Lad os kryptere

Lad os kryptere
Administrativt center
Adresse San Francisco, USA
Organisationstype Certificeringsmyndighed og non-profit organisation
Grundlag
Stiftelsesdato 2014
Industri kryptografi
Produkter X.509 Certification Authority
Antal medarbejdere
Forældreorganisation Internet Security Research Group
Internet side letsencrypt.org
 Mediefiler på Wikimedia Commons

Let's Encrypt  er en certifikatmyndighed, der leverer gratis X.509 kryptografiske certifikater til kryptering af HTTPS -data transmitteret over internettet og andre protokoller, der bruges af servere på internettet. Processen med at udstede certifikater er fuldautomatisk [3] [4] .

Tjenesten leveres af den offentlige organisation Internet Security Research Group (ISRG).

Opgaver

Let 's Encrypt-projektet blev oprettet, så størstedelen af ​​internetsider kunne skifte til krypterede forbindelser ( HTTPS ). I modsætning til kommercielle certifikatmyndigheder kræver dette projekt ikke betaling, omkonfiguration af webservere, brug af e-mail, behandling af udløbne certifikater, hvilket gør processen med at installere og konfigurere TLS-kryptering meget enklere [5] . For eksempel på en typisk Linux -baseret webserver kræves to kommandoer for at opsætte HTTPS - kryptering, opnå og installere et certifikat på omkring 20-30 sekunder [6] [7] .

En pakke med automatisk konfiguration og certifikatværktøjer er inkluderet i Debian -distributionens officielle arkiver [8] . Browserudviklere Mozilla og Google har til hensigt at udfase understøttelsen af ​​ukrypteret HTTP ved at droppe understøttelsen af ​​nye webstandarder for http-websteder [9] [10] . Let 's Encrypt-projektet har potentialet til at konvertere meget af internettet til krypterede forbindelser [11] .

Let 's Encrypt - certificeringsmyndigheden udsteder domænevaliderede certifikater med en gyldighedsperiode på 90 dage [12] . Der er ingen planer om at tilbyde organisationsvalidering og udvidede valideringscertifikater [13] .

Fra august 2021 har Let's Encrypt 1.930.558 registrerede certifikater og 2.527.642 fuldt definerede aktive domæner. Og antallet af Let's Encrypt-certifikater udstedt pr. dag overstiger 2,5 millioner [14]

Projektet udgiver en masse information for at beskytte mod angreb og manipulationsforsøg [15] . En offentlig log over alle ACME -transaktioner vedligeholdes , åbne standarder og open source-programmer bruges [6] .

Medlemmer

Tjenesten Let's Encrypt leveres af den offentlige organisation Internet Security Research Group (ISRG).

Projektets hovedsponsorer: Electronic Frontier Foundation ( EFF ), Mozilla Foundation , Akamai , Cisco Systems .

Projektpartnerne er certifikatmyndigheden IdenTrust , University of Michigan (UM), Stanford Law School , Linux Foundation [16] ; Stephen Kent (fra Raytheon / BBN Technologies ) og Alex Polvi (fra CoreOS ) [6] .

Historie

Let's Encrypt-projektet blev igangsat i slutningen af ​​2012 af to Mozilla - medarbejdere , Josh Aas og Eric Rescorla . Internet Security Research Group blev etableret i maj 2013 for at styre projektet. I juni 2013 blev projekterne fra Electronic Frontier Foundation og University of Michigan fusioneret til Let's Encrypt [17] .

Let 's Encrypt-projektet blev først offentliggjort den 18. november 2014 [18] .

Den 28. januar 2015 blev ACME-protokollen forelagt IETF til vedtagelse som en internetstandard [19] .

Den 9. april 2015 annoncerede ISRG og Linux Foundation et samarbejde [16] .

I begyndelsen af ​​juni 2015 blev der oprettet et RSA -rodcertifikat til Let's Encrypt-projektet [20] [21] . Samtidig blev der oprettet mellemcertifikater [20] .

Den 16. juni 2015 blev planerne om at lancere tjenesten annonceret, de første endelige certifikater blev udstedt i slutningen af ​​juli 2015 til sikkerheds- og skalerbarhedstest. Den brede tilgængelighed af tjenesten var planlagt til midten af ​​september 2015 [22] . Den 7. august 2015 blev planerne flyttet, den brede lancering af tjenesten blev udskudt til midten af ​​november [23] .

Underskrivelsen af ​​mellemliggende certifikater fra IdenTrust var planlagt i den periode, hvor Let's Encrypt blev bredt tilgængelig [24] .

Den 14. september 2015 blev det første slutcertifikat for domænet helloworld.letsencrypt.org frigivet . Samme dag sendte ISRG den offentlige nøgle til sit rodcertifikat for at blive betroet af Mozilla , Microsoft , Google og Apple [25] .

Den 12. november 2015 flyttede Let's Encrypt sin brede beta- lancering til den 3. december 2015 [26] .

Let 's Encrypt CA gik i beta den 3. december 2015 [26] .

Den 12. april 2016 blev slutningen af ​​beta-testperioden annonceret [27] .

Den 28. juni 2017 annoncerede Let's Encrypt frigivelsen af ​​certifikat nummer 100 [28] .

Den 7. december 2017 blev det annonceret starten på offentlig beta-test af udstedelse af wildcard-certifikater fra den 4. januar 2018. Den planlagte dato for afslutningen af ​​testperioden er den 27. februar 2018 [29] .

Den 13. marts 2018 begyndte Let's Encrypt at udstede wildcard-certifikater, nu kan alle få et gratis SSL/TLS-certifikat som *.example.com . [30] [31]

Den 6. august 2018 udtalte Let's Encrypt , at i slutningen af ​​juli 2018 er deres ISRG Root X1 rodcertifikat betroet af alle større rodcertifikatlister inklusive Microsoft , Google , Apple , Mozilla , Oracle og Blackberry [32] [33] .

I perioden slutningen af ​​2015 - begyndelsen af ​​2016 var det planlagt at generere et rodcertifikat med en nøgle ved hjælp af ECDSA- algoritmen , men derefter blev dets udgivelsesdato udskudt til 2018 [21] [34] [35] .

Den 13. marts 2018 annoncerede Let's Encrypt User Support Center muligheden for at oprette et " jokertegncertifikat " (certifikater, der inkluderer et ubegrænset antal underdomæner) [36] . Det var tidligere planlagt at lancere denne funktionalitet den 27. februar 2018 [37] .

I marts 2020 blev Let's Encrypt tildelt Free Software Foundations årlige Free Software Award for Social Value [38] .

I september 2021, overgangen af ​​DST Root CA X3 certifikater til ISRG Root X1 [39] .

Teknologi

Siden 2015 er nøglen fra RSA-standardrodcertifikatet blevet lagret i hardwarelageret HSM [ en ] ( ) , ikke forbundet til computernetværk [21] .  Dette rodcertifikat signerede to mellemliggende rodcertifikater [21] , som også blev underskrevet af IdenTrust CA [24] . Et af de mellemliggende certifikater bruges til at udstede endelige webstedscertifikater, det andet opbevares som backup i en butik, der ikke er forbundet til internettet, i tilfælde af at det første certifikat kompromitteres [21] . Da IdenTrust-autoritetens rodcertifikat er forudinstalleret på de fleste operativsystemer og browsere som et betroet rodcertifikat, valideres og accepteres certifikater udstedt af Let's Encrypt-projektet af klienter [20] på trods af fraværet af ISRG-rodcertifikatet på listen over betroede. .

Site Authentication Protocol

For automatisk at udstede et certifikat til slutstedet, bruges en challenge-response (challenge-response) klassegodkendelsesprotokol kaldet Automated Certificate Management Environment (ACME). I denne protokol sendes en række anmodninger til webserveren, der anmodede om at underskrive et certifikat for at bekræfte, at der er domæneejerskab ( domænevalidering ). For at modtage anmodninger konfigurerer ACME-klienten en speciel TLS -server, som polles af ACME-serveren ved hjælp af servernavnindikation ( domænevalidering ved hjælp af servernavnindikation , DVSNI).

Validering udføres flere gange ved hjælp af forskellige netværksstier. DNS- poster forespørges fra flere geografisk spredte placeringer for at komplicere DNS-spoofingangreb .

ACME-protokollen fungerer ved at udveksle JSON - dokumenter over HTTPS-forbindelser [40] . Et udkast til protokollen er blevet offentliggjort på GitHub [41] og indsendt til Internet Engineering Task Force (IETF) som et udkast til en internetstandard [42] .

ACME-protokollen er beskrevet i RFC 8555 .

Softwareimplementering

CA'en bruger "Boulder" ACME-protokolserveren skrevet i Go -programmeringssproget (tilgængelig i kildekoden under Mozilla Public License 2) [43] . Serveren leverer en RESTful -protokol, der fungerer over en TLS-krypteret kanal.

ACME-protokolklienten, certbot(tidligere letsencrypt) open source under Apache -licensen [44] er skrevet i Python . Denne klient er installeret på destinationsserveren og bruges til at anmode om et certifikat, udføre domænevalidering, installere et certifikat og konfigurere HTTPS-kryptering på en webserver. Denne klient bruges derefter til regelmæssigt at genudstede certifikatet, når det udløber [6] [45] . Efter installation og accept af licensen er det nok at udføre en kommando for at få et certifikat. Derudover kan OCSP-hæftning og HTTP Strict Transport Security (HSTS, tvungen skift fra HTTP til HTTPS) [40] aktiveres . Automatisk https-serverkonfiguration er naturligt tilgængelig for Apache- og nginx -webservere .

Se også

Noter

  1. https://letsencrypt.org/contact/
  2. https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html
  3. Kerner, Sean Michael. Lad os kryptere indsatsen sigter mod at forbedre internetsikkerheden . eWeek.com . Quinstreet Enterprise (18. november 2014). Hentet: 27. februar 2015.
  4. Eckersley, Peter. Lancering i 2015: En certifikatmyndighed til at kryptere hele nettet . Electronic Frontier Foundation (18. november 2014). Hentet 27. februar 2015. Arkiveret fra originalen 10. maj 2018.
  5. Liam Tung (ZDNet), 19. november 2014: EFF, Mozilla lancerer gratis kryptering af webstedet med et enkelt klik
  6. 1 2 3 4 Fabian Scherschel (heise.de), 19. november 2014: Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf
  7. Rob Marvin (SD Times), 19. november 2014: EFF ønsker at gøre HTTPS til standardprotokollen
  8. Detaljer om certbot-pakken i stræk
  9. Richard Barnes (Mozilla), 30. april 2015: Deprecating Non-Secure HTTP
  10. Chromium-projekterne - Markering af HTTP som ikke-sikker
  11. Glyn Moody, 25. november 2014: The Coming War on Encryption, Tor, and VPNs – Tid til at stå op for din ret til online privatliv
  12. Lad os kryptere dokumentation. Udgivelse 0.2.0.dev0 Arkiveret 29. juli 2017 på Wayback Machine / Let's Encrypt, 18. december 2015 "Let's Encrypt CA udsteder certifikater med kort levetid (90 dage)"
  13. Steven J. Vaughan-Nichols (ZDNet), 9. april 2015: nettet én gang for alle: The Let's Encrypt Project
  14. Lad os kryptere statistik . https://letsencrypt.org/da . Hentet 30. september 2021. Arkiveret fra originalen 30. september 2021.
  15. Zeljka Zorz (Help Net Security), 6. juli 2015: Let's Encrypt CA udgiver gennemsigtighedsrapport før dets første certifikat
  16. 1 2 Sean Michael Kerner (eweek.com), 9. april 2015: Let's Encrypt Becomes Linux Foundation Collaborative Project
  17. Lad os kryptere | Boom Swagger Boom (utilgængeligt link) . Dato for adgang: 12. december 2015. Arkiveret fra originalen 8. december 2015. 
  18. Joseph Tsidulko Lad os kryptere, en gratis og automatiseret certifikatmyndighed, kommer ud af stealth-tilstand  ( 18. november 2014). Hentet 26. august 2015. Arkiveret 12. juni 2018 på Wayback Machine
  19. Historie for draft-barnes-acme
  20. 1 2 3 Reiko Kaps (heise.de), 5. juni 2015: Lad os kryptere: Meilenstein zu kostenlosen SSL-Zertifikaten für alle
  21. 1 2 3 4 5 Aas, Josh Lad os kryptere rod- og mellemcertifikater (4. juni 2015). Dato for adgang: 12. december 2015. Arkiveret fra originalen 3. december 2015.
  22. Josh Aas. Lad os kryptere lanceringsplan . letsencrypt.org . Lad os kryptere (16. juni 2015). Hentet 19. juni 2015. Arkiveret fra originalen 26. maj 2018.
  23. Opdateret Let's Encrypt Launch Schedule (7. august 2015). Hentet 12. december 2015. Arkiveret fra originalen 27. september 2015.
  24. 1 2 Reiko Kaps (heise.de), 17. juni 2015: SSL-Zertifizierungsstelle Lets Encrypt will Mitte September 2015 öffnen
  25. Michael Mimoso. Lad os først kryptere gratis certifikat går live . Threatpost.com, Kaspersky Labs. Hentet 16. september 2015. Arkiveret fra originalen 12. juni 2018.
  26. 1 2 Offentlig beta: 3. december 2015 (12. november 2015). Dato for adgang: 12. december 2015. Arkiveret fra originalen 7. april 2018.
  27. Let's Encrypt Leaves Beta (downlink) (15. april 2016). Hentet 25. januar 2018. Arkiveret fra originalen 15. april 2016. 
  28. Milepæl .  100 millioner certifikater udstedt . Lad os kryptere . Hentet 25. januar 2018. Arkiveret fra originalen 12. maj 2018.
  29. ↑ Ser frem til 2018  . Lad os kryptere. Hentet 25. januar 2018. Arkiveret fra originalen 22. januar 2018.
  30. ↑ ACME v2 og Wildcard Certificate Support er live  . Lad os kryptere fællesskabssupport . Hentet 28. juni 2018. Arkiveret fra originalen 1. juni 2018.
  31. Let's Encrypt begyndte at udstede wildcard-certifikater  (russisk) . Arkiveret fra originalen den 28. juni 2018. Hentet 28. juni 2018.
  32. Lad os kryptere rod, der er tillid til af alle større rodprogrammer . Hentet 9. august 2018. Arkiveret fra originalen 6. august 2018.
  33. Alle større rodcertifikatlister har nu tillid til Let's Encrypt . Hentet 9. august 2018. Arkiveret fra originalen 9. august 2018.
  34. Certifikater . Lad os kryptere . Arkiveret fra originalen den 3. december 2015.
  35. Certifikater . Lad os kryptere . Arkiveret fra originalen den 9. oktober 2017.
  36. ↑ ACME v2 og Wildcard Certificate Support er live  . Lad os kryptere fællesskabssupport. Hentet 16. marts 2018. Arkiveret fra originalen 1. juni 2018.
  37. Wildcard-certifikater kommer januar 2018 . Hentet 9. juli 2017. Arkiveret fra originalen 8. januar 2021.
  38. Let's Encrypt, Jim Meyering og Clarissa Lima Borges modtager FSF's 2019 Free Software Awards Arkiveret 18. juli 2021 på Wayback Machine Free Software Foundation, 2020
  39. DST Root CA X3  Expiration . https://letsencrypt.org/ (2021-5-7). Hentet 30. september 2021. Arkiveret fra originalen 30. september 2021.
  40. 1 2 Chris Brook (Threatpost), 18. november 2014: EFF, Others Plan to Make Encrypting the Web Easier in 2015
  41. Udkast til ACME-specifikation . Dato for adgang: 12. december 2015. Arkiveret fra originalen 21. november 2014.
  42. R. Barnes, P. Eckersley, S. Schoen, A. Halderman, J. Kasten. Automatic Certificate Management Environment (ACME) draft-barnes-acme-01 (28. januar 2015). Hentet 12. december 2015. Arkiveret fra originalen 28. juni 2020.
  43. boulder/LICENSE.txt hos master letsencrypt/boulder GitHub . Hentet 12. december 2015. Arkiveret fra originalen 19. marts 2019.
  44. letsencrypt/LICENSE.txt hos master letsencrypt/letsencrypt GitHub
  45. James Sanders (TechRepublic), 25. november 2014: Lad os kryptere initiativ til at levere gratis krypteringscertifikater

Litteratur

Links

  Gå til Wikidata-elementet  I sociale netværk
Tematiske steder