesta luoda " jokerimerkkisertifikaatti " (varmenteet, jotka sisältävät rajoittamattoman määrän aliverkkotunnuksia) [36] . Aiemmin suunniteltiin, että tämä toiminto julkaistaan ​​27. helmikuuta 2018 [37] .

Maaliskuussa 2020 Let's Encrypt palkittiin Free Software Foundationin vuosittaisella Free Software Award for Social Value -palkinnolla [38] .

Syyskuussa 2021 DST Root CA X3 -varmenteiden siirtyminen ISRG Root X1 -varmenteisiin [39] .

Tekniikka

Vuodesta 2015 lähtien RSA-standardin juurivarmenteen avain on tallennettu laitteistomuistiin HSM [ en ] Hardware security module ), ei ole kytketty tietokoneverkkoihin [21] .  Tämä juurisertifikaatti allekirjoitti kaksi välijuurivarmennetta [21] , jotka myös IdenTrust CA [24] allekirjoitti . Yhtä välivarmenteesta käytetään lopullisten sivuston varmenteiden myöntämiseen, toista säilytetään varmuuskopiona myymälässä, joka ei ole yhteydessä Internetiin, jos ensimmäinen varmenne vaarantuu [21] . Koska IdenTrust Authority -juurivarmenne on esiasennettu useimpiin käyttöjärjestelmiin ja selaimiin luotettuna juurivarmenteena, Let's Encrypt -projektin myöntämät varmenteet validoivat ja hyväksyvät asiakkaat [20] huolimatta siitä, ettei ISRG-juurivarmennetta luotettujen luettelossa ole. .

Site Authentication Protocol

Varmenteen automaattiseen myöntämiseen loppusivustolle käytetään haaste-vastaus (challenge-response) -luokan todennusprotokollaa, jota kutsutaan nimellä Automated Certificate Management Environment (ACME). Tässä protokollassa sarja pyyntöjä tehdään verkkopalvelimelle, joka pyysi varmenteen allekirjoittamista varmistaakseen verkkotunnuksen omistajuuden ( domain validation ). Pyyntöjen vastaanottamista varten ACME-asiakas määrittää erityisen TLS -palvelimen, jota ACME-palvelin pollaa käyttämällä palvelimen nimen ilmaisua ( Domain Validation using Server Name Indication , DVSNI).

Validointi suoritetaan useita kertoja käyttämällä eri verkkopolkuja. DNS - tietueita kysytään useista maantieteellisesti hajallaan sijaitsevista DNS-huijaushyökkäysten monimutkaisemiseksi .

ACME-protokolla toimii vaihtamalla JSON - asiakirjoja HTTPS-yhteyksien kautta [40] . Protokollan luonnos on julkaistu GitHubissa [41] ja toimitettu Internet Engineering Task Forcelle (IETF) luonnoksena Internet-standardille [42] .

ACME-protokolla on kuvattu RFC 8555 :ssä .

Ohjelmiston toteutus

Varmentaja käyttää "Boulder" ACME-protokollapalvelinta, joka on kirjoitettu Go -ohjelmointikielellä (saatavilla lähdekoodina Mozilla Public License 2 -lisenssillä) [43] . Palvelin tarjoaa RESTful - protokollan, joka toimii TLS-salatun kanavan yli.

ACME-protokollaasiakas, certbot(aiemmin letsencrypt) avoimen lähdekoodin Apache -lisenssillä [44] , on kirjoitettu Pythonilla . Tämä asiakas asennetaan kohdepalvelimelle, ja sitä käytetään varmenteen pyytämiseen, toimialueen vahvistukseen, varmenteen asentamiseen ja HTTPS-salauksen määrittämiseen verkkopalvelimessa. Tätä asiakasohjelmaa käytetään sitten säännöllisesti myöntämään varmenne uudelleen sen vanhentuessa [6] [45] . Asennuksen ja lisenssin hyväksymisen jälkeen riittää yhden komennon suorittaminen sertifikaatin saamiseksi. Lisäksi OCSP-nidonta ja HTTP Strict Transport Security (HSTS, pakotettu vaihto HTTP:stä HTTPS:ään) [40] voidaan ottaa käyttöön . Automaattinen https-palvelimen määritys on saatavana Apache- ja nginx -verkkopalvelimille .

Katso myös

• Sähköinen allekirjoitus
• Varmenneviranomainen
• Itse allekirjoitettu todistus
• Digitaalinen sertifikaatti

Muistiinpanot

1. ↑ https://letsencrypt.org/contact/
2. ↑ https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html
3. ↑ Kerner, Sean Michael. Let's Encrypt Effort pyrkii parantamaan Internet-tietoturvaa . eWeek.com . Quinstreet Enterprise (18. marraskuuta 2014). Haettu: 27.2.2015. (määrätön)
4. ↑ Eckersley, Peter. Julkaistiin vuonna 2015: Varmenteen myöntäjä koko verkon salaamiseksi . Electronic Frontier Foundation (18. marraskuuta 2014). Haettu 27. helmikuuta 2015. Arkistoitu alkuperäisestä 10. toukokuuta 2018. (määrätön)
5. ↑ Liam Tung (ZDNet), 19. marraskuuta 2014: EFF, Mozilla julkaisee ilmaisen yhden napsautuksen verkkosivustosalauksen
6. ↑ 1 2 3 4 Fabian Scherschel (heise.de), 19. marraskuuta 2014: Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf
7. ↑ Rob Marvin (SD Times), 19. marraskuuta 2014: EFF haluaa tehdä HTTPS:stä oletusprotokollan
8. ↑ Certbot-paketin tiedot venytettynä
9. ↑ Richard Barnes (Mozilla), 30. huhtikuuta 2015: Ei-suojatun HTTP :n käytöstä poistaminen
10. ↑ Chromium-projektit – HTTP:n merkitseminen suojaamattomaksi
11. ↑ Glyn Moody, 25. marraskuuta 2014: Tuleva sota salausta, Toria ja VPN:itä vastaan ​​– On aika puolustaa oikeuttasi online-yksityisyyteen
12. ↑ Salataan dokumentaatio. Julkaisu 0.2.0.dev0 Arkistoitu 29. heinäkuuta 2017 Wayback Machinessa / Let's Encrypt, 18. joulukuuta 2015 "Let's Encrypt CA myöntää lyhytikäisiä varmenteita (90 päivää)"
13. ↑ Steven J. Vaughan-Nichols (ZDNet), 9. huhtikuuta 2015: verkko lopullisesti: Let's Encrypt Project
14. ↑ Salataan tilastot . https://letsencrypt.org/en . Haettu 30. syyskuuta 2021. Arkistoitu alkuperäisestä 30. syyskuuta 2021. (Venäjän kieli)
15. ↑ Zeljka Zorz (Help Net Security), 6. heinäkuuta 2015: Let's Encrypt CA julkaisee läpinäkyvyysraportin ennen ensimmäistä varmennetaan
16. ↑ 1 2 Sean Michael Kerner (eweek.com), 9. huhtikuuta 2015: Let's Encryptistä tulee Linux Foundationin yhteistyöprojekti
17. ↑ Salataan | Boom Swagger Boom (linkki ei saatavilla) . Käyttöpäivä: 12. joulukuuta 2015. Arkistoitu alkuperäisestä 8. joulukuuta 2015. (määrätön) 
18. ↑ Joseph Tsidulko Let's Encrypt, ilmainen ja automaattinen varmenteen myöntäjä, tulee ulos salaavasta tilasta  ( 18. marraskuuta 2014). Haettu 26. elokuuta 2015. Arkistoitu 12. kesäkuuta 2018 Wayback Machineen
19. ↑ History for draft-barnes-acme
20. ↑ 1 2 3 Reiko Kaps (heise.de), 5. kesäkuuta 2015: Let's Encrypt: Meilenstein zu kostenlosen SSL-Zertifikaten für alle
21. ↑ 1 2 3 4 5 Aas, Josh Salataan juuri- ja välisertifikaatit (4. kesäkuuta 2015). Käyttöpäivä: 12. joulukuuta 2015. Arkistoitu alkuperäisestä 3. joulukuuta 2015. (määrätön)
22. ↑ Josh Aas. Salataan käynnistysaikataulu . letsencrypt.org . Let's Encrypt (16. kesäkuuta 2015). Haettu 19. kesäkuuta 2015. Arkistoitu alkuperäisestä 26. toukokuuta 2018. (määrätön)
23. ↑ Päivitetty Let's Encrypt -käynnistysaikataulu (7. elokuuta 2015). Haettu 12. joulukuuta 2015. Arkistoitu alkuperäisestä 27. syyskuuta 2015. (määrätön)
24. ↑ 1 2 Reiko Kaps (heise.de), 17. kesäkuuta 2015: SSL-Zertifizierungsstelle Lets Encrypt will Mitte Syyskuu 2015 öffnen
25. ↑ Michael Mimoso. Ensin salataan ilmainen sertifikaatti . Threatpost.com, Kaspersky Labs. Haettu 16. syyskuuta 2015. Arkistoitu alkuperäisestä 12. kesäkuuta 2018. (määrätön)
26. ↑ 1 2 Julkinen beta: 3. joulukuuta 2015 (12. marraskuuta 2015). Käyttöpäivä: 12. joulukuuta 2015. Arkistoitu alkuperäisestä 7. huhtikuuta 2018. (määrätön)
27. ↑ Encrypt Leaves Beta (downlink) (15. huhtikuuta 2016). Haettu 25. tammikuuta 2018. Arkistoitu alkuperäisestä 15. huhtikuuta 2016. (määrätön) 
28. ↑ virstanpylväs .  100 miljoonaa sertifikaattia myönnetty . Salataan . Haettu 25. tammikuuta 2018. Arkistoitu alkuperäisestä 12. toukokuuta 2018.
29. ↑ Odotan innolla vuotta 2018  . Salataan. Haettu 25. tammikuuta 2018. Arkistoitu alkuperäisestä 22. tammikuuta 2018.
30. ↑ ACME v2:n ja jokerimerkkivarmenteen tuki on käynnissä  . Salataan yhteisön tuki . Haettu 28. kesäkuuta 2018. Arkistoitu alkuperäisestä 1. kesäkuuta 2018.
31. ↑ Let's Encrypt aloitti jokerimerkkisertifikaattien myöntämisen  (venäjäksi) . Arkistoitu alkuperäisestä 28. kesäkuuta 2018. Haettu 28. kesäkuuta 2018.
32. ↑ Salataan kaikkien tärkeimpien juuriohjelmien luoma juuri . Haettu 9. elokuuta 2018. Arkistoitu alkuperäisestä 6. elokuuta 2018. (määrätön)
33. ↑ Kaikki tärkeimmät juurivarmenneluettelot luottavat nyt Let's Encryptiin . Haettu 9. elokuuta 2018. Arkistoitu alkuperäisestä 9. elokuuta 2018. (määrätön)
34. ↑ Sertifikaatit . Salataan . Arkistoitu alkuperäisestä 3. joulukuuta 2015. (määrätön)
35. ↑ Sertifikaatit . Salataan . Arkistoitu alkuperäisestä 9. lokakuuta 2017. (määrätön)
36. ↑ ACME v2:n ja jokerimerkkivarmenteen tuki on käynnissä  . Salataan yhteisön tuki. Haettu 16. maaliskuuta 2018. Arkistoitu alkuperäisestä 1. kesäkuuta 2018.
37. ↑ Jokerimerkkisertifikaatit tulossa tammikuussa 2018 . Haettu 9. heinäkuuta 2017. Arkistoitu alkuperäisestä 8. tammikuuta 2021. (määrätön)
38. ↑ Let's Encrypt, Jim Meyering ja Clarissa Lima Borges saavat FSF:n 2019 Free Software Awards -palkinnot arkistoitu 18. heinäkuuta 2021 Wayback Machine Free Software Foundationissa, 2020
39. ↑ DST Root CA X3  vanheneminen . https://letsencrypt.org/ (2021-5-7). Haettu 30. syyskuuta 2021. Arkistoitu alkuperäisestä 30. syyskuuta 2021.
40. ↑ 1 2 Chris Brook (Threatpost), 18. marraskuuta 2014: EFF, muut aikovat tehdä verkon salaamisesta helpompaa vuonna 2015
41. ↑ ACME-spesifikaatioluonnos . Käyttöpäivä: 12. joulukuuta 2015. Arkistoitu alkuperäisestä 21. marraskuuta 2014. (määrätön)
42. ↑ R. Barnes, P. Eckersley, S. Schoen, A. Halderman, J. Kasten. Automatic Certificate Management Environment (ACME) draft-barnes-acme-01 (28. tammikuuta 2015). Haettu 12. joulukuuta 2015. Arkistoitu alkuperäisestä 28. kesäkuuta 2020. (määrätön)
43. ↑ boulder/LICENSE.txt osoitteessa master letsencrypt/boulder GitHub . Haettu 12. joulukuuta 2015. Arkistoitu alkuperäisestä 19. maaliskuuta 2019. (määrätön)
44. ↑ letsencrypt/LICENSE.txt pääpalvelimessa letsencrypt/letsencrypt GitHub
45. ↑ James Sanders (TechRepublic), 25. marraskuuta 2014: Let's Encrypt -aloite ilmaisten salaussertifikaattien tarjoamiseksi

Kirjallisuus

• Richard Barnes, Jacob Hoffman-Andrews, James Kasten, automaattinen varmenteiden hallintaympäristö (ACME) arkistoitu 28. kesäkuuta 2020 Wayback Machinessa // IETF , Active Internet-Drafts, 21. heinäkuuta  2015

Linkit

• letsencrypt.org - Let's Encryptin virallinen verkkosivusto
• Salataan projektit GitHubissa
• Seth Schoenin Libre Planet 2015 -luento aiheesta Let's  Encrypt
• Tekninen esittely , David Wong
• pde:n puhe aiheesta Let's Encrypt , CCCamp 2015 
• Luettelo Let's Encryptin myöntämistä varmenteista Arkistoitu 8. syyskuuta 2018 Wayback Machinessa 

Sosiaalisissa verkostoissa	Viserrys Facebook
Temaattiset sivustot	GitHub