Titkosítsuk

Titkosítsuk
Közigazgatási központ
Cím San Francisco, USA
Szervezet típusa Tanúsító hatóság és non-profit szervezet
Bázis
Az alapítás dátuma 2014
Ipar kriptográfia
Termékek X.509 Tanúsító hatóság
Alkalmazottak száma
Szülői szervezet Internet Security Research Group
Weboldal letsencrypt.org
 Médiafájlok a Wikimedia Commons oldalon

A Let's Encrypt  egy tanúsítványkibocsátó, amely ingyenes X.509 kriptográfiai tanúsítványokat biztosít az interneten keresztül továbbított HTTPS -adatok és az interneten lévő szerverek által használt egyéb protokollok titkosításához. A tanúsítványok kiállításának folyamata teljesen automatizált [3] [4] .

A szolgáltatást az Internet Security Research Group (ISRG) állami szervezet nyújtja.

Feladatok

A Let's Encrypt projektet azért hozták létre, hogy az internetes oldalak többsége át tudjon váltani titkosított kapcsolatra ( HTTPS ). A kereskedelmi tanúsító hatóságokkal ellentétben ez a projekt nem igényel fizetést, webszerverek újrakonfigurálását, e-mailek használatát, lejárt tanúsítványok feldolgozását, ami sokkal egyszerűbbé teszi a TLS titkosítás telepítésének és konfigurálásának folyamatát [5] . Például egy tipikus Linux -alapú webszerveren két parancs szükséges a HTTPS -titkosítás beállításához, egy tanúsítvány beszerzéséhez és telepítéséhez körülbelül 20-30 másodperc alatt [6] [7] .

A Debian disztribúció [8] hivatalos tárolói tartalmazzák az automatikus konfiguráló és tanúsító segédprogramokat tartalmazó csomagot . A Mozilla és a Google böngészőfejlesztők fokozatosan megszüntetik a titkosítatlan HTTP támogatását azáltal, hogy megszüntetik a http-oldalak új webes szabványainak támogatását [9] [10] . A Let's Encrypt projektben megvan a lehetőség arra, hogy az internet nagy részét titkosított kapcsolatokká alakítsa [11] .

A Let's Encrypt hitelesítési hatóság 90 napos érvényességi idővel ad ki tartományban érvényesített tanúsítványokat [12] . Nem tervezik szervezetérvényesítési és kiterjesztett érvényesítési tanúsítványok felajánlását [13] .

2021 augusztusában a Let's Encrypt 1 930 558 regisztrált tanúsítvánnyal és 2 527 642 teljesen meghatározott aktív domainnel rendelkezik. A naponta kiadott Let's Encrypt tanúsítványok száma pedig meghaladja a 2,5 milliót [14]

A projekt sok információt közöl a támadások és manipulációs kísérletek elleni védelem érdekében [15] . Nyilvános naplót vezetnek az összes ACME -tranzakcióról , nyílt szabványokat és nyílt forráskódú programokat használnak [6] .

Tagok

A Let's Encrypt szolgáltatást az Internet Security Research Group (ISRG) állami szervezet biztosítja.

A projekt fő támogatói: Electronic Frontier Foundation ( EFF ), Mozilla Foundation , Akamai , Cisco Systems .

A projekt partnerei az IdenTrust tanúsító hatóság , University of Michigan (UM), Stanford Law School , Linux Foundation [16] ; Stephen Kent (a Raytheon / BBN Technologies cégtől) és Alex Polvi (a CoreOS -től ) [6] .

Történelem

A Let's Encrypt projektet 2012 végén kezdeményezte a Mozilla két alkalmazottja , Josh Aas és Eric Rescorla . Az Internet Security Research Group 2013 májusában jött létre a projekt irányítására. 2013 júniusában az Electronic Frontier Foundation és a University of Michigan projektjeit egyesítették a Let's Encrypt- be [17] .

A Let's Encrypt projektet először 2014. november 18-án jelentették be nyilvánosan [18] .

2015. január 28-án az ACME protokollt benyújtották az IETF -hez internetes szabványként való elfogadásra [19] .

2015. április 9-én az ISRG és a Linux Foundation együttműködést jelentett be [16] .

2015. június elején RSA gyökértanúsítvány készült a Let's Encrypt projekthez [20] [21] . Ezzel egyidőben létrejöttek a köztes tanúsítványok [20] .

2015. június 16-án jelentették be a szolgáltatás bevezetésének terveit, 2015. július végén adták ki az első végleges tanúsítványokat a biztonsági és skálázhatósági teszteléshez. A szolgáltatás széles körű elérhetőségét 2015. szeptember közepére tervezték [22] . 2015. augusztus 7-én a tervek eltolódtak, a szolgáltatás széles körű elindítása november közepére tolódott [23] .

A köztes tanúsítványok aláírását az IdenTrusttól arra az időszakra tervezték, amikor a Let's Encrypt széles körben elérhetővé vált [24] .

2015. szeptember 14-én megjelent a helloworld.letsencrypt.org domain első végtanúsítványa . Ugyanezen a napon az ISRG elküldte gyökértanúsítványának nyilvános kulcsát, hogy a Mozilla , a Microsoft , a Google és az Apple megbízhasson benne [25] .

2015. november 12-én a Let's Encrypt 2015. december 3- ra ütemezte át széles körű béta bevezetését [26] .

A Let's Encrypt CA 2015. december 3-án ment bétaverzióba [26] .

2016. április 12-én bejelentették a béta tesztelési időszak végét [27] .

2017. június 28-án a Let's Encrypt bejelentette a 100 milliomodik tanúsítvány kiadását [28] .

2017. december 7-én bejelentették, hogy 2018. január 4-től megkezdődik a helyettesítő tanúsítványok kiadásának nyilvános béta tesztelése. A tesztidőszak befejezésének tervezett időpontja 2018. február 27. [29] .

2018. március 13-án a Let's Encrypt megkezdte a helyettesítő karakteres tanúsítványok kiadását, mostantól mindenki kaphat ingyenes SSL/TLS-tanúsítványt, például *.example.com . [30] [31]

2018. augusztus 6-án a Let's Encrypt kijelentette, hogy 2018. július végén az ISRG Root X1 gyökértanúsítványukat az összes főbb gyökértanúsítvány-lista megbízható, beleértve a Microsoft , a Google , az Apple , a Mozilla , az Oracle és a Blackberry listáját [32] [33] .

A 2015 végi - 2016 eleji időszakban egy kulcsos gyökértanúsítvány létrehozását tervezték az ECDSA algoritmus segítségével , de ekkor a megjelenési dátumát 2018-ra tolták [21] [34] [35] .

2018. március 13-án a Let's Encrypt User Support Center bejelentette, hogy létrehozhat egy „ joker karakter tanúsítványt ” (korlátlan számú aldomaint tartalmazó tanúsítványok) [36] . Ezt a funkciót korábban 2018. február 27-én tervezték elindítani [37] .

2020 márciusában a Let's Encrypt elnyerte a Free Software Foundation éves Szabad Szoftver Díját a Társadalmi Értékért [38] .

2021 szeptemberében a DST Root CA X3 tanúsítványok átállása az ISRG Root X1-re [39] .

Technológia

2015 óta az RSA szabvány gyökértanúsítványból származó kulcsot a hardvertároló HSM [ en ] Hardware security module ) tárolja, nem csatlakozik számítógépes hálózatokhoz [21] .  Ez a gyökértanúsítvány aláírt két köztes gyökértanúsítványt [21] , amelyeket az IdenTrust CA [24] is aláírt . Az egyik köztes tanúsítványt a végső helyszíni tanúsítványok kiadására használják, a másodikat biztonsági másolatként egy olyan boltban tartják, amely nem kapcsolódik az internethez, arra az esetre, ha az első tanúsítvány sérülne [21] . Mivel az IdenTrust jogosultság gyökértanúsítványa a legtöbb operációs rendszeren és böngészőben megbízható gyökértanúsítványként van előre telepítve, a Let's Encrypt projekt által kibocsátott tanúsítványokat az ügyfelek ellenőrzik és elfogadják [20] annak ellenére, hogy az ISRG gyökértanúsítvány hiányzik a megbízhatóak listájából. .

Site Authentication Protocol

A véghelynek történő tanúsítvány automatikus kibocsátásához az Automated Certificate Management Environment (ACME) nevű kihívás-válasz (challenge-response) osztályú hitelesítési protokollt használják. Ebben a protokollban egy sor kérés érkezik a webszerverhez, amely tanúsítvány aláírását kérte a domain tulajdonjogának megerősítésére ( domain validáció ). A kérések fogadásához az ACME-kliens egy speciális TLS -kiszolgálót konfigurál, amelyet az ACME-kiszolgáló a kiszolgálónév- jelzéssel ( Domain Validation using Server Name Indication , DVSNI) lekérdez.

Az érvényesítés többször is megtörténik különböző hálózati útvonalak használatával. A DNS - rekordokat több földrajzilag szétszórt helyről kérdezik le a DNS-hamisítási támadások bonyolítása érdekében .

Az ACME protokoll a JSON - dokumentumok HTTPS-kapcsolaton keresztüli cseréjével működik [40] . A protokoll tervezetét közzétették a GitHubon [41] , és benyújtották az Internet Engineering Task Force- nak (IETF) egy internetes szabvány [42] tervezeteként ] .

Az ACME protokollt az RFC 8555 írja le .

Szoftver implementáció

A CA a Go programozási nyelven írt "Boulder" ACME protokoll szervert használja (forráskódban a Mozilla Public License 2 alatt érhető el) [43] . A szerver RESTful protokollt biztosít, amely TLS-titkosított csatornán keresztül működik.

Az ACME protokoll kliens, certbot(korábban letsencrypt) nyílt forráskódú Apache licenc alatt [44] , Python nyelven íródott . Ez az ügyfél a célkiszolgálón van telepítve, és tanúsítvány kérésére, tartományellenőrzés végrehajtására, tanúsítvány telepítésére és HTTPS-titkosítás konfigurálására szolgál egy webszerveren. Ezt a klienst használjuk a tanúsítvány rendszeres újbóli kiadására, amint az lejár [6] [45] . A licenc telepítése és elfogadása után elegendő egy parancs végrehajtása a tanúsítvány megszerzéséhez. Ezenkívül engedélyezhető az OCSP tűzés és a HTTP Strict Transport Security (HSTS, kényszerített váltás HTTP-ről HTTPS-re) [40] opciói . Az automatikus https-kiszolgáló konfigurációja natívan elérhető az Apache és az nginx webszerverekhez .

Lásd még

Jegyzetek

  1. https://letsencrypt.org/contact/
  2. https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html
  3. Kerner, Sean Michael. Az Encrypt Effort célja az Internet biztonságának javítása . eWeek.com . Quinstreet Enterprise (2014. november 18.). Letöltve: 2015. február 27.
  4. Eckersley, Peter. 2015-ben indul: A tanúsító hatóság a teljes web titkosítására . Electronic Frontier Foundation (2014. november 18.). Letöltve: 2015. február 27. Az eredetiből archiválva : 2018. május 10.
  5. Liam Tung (ZDNet), 2014. november 19.: Az EFF, a Mozilla elindítja az ingyenes, egykattintásos webhelytitkosítást
  6. 1 2 3 4 Fabian Scherschel (heise.de), 2014. november 19.: Titkosítsuk: Mozilla und die EFF mischen den CA-Markt auf
  7. Rob Marvin (SD Times), 2014. november 19.: Az EFF a HTTPS-t szeretné alapértelmezett protokollként használni
  8. A certbot csomag részletei szakaszon
  9. Richard Barnes (Mozilla), 2015. április 30.: A nem biztonságos HTTP megszüntetése
  10. A Chromium Projects – HTTP megjelölése nem biztonságosként
  11. Glyn Moody, 2014. november 25.: A titkosítás, a Tor és a VPN-ek közelgő háborúja – Ideje kiállni az online adatvédelemhez való joga mellett
  12. Titkosítsuk a dokumentációt. 0.2.0.dev0 kiadás archiválva 2017. július 29-én a Wayback Machine -nél / Let's Encrypt, 2015. december 18. "A Let's Encrypt CA rövid élettartamú tanúsítványokat ad ki (90 nap)"
  13. Steven J. Vaughan-Nichols (ZDNet), 2015. április 9.: a web egyszer s mindenkorra: a Let's Encrypt Project
  14. Titkosítsuk a statisztikákat . https://letsencrypt.org/en . Letöltve: 2021. szeptember 30. Az eredetiből archiválva : 2021. szeptember 30.
  15. Zeljka Zorz (Help Net Security), 2015. július 6.: A Let's Encrypt CA átláthatósági jelentést ad ki az első tanúsítvány előtt
  16. 1 2 Sean Michael Kerner (eweek.com), 2015. április 9.: A Let's Encrypt a Linux Foundation együttműködési projektjévé vált
  17. Titkosítsuk | Boom Swagger Boom (nem elérhető link) . Hozzáférés dátuma: 2015. december 12. Az eredetiből archiválva : 2015. december 8. 
  18. Joseph Tsidulko Let's Encrypt, egy ingyenes és automatizált tanúsító hatóság, kilép a lopakodó módból  ( 2014. november 18.). Letöltve: 2015. augusztus 26. Archiválva : 2018. június 12. a Wayback Machine -nél
  19. A draft-barnes-acme története
  20. 1 2 3 Reiko Kaps (heise.de), 2015. június 5.: Titkosítsuk: Meilenstein zu kostenlosen SSL-Zertifikaten für alle
  21. 1 2 3 4 5 Aas, Josh Titkosítsuk a gyökér- és középfokú tanúsítványokat (2015. június 4.). Hozzáférés dátuma: 2015. december 12. Az eredetiből archiválva : 2015. december 3.
  22. Josh Aas. Titkosítsuk az indítási ütemezést . letsencrypt.org . Titkosítsuk (2015. június 16.). Letöltve: 2015. június 19. Az eredetiből archiválva : 2018. május 26..
  23. Frissített Let's Encrypt Launch Schedule (2015. augusztus 7.). Letöltve: 2015. december 12. Az eredetiből archiválva : 2015. szeptember 27..
  24. 1 2 Reiko Kaps (heise.de), 2015. június 17.: SSL-Zertifizierungsstelle Lets Encrypt will Mitte 2015. szeptember öffnen
  25. Michael Mimoso. Először is Titkosítsuk az ingyenes tanúsítványt . Threatpost.com, Kaspersky Labs. Letöltve: 2015. szeptember 16. Az eredetiből archiválva : 2018. június 12.
  26. 1 2 Nyilvános béta: 2015. december 3. (2015. november 12.). Hozzáférés dátuma: 2015. december 12. Az eredetiből archiválva : 2018. április 7.
  27. Let's Encrypt Leaves Beta (downlink) (2016. április 15.). Letöltve: 2018. január 25. Az eredetiből archiválva : 2016. április 15. 
  28. Mérföldkő .  100 millió tanúsítványt adtak ki . Titkosítsuk . Letöltve: 2018. január 25. Az eredetiből archiválva : 2018. május 12.
  29. Várakozással 2018-ra  . Titkosítsuk. Letöltve: 2018. január 25. Az eredetiből archiválva : 2018. január 22..
  30. ↑ Az ACME v2 és a helyettesítő karaktertanúsítványok támogatása élő  . Titkosítsuk a közösségi támogatást . Letöltve: 2018. június 28. Az eredetiből archiválva : 2018. június 1.
  31. A Let's Encrypt megkezdte a helyettesítő karakter tanúsítványok kiadását  (orosz) . Archiválva az eredetiből 2018. június 28-án. Letöltve: 2018. június 28.
  32. Titkosítsuk az összes főbb gyökérprogram által megbízható rootot . Letöltve: 2018. augusztus 9. Az eredetiből archiválva : 2018. augusztus 6..
  33. Az összes főbb gyökértanúsítvány-lista megbízik a Let's Encrypt rendszerben . Letöltve: 2018. augusztus 9. Az eredetiből archiválva : 2018. augusztus 9..
  34. Tanúsítványok . Titkosítsuk . Az eredetiből archiválva: 2015. december 3.
  35. Tanúsítványok . Titkosítsuk . Archiválva az eredetiből 2017. október 9-én.
  36. ↑ Az ACME v2 és a helyettesítő karaktertanúsítványok támogatása élő  . Titkosítsuk a közösségi támogatást. Letöltve: 2018. március 16. Az eredetiből archiválva : 2018. június 1.
  37. Helyettesítő tanúsítványok 2018 januárjában . Letöltve: 2017. július 9. Az eredetiből archiválva : 2021. január 8..
  38. Let's Encrypt, Jim Meyering és Clarissa Lima Borges megkapja az FSF 2019. évi Free Software Awards díját , archiválva 2021. július 18-án a Wayback Machine Free Software Foundation, 2020-ban.
  39. DST Root CA X3  lejárata . https://letsencrypt.org/ (2021-5-7). Letöltve: 2021. szeptember 30. Az eredetiből archiválva : 2021. szeptember 30.
  40. 1 2 Chris Brook (Threatpost), 2014. november 18.: EFF, mások azt tervezik, hogy 2015-ben megkönnyítik a web titkosítását
  41. Az ACME specifikáció tervezete . Hozzáférés időpontja: 2015. december 12. Az eredetiből archiválva : 2014. november 21..
  42. R. Barnes, P. Eckersley, S. Schoen, A. Halderman, J. Kasten. Automatic Certificate Management Environment (ACME) draft-barnes-acme-01 (2015. január 28.). Letöltve: 2015. december 12. Az eredetiből archiválva : 2020. június 28.
  43. boulder/LICENSE.txt a master letsencrypt/boulder GitHubnál . Letöltve: 2015. december 12. Az eredetiből archiválva : 2019. március 19.
  44. letsencrypt/LICENSE.txt a master letsencrypt/letsencrypt GitHubnál
  45. James Sanders (TechRepublic), 2014. november 25.: Let's Encrypt kezdeményezés ingyenes titkosítási tanúsítványok biztosítására

Irodalom

Linkek

  Ugrás a Wikidata elemre  A közösségi hálózatokon
Tematikus oldalak