HTTPS для всех: Let Encrypt достигает одного миллиарда выданных сертификатов

ssl https
0
(0)

Зашифрованное общение за четыре коротких года перешло от «только если это важно» к «если вы невероятно ленивы», и «Let’s Encrypt» заслуживает большой похвалы за это.

Let’s Encrypt, бесплатная группа по подписи сертификатов Internet Security Research Group, выпустила свой первый сертификат чуть более четырех лет назад. Сегодня он выпустил свою миллиардную.

Целью ISRG для Let’s Encrypt является доведение до 100% скорости шифрования в Интернете. Когда в 2015 году был запущен Let’s Encrypt, идея была довольно неожиданной — в то время чуть более трети всего веб-трафика было зашифровано, а остальная часть представляла собой простой текстовый HTTP. Существовали значительные препятствия для принятия HTTPS — с одной стороны, это стоило денег. Но что еще более важно, это стоило значительного количества времени и человеческих усилий, оба из которых в ограниченном количестве.

Let’s Encrypt преодолела денежный барьер, предложив свои услуги бесплатно. Что еще более важно, установив стабильный протокол для доступа к ним, он позволил Electronic Frontier Foundation создать и предоставить Certbot, бесплатное средство с открытым исходным кодом, которое автоматизирует процесс получения сертификатов, их установки, настройки веб-серверов для их использования. и автоматически обновлять их.

Управление HTTPS традиционным способом

Когда в 2015 году был запущен Let’s Encrypt, сертификаты, подтвержденные доменом, можно было приобрести всего за 9 долларов в год, но время и усилия, необходимые для их обслуживания, были другой историей. Нужно было купить сертификат, информацию нужно было заполнить в нескольких формах, тогда можно было бы ждать часами, прежде чем будут выданы даже дешевые сертификаты, подтвержденные доменом.

После того, как сертификат был выпущен, его (и его ключ, и любые необходимые цепные сертификаты) необходимо было загрузить, затем переместить на сервер, затем поместить в правильный каталог, и, наконец, веб-сервер можно перенастроить для SSL.

На широко используемом веб-сервере Apache часть конфигурации SSL — одна! — может выглядеть примерно так:

     SSLEngine on
     SSLCertificateFile         /etc/apache2/certs/sitename.crt
     SSLCertificateChainFile    /etc/apache2/certs/sitename.ca-bundle
     SSLCertificateKeyFile      /etc/apache2/certs/sitename.key
     SSLCACertificatePath       /etc/ssl/certs/

     # intermediate configuration, tweak to your needs
     SSLProtocol all -SSLv3
     SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
     SSLHonorCipherOrder on
     SSLCompression off

     # OCSP Stapling, only in httpd 2.3.3 and later
     #SSLUseStapling on
     #SSLStaplingResponderTimeout 5
     #SSLStaplingReturnResponderErrors off

     # HSTS (mod_headers is required) (15768000 seconds = 6 months)
     Header always set Strict-Transport-Security "max-age=15768000"

Ничто из этой конфигурации не было сделано для вас. В реальном мире ужасающая конфигурация культового груза была сделана с помощью вырезки и вставки с первого сайта, который утверждал, что предлагает рабочий набор конфигов.

Если неопытный администратор угадал неправильно, когда искал что-то для копирования и вставки — или более опытный администратор стал небрежным и не заметил, когда изменились стандарты, — может легко закрасться небезопасность в виде неверных протоколов и аргументов шифрования.

Каждые один-три года вам придется делать все заново, возможно, только заменяя сертификат и ключ, возможно, также заменяя или добавляя новые промежуточные цепочки сертификатов.

Все это было (и есть), честно говоря, беспорядок … и может легко привести к простою, если нечасто практикуемая процедура не проходит гладко.

Управление HTTPS с помощью Let’s Encrypt и Certbot

Let’s Encrypt, устраняя затраты и устанавливая стабильный и надежный протокол, также устраняли значительные барьеры для автоматизации. EFF вмешался, чтобы предоставить эту автоматизацию конечным пользователям и администраторам с помощью Certbot, одного из самых популярных способов управления приобретением, установкой и обновлением сертификатов Let’s Encrypt.

На Ubuntu 18.04 или более новой системе Certbot от EFF и его различные плагины доступны в основных репозиториях системы. Его можно установить с помощью двух команд оболочки — одной, если вы хотите немного выдумать и использовать точку с запятой:

root @ web: ~ # apt update; apt install -y python3-certbot-apache

После этого одна команда активирует Certbot. Когда вы взаимодействуете с простой системой текстового меню, она выбирает сертификаты для любого или всех ваших сайтов, настраивает ваш веб-сервер (правильно!) И добавляет задание cron для автоматического обновления сертификатов, когда они закрыты. 30 дней до истечения срока. Все это занимает не более пяти минут.

Кроме того, Certbot даже предлагает — но не требует — автоматически настраивать ваш веб-сервер для перенаправления HTTP-запросов на HTTPS. Это так просто.

Обеспечение конфиденциальности и безопасности в масштабе

В июне 2017 года Let’s Encrypt исполнилось два года и он получил свой десятимиллионный сертификат. В Соединенных Штатах Интернет сократился с 40% HTTPS до 64% HTTPS, а Let’s Encrypt обслуживал 46 миллионов веб-сайтов.

Сегодня выпущен миллиардный сертификат Let’s Encrypt, который обслуживает 192 миллиона веб-сайтов, а доля Интернета в Соединенных Штатах зашифрована на 91%. Проект управляет этим почти на том же персонале и бюджете, что и в 2017 году — он вырос с 11 штатных сотрудников и бюджета в 2,61 млн. Долл. США до 13 штатных сотрудников и сегодня на бюджет 3,35 млн. Долл. США.

Ничто из этого не было бы возможным без приверженности автоматизации и открытым стандартам. Мы были в восторге от того, насколько легко Certbot EFF позволяет ему развертывать и обновлять сертификаты Let’s Encrypt, но этот вклад возможен только благодаря тому, что Let’s Encrypt уделяет особое внимание стандартизации открытого протокола ACME, чтобы каждый мог создать клиент для работы.

В дополнение к созданию и публикации стабильного, способного протокола, Let’s Encrypt приложил усилия для его отправки и ратификации с помощью Целевой группы по Интернет-разработкам (IETF), в результате чего появился RFC 8555.

Выводы

На самом деле нет особого оправдания тому, чтобы больше не предоставлять защищенную, сквозную зашифрованную (и аутентифицированную) связь с веб-сайтов пользователям. Let’s Encrypt, его протокол ACME и множество клиентов, появившихся для облегчения его использования, включая, помимо прочего, Certbot, сделали настройку и развертывание HTTPS простым.

Насколько полезен был этот пост?

Нажмите на звезду, чтобы оценить его!

Средний рейтинг 0 / 5. Подсчет голосов: 0

Пока никаких голосов! Будьте первым, кто оценит этот пост.

Блог Comsecurity приложил все усилия, чтобы обеспечить точность и достоверность информации, представленной на этом сайте. Тем не менее, информация предоставляется «как есть» без каких-либо гарантий. Comsecurity не несет никакой ответственности за точность, содержание, полноту, законность или достоверность информации, содержащейся на этом сайте.

Оставить комментарий

avatar
  Подписаться  
Уведомление о