Umožňuje šifrování - Lets Encrypt - Wikipedia

Pojďme šifrovat
Let's Encrypt.svg
Formace18. listopadu 2014; před 6 lety (2014-11-18)
Zakladatel
Hlavní sídloSan Francisco, Kalifornie, NÁS.
Souřadnice37 ° 48'01 ″ severní šířky 122 ° 27'00 ″ Z / 37,800322 ° N 122,449951 ° Z / 37.800322; -122.449951Souřadnice: 37 ° 48'01 ″ severní šířky 122 ° 27'00 ″ Z / 37,800322 ° N 122,449951 ° Z / 37.800322; -122.449951
SlužbyX.509 certifikační autorita
Mateřská organizace
Výzkumná skupina pro internetovou bezpečnost
Rozpočet (2019)
3,6 milionu USD[1]
Personál (2019)
13
webová stránkaletsencrypt.org Upravte to na Wikidata

Pojďme šifrovat je nezisková certifikační autorita spuštěn Výzkumná skupina pro internetovou bezpečnost (ISRG), který poskytuje X.509 certifikáty pro Zabezpečení transportní vrstvy (TLS) šifrování zdarma. Zahájeno 12. dubna 2016.[2][3]

Pojďme zašifrovat certifikáty jsou platné po dobu 90 dnů, během nichž může kdykoli proběhnout obnovení. Nabídku doprovází automatizovaný proces určený k překonání manuální tvorby, validace, podepisování, instalace a obnovení certifikátů pro zabezpečené webové stránky.[4][5] Projekt tvrdí, že jeho cílem je vytvořit šifrované připojení Celosvětová Síť servery všudypřítomné.[6] Vyloučením plateb, konfigurace webového serveru, správy ověřovacích e-mailů a obnovy certifikátů se má výrazně snížit složitost nastavení a údržby šifrování TLS.[7]

Na Linux webový server, k nastavení stačí spuštění pouze dvou příkazů HTTPS šifrování a získání a instalace certifikátů.[8][9] Za tímto účelem byl do úředníka zahrnut softwarový balíček Debian a Ubuntu softwarová úložiště.[10][11] Aktuální iniciativy hlavních vývojářů prohlížečů, jako jsou Mozilla a Google na zastarat nezašifrovaný HTTP počítají s dostupností Let's Encrypt.[12][13] Je potvrzeno, že projekt má potenciál dosáhnout šifrovaných připojení jako výchozího případu pro celý web.[14]

Tato služba pouze vydává certifikáty ověřené doménou, protože je lze plně automatizovat. Ověření organizace a Rozšířené ověřovací certifikáty oba vyžadují lidské ověření všech žadatelů o registraci, a proto je společnost Let's Encrypt nenabízí.[15] Podpora ACME v2 a zástupné certifikáty byl přidán v březnu 2018.[16]Ověření domény (DV), které používá Let's Encrypt, pochází z roku 2002 a bylo nejprve kontroverzní, když bylo zavedeno GeoTrust než se stane široce přijímanou metodou vydávání certifikátů SSL. [17]

Tím, že budou co nejtransparentnější, doufají, že ochrání jak svou vlastní důvěryhodnost, tak ochrání před útoky a pokusy o manipulaci. Za tímto účelem pravidelně zveřejňují zprávy o transparentnosti,[18] veřejně přihlásit všechny VRCHOL transakce (např. použitím Transparentnost certifikátu ) a použít otevřené standardy a svobodný software co nejvíc to půjde.[8]

Zúčastněné strany

Pojďme zašifrovat je služba poskytovaná Výzkumná skupina pro internetovou bezpečnost (ISRG), a veřejný prospěch organizace. Hlavními sponzory jsou Nadace Electronic Frontier Foundation (EFF) Mozilla Foundation, OVH, Systémy Cisco, Facebook, Google Chrome, a Internetová společnost. Mezi další partnery patří certifikační autorita IdenTrust, Michiganská univerzita (UM) je Stanfordská právnická škola a Linux Foundation,[19] stejně jako Stephen Kent z Raytheon /BBN Technologies a Alex Polvi z CoreOS.[8]

Členové představenstva (od srpna 2020)[20]

Technický poradní výbor[20]

Technologie

Řetěz důvěry

ISRG Root X1 (RSA)

V červnu 2015 společnost Let's Encrypt oznámila generaci svých prvních RSA kořenový certifikát, ISRG Root X1.[21] K podpisu dvou byl použit kořenový certifikát zprostředkující certifikáty,[21] které jsou také křížově podepsány certifikační autoritou IdenTrust.[22][23] Jeden z přechodných certifikátů se používá k podepisování vydaných certifikátů, zatímco druhý je uchováván offline jako záloha pro případ problémů s prvním přechodným certifikátem.[21] Protože certifikát IdenTrust byl již široce důvěryhodný hlavními webovými prohlížeči, certifikáty Let's Encrypt mohou být normálně ověřeny a přijaty spoléhajícími se stranami[24] ještě předtím, než dodavatelé prohlížečů zahrnou kořenový certifikát ISRG jako kotva důvěry.

ISRG Root X2 (ECDSA)

Pojďme Šifrovat vývojáři plánovali vygenerovat ECDSA kořenový klíč zpět v roce 2015,[21] ale poté odsunuli plán na začátek roku 2016, poté na rok 2019 a nakonec na rok 2020. Dne 3. září 2020 vydala společnost Let's Encrypt šest nových certifikátů: jeden nový kořen ECDSA s názvem „ISRG Root X2“, čtyři meziprodukty a jeden podepsat. Nový ISRG Root X2 je křížově podepsán s ISRG Root X1, vlastním kořenovým certifikátem Let's Encrypt. Pojďme zašifrovat nevydala odpověď OCSP pro nové zprostředkující certifikáty a místo toho se plánuje spoléhat pouze na Seznamy zneplatněných certifikátů (CRL) ke stažení napadených certifikátů a krátké doby platnosti, aby se snížilo nebezpečí ohrožení certifikátu.[25]

Protokol ACME

The výzva – odpověď volá se protokol používaný k automatizaci registrace u certifikační autority Automatizované prostředí pro správu certifikátů (VRCHOL). Může se dotazovat na webové servery nebo servery DNS ovládané doménou, na kterou se vztahuje vydaný certifikát. Na základě toho, zda se výsledné odpovědi shodují s očekáváními, je zajištěna kontrola zápisu nad doménou (ověření domény). Klientský software ACME může nastavit vyhrazený server TLS, který bude dotazován serverem certifikační autority ACME s požadavky pomocí Indikace názvu serveru (Ověření domény pomocí indikace názvu serveru, DVSNI), nebo ji lze použít háčky publikovat odpovědi na stávající webové servery a servery DNS.

Procesy ověřování se spouštějí několikrát po samostatných síťových cestách. Probíhá kontrola DNS položky jsou zajišťovány se provádí z několika geograficky různorodých míst Spoofing DNS těžší útoky.

Interakce ACME jsou založeny na výměně JSON dokumenty přes připojení HTTPS.[26] Návrh specifikace je k dispozici na GitHub,[27] a verze byla předložena Pracovní skupina pro internetové inženýrství (IETF) jako a návrh pro internetový standard.[28]

Pojďme Encrypt implementoval svůj vlastní koncept protokolu ACME. Současně prosazovali standardizaci. To vedlo v květnu 2019 k „navrhovanému standardu“ (RFC8555). Zavádí zásadní změny a jako takový byl nazván ACMEv2. Pojďme Encrypt implementovat novou verzi a začali tlačit stávající klienty do upgradů. Nudging byl implementován s občasnými výpadky ACMEv1 API. Konec životnosti byl oznámen s daty a fázemi v „Plánu ukončení životnosti pro ACMEv1“.[29]

ACMEv1 konec životnosti

Registrace nového účtu

Pracovní prostředí:

  • 2019 - 6. srpna až 7. srpna - 1. brownout
  • 2019 - 13. srpna až 15. srpna - 2. brownout
  • 2019 - 27. srpna až 3. září - 3. procházka
  • 2019 - 1. října - registrace nových účtů ACME v1 trvale zakázána

Produkční prostředí:

  • 2019 - 10. října až 11. října - 1. brownout
  • 2019 - 16. října až 18. října - 2. brownout
  • 2019 - 8. listopadu - registrace nového účtu ACME v1 trvale deaktivována
Nové ověření domény

2020 červen - nové ověřování domén bude deaktivováno

Ověření obnovení certifikátu

24hodinové vyřazení začne v lednu 2021

2021 červen - ACMEv1 bude zcela deaktivován

Implementace softwaru

Dialog pro výběr domény

Certifikační autorita se skládá ze softwaru nazvaného Boulder napsaného v Jít, který implementuje serverovou stránku VRCHOL protokol. Je zveřejněn jako svobodný software s zdrojový kód podle podmínek verze 2 Veřejná licence Mozilla (MPL).[30] Poskytuje Klidný API ke kterým lze přistupovat přes kanál šifrovaný TLS. Boulder používá cfssl, a CloudFlare Sada nástrojů PKI / TLS, interně.[31]

An Apache -licencované[32] Krajta nazvaný program pro správu certifikátů certbot (dříve letsencrypt) nainstaluje se na straně klienta (webový server zaregistrovaného). Slouží k objednání certifikátu, k provedení procesu ověření domény, k instalaci certifikátu, ke konfiguraci šifrování HTTPS na serveru HTTP a později k pravidelnému obnovení certifikátu.[8][33] Po instalaci a souhlasu s licencí uživatele stačí provést jediný příkaz k instalaci platného certifikátu. Další možnosti jako OCSP sešívání nebo Přísné zabezpečení přenosu HTTP Lze také povolit (HSTS).[26] Automatické nastavení zpočátku funguje pouze s Apache a nginx.

Pojďme zašifrovat vydává certifikáty platné po dobu 90 dnů. Důvod je uveden v tom, že tyto certifikáty „omezují poškození z klíčových kompromisů a chybného vydávání“ a podporují automatizaci.[34]

Zpočátku společnost Let's Encrypt vyvinula vlastního klienta ACME - Certbot - jako oficiální implementace. To bylo převedeno na Nadace Electronic Frontier Foundation a jeho název „letsencrypt“ byl změněn na „certbot“. Existuje velký výběr Klienti a projekty ACME pro řadu prostředí vyvinutých komunitou.[35]

Příklad webu s certifikátem Let's Encrypt

Dějiny

Projekt Let's Encrypt zahájili v roce 2012 dva zaměstnanci Mozilly, Josh Aas a Eric Rescorla, společně s Peterem Eckersleym z Electronic Frontier Foundation a J. Alex Halderman na Michiganská univerzita. Výzkumná skupina pro internetovou bezpečnost, společnost za Let's Encrypt, byla založena v květnu 2013.[36]

Pojďme zašifrovat bylo oznámeno veřejně 18. listopadu 2014.[37]

28. ledna 2015 byl protokol ACME oficiálně předložen IETF ke standardizaci.[38]9. dubna 2015 se ISRG a Linux Foundation deklarovali spolupráci.[19]Kořenové a zprostředkující certifikáty byly vygenerovány začátkem června.[24]Dne 16. června 2015 byl oznámen konečný plán spuštění služby, přičemž první certifikát by měl být vydán někdy v týdnu od 27. července 2015, po kterém bude následovat omezené období vydání pro testování zabezpečení a škálovatelnosti. Obecná dostupnost Zahájení provozu služby bylo původně plánováno na začátek někdy v týdnu od 14. září 2015.[39] 7. srpna 2015 byl změněn harmonogram spouštění, aby bylo zajištěno více času pro zajištění bezpečnosti a stability systému, přičemž první certifikát byl vydán v týdnu 7. září 2015, následovaný obecnou dostupností v týdnu 16. listopadu 2015.[40]Křížový podpis od IdenTrust je plánován být k dispozici, až se Let's Encrypt otevře pro veřejnost.[23]

Dne 14. září 2015 vydala společnost Let's Encrypt svůj první certifikát, který byl pro doménu Ahoj světe.letencrypt.org. Ve stejný den ISRG předložila své žádosti o kořenový program Mozilla, Microsoft, Google a Jablko.[41]

Dne 19. října 2015 byly zprostředkující certifikáty podepsány křížovým podpisem IdenTrust, což způsobilo důvěru všech certifikátů vydaných Let's Encrypt ve všech hlavních prohlížečích.[22]

12. listopadu 2015 společnost Let's Encrypt oznámila, že obecná dostupnost bude odsunuta a že první veřejná beta verze začne 3. prosince 2015.[42] Veřejná beta verze probíhala od 3. prosince 2015[43] do 12. dubna 2016.[44]

Dne 3. března 2020 společnost Let's Encrypt oznámila, že 4. března bude muset zrušit více než 3 miliony certifikátů kvůli chybě v softwaru certifikační autority.[45] Díky spolupráci s prodejci softwaru a kontaktováním provozovatelů stránek dokázala společnost Let's Encrypt získat 1,7 milionu dotčených certifikátů obnovených před termínem. Nakonec se rozhodli nezrušit zbývající dotčené certifikáty, protože bezpečnostní riziko bylo nízké a platnost certifikátů měla vypršet během následujících 90 dnů.[46]

V březnu 2020 společnost Let's Encrypt získala ocenění Free Software Foundation výroční cena za projekty sociální výhody.[47]

Vydané certifikáty

datumVydané certifikáty
8. března 20161 milion[48]
21. dubna 20162 miliony[49]
3. června 20164 miliony[50]
22. června 20165 milionů[51]
9. září 201610 milionů[52]
27. listopadu 201620 milionů[53]
12. prosince 201624 milionů[54]
28. června 2017100 miliónů[55]
6. srpna 2018115 milionů[56]
14. září 2018380 milionů[57]
24. října 2019837 milionů[58]
27. února 20201 miliarda[59]

Viz také

Další čtení

  • Barnes, R .; Hoffman-Andrews, J .; McCarney, D .; Kasten, J. (březen 2019). Prostředí pro automatickou správu certifikátů (ACME) RFC 8555. IETF.

Reference

  1. ^ Aas, Josh (31. prosince 2019). „Těšíme se na rok 2019“. Pojďme šifrovat. Citováno 26. ledna 2019.
  2. ^ Josh Aas; Výkonný ředitel ISRG. „Opuštění Beta, noví sponzoři“. EFF. Citováno 12. dubna 2016.
  3. ^ Catalin Cimpanu. „Pojďme dnes šifrovat, aktuálně chrání 3,8 milionu domén“. Softpedia News. Citováno 12. dubna 2016.
  4. ^ Kerner, Sean Michael (18. listopadu 2014). „Pojďme šifrovat snahu o zlepšení zabezpečení internetu“. eWeek.com. Quinstreet Enterprise. Citováno 27. února 2015.
  5. ^ Eckersley, Peter (18. listopadu 2014). „Spuštění v roce 2015: Certifikační autorita pro šifrování celého webu“. Nadace Electronic Frontier Foundation. Citováno 27. února 2015.
  6. ^ "Jak to funguje". Pojďme šifrovat. Citováno 9. července 2016.
  7. ^ Tung, Liam (19. listopadu 2014). „EFF, Mozilla zahájí bezplatné šifrování webových stránek jediným kliknutím“. ZDNet. CBS Interactive.
  8. ^ A b C d Fabian Scherschel (19. listopadu 2014). „Pojďme zašifrovat: Mozilla und die EFF mischen den CA-Markt auf“ (v němčině). heise.de.
  9. ^ Marvin, Rob (19. listopadu 2014). „EFF chce nastavit HTTPS jako výchozí protokol“. Doby vývoje softwaru. BZ Media. Archivováno z původního dne 17. června 2016. Citováno 27. května 2019.
  10. ^ Marier, Francois (1. ledna 2015). „ITP: letsencrypt - Pojďme šifrovat klienta, který může aktualizovat konfigurace Apache“. Protokoly hlášení chyb Debianu.
  11. ^ "python-letsencrypt". Sledování balíčků Debian. 27. května 2015.
  12. ^ Barnes, Richard (30. dubna 2015). „Odsuzování nezabezpečeného protokolu HTTP“. Blog zabezpečení Mozilla. Mozilla.
  13. ^ „Označení protokolu HTTP jako nezabezpečeného“. Chromové projekty.
  14. ^ Moody, Glyn (25. listopadu 2014). „Příchozí válka v oblasti šifrování, Tor a VPN“. Computerworld UK. IDG UK.
  15. ^ Vaughan-Nichols, Steven J. (9. dubna 2015). „Zabezpečení webu jednou provždy: Projekt Pojďme zašifrovat“. ZDNet. CBS Interactive.
  16. ^ Aas, Josh (13. března 2018). „Podpora certifikátů ACME v2 a zástupných znaků je aktivní“. Pojďme šifrovat. Citováno 24. května 2018.
  17. ^ „Je tu certs a certs - VeriSign badmouths rivals“. www.theregister.com. Citováno 20. srpna 2020.
  18. ^ Zorz, Zeljka (6. července 2015). „Pojďme zašifrovat CA vydá zprávu o průhlednosti před svým prvním certifikátem“. Pomozte zabezpečení sítě.
  19. ^ A b Kerner, Sean Michael (9. dubna 2015). „Let's Encrypt Becomes Linux Foundation Collaborative Project“. eTýden. QuinStreet Enterprise.
  20. ^ A b „O skupině Internet Security Research Group (ISRG)“. letsencrypt.org. Archivovány od originál 9. března 2020. Citováno 9. března 2020.
  21. ^ A b C d Aas, Josh (4. června 2015). „Šifrujme kořenové a přechodné certifikáty“. Pojďme šifrovat.
  22. ^ A b Aas, Josh (19. října 2015). „Pojďme šifrovat je důvěryhodné“.
  23. ^ A b Reiko Kaps (17. června 2015). „SSL-Zertifizierungsstelle Lets Encrypt will Mitte September 2015 öffnen“ (v němčině). heise.de.
  24. ^ A b Reiko Kaps (5. června 2015). „Let's Encrypt: Meilenstein zu kostenlosen SSL-Zertifikaten für alle“ (v němčině). heise.de.
  25. ^ Gable, Aaron (17. září 2020). „Zašifrujme nový kořenový a zprostředkující certifikát“. Pojďme šifrovat. Citováno 22. září 2020.
  26. ^ A b Brook, Chris (18. listopadu 2014). „EFF, ostatní plánují v roce 2015 zjednodušit šifrování webu“. Threatpost: Kaspersky Lab Security News Service.
  27. ^ "Návrh specifikace ACME". GitHub. 6. května 2020.
  28. ^ Barnes, Richard; Eckersley, Peter; Schoen, Seth; Halderman, Alex; Kasten, James (28. ledna 2015). „Automatická správa certifikátů prostředí (ACME) draft-barnes-acme-01“. Síťová pracovní skupina.
  29. ^ „Plán konce životnosti pro ACMEv1“. Pojďme zašifrovat podporu komunity. 11. března 2019. Citováno 20. srpna 2020.
  30. ^ letsencrypt. "boulder / LICENSE.txt ve společnosti master · letsencrypt / boulder · GitHub". Github.com. Citováno 6. ledna 2016.
  31. ^ „Spustit Boulder uvnitř vaší organizace?“. Pojďme zašifrovat podporu komunity. 7. prosince 2016. Citováno 20. srpna 2020.
  32. ^ letsencrypt (23. listopadu 2015). "letsencrypt / LICENSE.txt ve společnosti master · letsencrypt / letsencrypt · GitHub". Github.com. Citováno 6. ledna 2016.
  33. ^ Sanders, James (25. listopadu 2014). „Pojďme zašifrovat iniciativu k poskytování bezplatných šifrovacích certifikátů“. TechRepublic. CBS Interactive.
  34. ^ Aas, Josh (9. listopadu 2015). „Proč devadesátidenní životnost certifikátů?“. Pojďme šifrovat. Citováno 26. června 2016.
  35. ^ „Implementace klienta ACME - Pojďme šifrovat - bezplatné certifikáty SSL / TLS“. letsencrypt.org. Citováno 20. srpna 2020.
  36. ^ Aas, Josh (18. listopadu 2014). „Pojďme zašifrovat | Boom Swagger Boom“. Boomswaggerboom.wordpress.com. Archivovány od originál 8. prosince 2015. Citováno 6. ledna 2016.
  37. ^ Joseph Tsidulko (18. listopadu 2014). „Pojďme zašifrovat, bezplatná a automatizovaná certifikační autorita, vychází z utajeného režimu“. crn.com. Citováno 26. srpen 2015.
  38. ^ Historie pro draft-barnes-acme
  39. ^ Josh Aas (16. června 2015). „Zašifrujme plán spuštění“. letsencrypt.org. Pojďme šifrovat. Citováno 19. června 2015.
  40. ^ „Aktualizováno Pojďme zašifrovat plán spuštění“. 7. srpna 2015.
  41. ^ Michael Mimoso. „První šifrování bezplatného certifikátu bude spuštěno“. Threatpost.com, Kaspersky Labs. Citováno 16. září 2015.
  42. ^ „Veřejná beta verze: 3. prosince 2015“. 12. listopadu 2015.
  43. ^ „Zadávání veřejné beta verze - šifrujme - bezplatné certifikáty SSL / TLS“. Pojďme šifrovat. 3. prosince 2015. Citováno 6. ledna 2016.
  44. ^ „Pojďme zašifrovat listy Beta“. LinuxFoundation.org. Archivovány od originál dne 15. dubna 2016. Citováno 17. dubna 2016.
  45. ^ „Odvolání určitých certifikátů 4. března“. 3. března 2020. Citováno 4. března 2020.
  46. ^ Barrett, Brian. „Internet se minulý týden vyhnul drobné katastrofě“. Kabelové. Conde Nast. Citováno 12. května 2020.
  47. ^ Pojďme zašifrovat, Jim Meyering a Clarissa Lima Borges dostanou ceny FSF za bezplatný software za rok 2019 Free Software Foundation, 2020
  48. ^ Aas, Josh (8. března 2016). „Náš miliontý certifikát - šifrujme - certifikáty SSL / TLS zdarma“. letsencrypt.org. Citováno 15. března 2016.
  49. ^ „Let's Encrypt Reaches 2,000,000 Certificates“. 22.dubna 2016. Citováno 24. září 2016.
  50. ^ „Pojďme zašifrovat statistiky“. letsencrypt.org. 5. června 2016. Citováno 5. června 2016.
  51. ^ „Pokrok směrem k 100% HTTPS, červen 2016“. letsencrypt.org. 24. června 2016. Citováno 22. června 2016.
  52. ^ Pojďme zašifrovat [@letsencrypt] (9. září 2016). „Nyní jsme vydali více než 10 milionů certifikátů“ (Tweet). Citováno 24. září 2016 - přes Cvrlikání.
  53. ^ Pojďme zašifrovat [@letsencrypt] (27. listopadu 2016). „Vydali jsme 20M + certifikáty!“ (Tweet). Citováno 27. listopadu 2016 - přes Twitter.
  54. ^ Pojďme zašifrovat [@letsencrypt] (12. prosince 2016). „Před více než rokem jsme vydali první certifikát. Dnes, 24 milionů a lezení!“ (Tweet). Citováno 18. ledna 2017 - přes Twitter.
  55. ^ „Milník: 100 milionů vydaných certifikátů - zašifrujme - bezplatné certifikáty SSL / TLS“. letsencrypt.org. Citováno 2. července 2017.
  56. ^ „Zašifrujme kořen, kterému důvěřují všechny hlavní kořenové programy“. letsencrypt.org. Citováno 11. září 2018.
  57. ^ „Pojďme šifrovat na Twitteru“. Cvrlikání. Citováno 16. září 2018.
  58. ^ „Zašifrujme časovou osu růstu“. letsencrypt.org. Citováno 24. říjen 2019.
  59. ^ „Pojďme zašifrovat vydalo miliardu certifikátů - Pojďme zašifrovat - bezplatné certifikáty SSL / TLS“. letsencrypt.org. Citováno 3. března 2020.

externí odkazy