Русская Википедия:Let’s Encrypt

Шаблон:Карточка организации Let’s Encrypt — центр сертификации, предоставляющий бесплатные криптографические сертификаты X.509 для шифрования передаваемых через интернет данных HTTPS и других протоколов, используемых серверами в Интернете. Процесс выдачи сертификатов полностью автоматизирован^[1][2].

Сервис предоставляется публичной организацией Шаблон:Iw (ISRG).

Задачи

Проект Let’s Encrypt создан для того, чтобы большая часть интернет-сайтов смогла перейти к шифрованным подключениям (HTTPS). В отличие от коммерческих центров сертификации, в данном проекте не требуется оплата, переконфигурация веб-серверов, использование электронной почты, обработка просроченных сертификатов, что делает процесс установки и настройки TLS-шифрования значительно более простым^[3]. Например, на типичном веб-сервере на базе Linux требуется выполнить две команды, которые настроят HTTPS-шифрование, получат и установят сертификат примерно за 20-30 секунд^[4][5].

Пакет с утилитами автонастройки и получения сертификата включен в официальные репозитории дистрибутива Debian^[6]. Разработчики браузеров Mozilla и Google намерены постепенно отказаться от поддержки незашифрованного протокола HTTP путём отказа от поддержки новых веб-стандартов для http-сайтов^[7][8]. Проект Let’s Encrypt имеет потенциал по переводу большей части Интернета на шифрованные соединения^[9].

Центр сертификации Let’s Encrypt выдаёт сертификаты Шаблон:Iw со сроком действия в 90 дней^[10]. Не планируется предложение сертификатов Organization Validation и Extended Validation Certificate^[11].

По внутренней статистике ISRG, к 1 ноября 2022 года в Let’s Encrypt зарегистрировано 239,7 млн активных сертификатов для ~99,5 млн доменов. Всего с 2015 года было выпущено 3,078 млрд сертификатов. На протяжении 2022 года каждый день выпускалось от 1,8 до 3,1 млн сертификатов, число доменов за год выросло на 33 млн, то есть на ~50 %^[12][13].

Проект публикует множество информации с целью защиты от атак и попыток манипуляции^[14]. Ведётся публичный лог всех транзакций ACME, используются открытые стандарты и программы с открытыми исходными кодами^[4].

Участники

Сервис Let’s Encrypt предоставляется публичной организацией Шаблон:Iw (ISRG).

Основные спонсоры проекта: Фонд электронных рубежей (Electronic Frontier Foundation, EFF), Mozilla Foundation, Akamai, Cisco Systems.

Партнёрами проекта являются центр сертификации Шаблон:Iw, University of Michigan (U-M), Шаблон:Iw, Linux Foundation^[15]; Stephen Kent (из Raytheon/Шаблон:Iw) и Alex Polvi (из CoreOS)^[4].

История

Проект Let’s Encrypt был инициирован в конце 2012 года двумя сотрудниками компании Mozilla, Josh Aas и Eric Rescorla. Компания Internet Security Research Group была создана в мае 2013 года для управления проектом. В июне 2013 года проекты Electronic Frontier Foundation и University of Michigan были объединены в Let’s Encrypt^[16].

Впервые проект Let’s Encrypt был публично анонсирован 18 ноября 2014 года^[17].

28 января 2015 года протокол ACME был отправлен в IETF для принятия в качестве стандарта Интернета^[18].

9 апреля 2015 года ISRG и Linux Foundation объявили о сотрудничестве^[15].

В начале июня 2015 года был создан корневой сертификат RSA для проекта Let’s Encrypt^[19][20]. Тогда же были созданы промежуточные сертификаты^[19].

16 июня 2015 года были объявлены планы по запуску сервиса, первые конечные сертификаты были выпущены в конце июля 2015 года для тестирования безопасности и масштабируемости. Широкая доступность сервиса планировалась на середину сентября 2015 года^[21]. 7 августа 2015 года планы были сдвинуты, широкий запуск сервиса был перенесён на середину ноября^[22].

Подпись промежуточных сертификатов от IdenTrust была запланирована на период начала широкой доступности Let’s Encrypt^[23].

14 сентября 2015 года был выпущен первый конечный сертификат для домена Шаблон:URL. В тот же день организация ISRG выслала публичный ключ своего корневого сертификата для включения в список доверенных компаниям Mozilla, Microsoft, Google и Apple^[24].

12 ноября 2015 года Let’s Encrypt перенесла широкий запуск в бета-режиме на 3 декабря 2015 года^[25].

Центр сертификации Let’s Encrypt начал работать в бета-режиме 3 декабря 2015 года^[25].

12 апреля 2016 года объявлено об окончании периода бета-тестирования^[26].

28 июня 2017 года Let’s Encrypt заявила о выпуске 100-миллионного сертификата^[27].

7 декабря 2017 объявлено о старте публичного бета-тестирования выдачи wildcard-сертификатов с 4 января 2018 года. Планируемая дата окончания тестового периода — 27 февраля 2018 года^[28].

13 марта 2018 года Let’s Encrypt начал выдавать wildcard-сертификаты, теперь каждый может получить бесплатный SSL/TLS-сертификат вида *.example.com.^[29][30]

6 августа 2018 года Let’s Encrypt заявила, что с конца июля 2018 года их корневому сертификату ISRG Root X1 доверяют все основные списки корневых сертификатов, включая Microsoft, Google, Apple, Mozilla, Oracle и Blackberry^[31][32].

В период конца 2015 — начала 2016 года планировалось сгенерировать корневой сертификат с ключом по алгоритму ECDSA, но потом срок его выпуска был перенесён на 2018 год^[20][33][34].

13 марта 2018 года центр поддержки пользователей Let’s Encrypt объявил о возможности создавать «wildcard certificate» (сертификатов, включающих неограниченное множество поддоменов)^[35]. Ранее планировалось запустить этот функционал 27 февраля 2018 года^[36].

В марте 2020 года Let's Encrypt был удостоен ежегодной премии Free Software Award Фонда свободного программного обеспечения как проект, имеющий социальную значимость^[37].

В сентябре 2021 года — переход сертификатов DST Root CA X3 на ISRG Root X1^[38].

В январе 2022 года Let’s Encrypt отозвала около двух миллионов SSL/TLS-сертификатов (или около 1% от общего числа действовавших сертификатов), так как они были выпущены некорректно^[39].

Технологии

Ключ от корневого сертификата стандарта RSA с 2015 года хранится в аппаратном хранилище Шаблон:Iw (Шаблон:Lang-en), не подключённом к компьютерным сетям^[20]. Этим корневым сертификатом подписаны два промежуточных корневых сертификата^[20], которые также были подписаны центром сертификации IdenTrust^[23]. Один из промежуточных сертификатов используется для выпуска конечных сертификатов сайтов, второй держится в качестве резервного в хранилище, не подключённом к Интернету, на случай компрометации первого сертификата^[20]. Поскольку корневой сертификат центра IdenTrust предустановлен в большинстве операционных систем и браузеров в качестве доверенного корневого сертификата, выдаваемые проектом Let’s Encrypt сертификаты проходят проверку и принимаются клиентами^[19], несмотря на отсутствие корневого сертификата ISRG в списке доверенных.

Протокол аутентификации сайтов

Для автоматической выдачи сертификата конечному сайту используется протокол аутентификации класса «challenge-response» (вызов-ответ, вызов-отклик) под названием Шаблон:Iw (ACME). В этом протоколе к веб-серверу, запросившему подписание сертификата, производится серия запросов для подтверждения факта владения доменом (domain validation). Для получения запросов клиент ACME настраивает специальный TLS-сервер, который опрашивается сервером ACME с применением Server Name Indication (Domain Validation using Server Name Indication, DVSNI).

Валидация проводится многократно, с использованием различных сетевых путей. Записи DNS опрашиваются из множества географически распределённых мест для осложнения атак DNS spoofing.

Протокол ACME работает путём обмена JSON-документами через HTTPS-соединения^[40]. Черновик протокола опубликован на GitHub^[41] и отправлен в Internet Engineering Task Force (IETF) в качестве Шаблон:Iw для интернет-стандарта^[42].

Протокол ACME описан в документе RFC 8555.

Программная реализация

Файл:Letsencrypt screenshot 2 domain choice.png

Центр сертификации использует сервер ACME-протокола «Boulder», написанный на языке программирования Go (доступен в исходных текстах под лицензией Mozilla Public License 2)^[43]. Сервер предоставляет RESTful-протокол, работающий через канал с шифрованием TLS.

Клиент протокола ACME, certbot (ранее letsencrypt) с открытым исходным кодом под лицензией Apache^[44] написан на языке Python. Этот клиент устанавливается на конечном сервере и используется для запроса сертификата, проведения валидации домена, инсталляции сертификата и настройки HTTPS-шифрования в веб-сервере. В дальнейшем этот клиент используется для регулярного перевыпуска сертификата по мере окончания срока действия^[4][45]. После установки и принятия лицензии достаточно выполнить одну команду для получения сертификата. Дополнительно могут быть включены опции Шаблон:Iw и HTTP Strict Transport Security (HSTS, принудительное переключение с HTTP на HTTPS)^[40]. Автоматическая настройка https-сервера изначально доступна для веб-серверов Apache и nginx.

См. также

• Электронная подпись
• Центр сертификации
• Самозаверенный сертификат
• Цифровой сертификат

Примечания

Шаблон:Примечания

Литература

• Richard Barnes, Jacob Hoffman-Andrews, James Kasten, Automatic Certificate Management Environment (ACME) Шаблон:Wayback // IETF, Active Internet-Drafts, 21 jul 2015Шаблон:Ref-en

Ссылки

• Шаблон:Official website
• Проекты Let’s Encrypt на GitHub
• Seth Schoen’s Libre Planet 2015 lecture on Let’s EncryptШаблон:Ref-en
• Technical introduction, David Wong
• pde’s talk on Let’s Encrypt, CCCamp 2015Шаблон:Ref-en
• List of certificates issued by Let’s Encrypt Шаблон:WaybackШаблон:Ref-en

Шаблон:Выбор языка

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.