Спасибо, Let`s Encrypt. За год проникновение TLS в Рунете выросло в три раза



    За последний год количество узлов в домене .RU, поддерживающих TLS (HTTPS), увеличилось в три раза. По статистике проекта «Домены России», количество таких узлов за год выросло с 34205 до 103616. Это очень большой рост.

    Эксперты объясняют, что массовое внедрение HTTPS связано с выдачей автоматических сертификатов CloudFlare, а также началом деятельности центра сертификации Let`s Encrypt, который позволяет автоматически выпускать бесплатные сертификаты для веб-ресурсов.

    Подавляющее большинство сертификатов со сроком действия 6 месяцев выпущены УЦ Comodo для облачного сервиса CloudFlare.



    Почти все краткосрочные сертификаты выданы Let's Encrypt. Эта организация специально поощряет использование краткосрочных сертификатов, у которых есть два важных преимущества:

    1. Ограничение ущерба от компрометированных ключей и неверно выпущенных сертификатов.
    2. Поощрение автоматизации, которая необходима для простоты использования HTTPS.

    Верхушка рейтинга УЦ в июне 2016 года
    • COMODO ECC Domain Validation Secure Server CA 2
    • Let's Encrypt Authority X3
    • GlobalSign Domain Validation CA — SHA256 — G2
    • COMODO RSA Domain Validation Secure Server CA
    • WoSign CA Free SSL Certificate G2
    • StartCom Class 1 DV Server CA
    • thawte DV SSL CA — G2
    • StartCom Class 1 Primary Intermediate Server CA
    • RapidSSL SHA256 CA — G3

    К сожалению, защита TLS охватывает всего 3% российских сайтов, но троекратный рост за год внушает большой оптимизм. «Сложно назвать какую-то другую интернет-технологию, проникновение которой показывало бы столь же большой рост в 2015-16 гг., — пишет «Нетоскоп». — Для сравнения, согласно историческим данным, в мае-июне 2013 года число уникальных валидных сертификатов для имён .RU едва превышало 4000. В июне 2016 этот показатель составляет свыше 83000, то есть, за три года — двадцатикратный рост».



    В методике проекта «Домены России» учитываются узлы, которые вернули валидный SSL-сертификат, совпадающий по имени с доменом, адресующим данный узел. Проверка производится с использованием TCP и номера порта 443.

    Количество сертификатов меньше, чем количество доменов в статистике, потому что сертификат может содержать несколько имён: например, с префиксом www, или имена «дополнительных» сайтов, относящихся к одному разветвлённому ресурсу: forum.test.ru, blog.test.ru и т.д.

    См. также:
    «Let's Encrypt выходит в публичную бету: HTTPS всюду, каждому, отныне и навсегда бесплатно»
    «Let's Encrypt: получение сертификата по шагам»
    «Yet another инструкция по получению ssl-сертификата Let's Encrypt»
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 35

      0
      c 14 числа (кое-где уже сегодня) должны впилить поддержку ddns, будет еще больше!
        0
        Кто именно должны впилить эту поддержку? Можно ссылку на детали?
          0
          https://github.com/letsencrypt/boulder/pull/1969
        –1
        Спасибо, законотворцы. За год проникновение TLS в Рунете выросло в три раза
          +1
          Что там, я со скайпа на tox перешёл. Поставил плагин https-everywhere. Раньше было плевать.
            0
            А почему сейчас Вам уже не плевать?
              0
              Сгущаются тучи. И скайп стал зависать.
                0
                Так это просто маршрутизацию «Усовершенствовали», выкинув из пиринга Level 3, вот регулярно теперь и стало отваливаться соединение с иностранными серверами. У трутней такая петрушка уже где-то с апреля месяца. Глянуть отчет по состоянию автономной системы можно тут: https://radar.qrator.net/as16345/providers#startDate=2016-04-04&endDate=2016-07-04&tab=left. То ли ещё будет!
          0
          Народ, подскажите. Использовал ли кто-нибудь из вас сертификат Let's Encrypt для серьёзных площадок, например, где производится онлайн оплата или закрытая часть с конфиденциальными данными?
            +1
            Используем. Всё ок.
              0
              Да, совершенно ничего страшного в этом нет.
              Но, есть один плюс коммерческих сертификатов — страховка, в некоторых местах она нужна что бы тылы прикрыть)
              +1
              Будут ли они поддерживать домены в .onion и когда? Может кто знает как и где можно прикупить сертификат для домена в .onion?
                –1

                Зачем в .onion вообще нужен HTTPS? Там же и без того несколько слоев шифрования.

                  +1
                  Видимо чтобы трафик шифрованный был и от браузера до прокси. Заодно зелёный замочек будет светится.
                    +2
                    В проекте используются библиотеки openpgpjs и crypto-js. Некоторые браузеры (Chrome) не желают работать с этими библиотеками без https. Сейчас пока создан корневой сертификат и им подписан сертификат для домена.
                  –9

                  Приватный ключь надеюсь не сливается Let's Encrypt. Ато они такие добрые мы и сгенерируем его тебе и сертификат выдадем.

                    +2
                    Вам осталось совсем немного, чтобы понять как работает асинхронное шифрование, продолжайте
                    А если без сарказма, то приватный ключик никогда не попадает на серверы LE
                      0
                      Let's Encrypt: получение сертификата по шагам
                      3. Запустите установку и генерацию с помощью

                      ./letsencrypt-auto --agree-dev-preview --server \https://acme-v01.api.letsencrypt.org/directory -a manual auth

                      Вам будет предложено ввести электронную почту для восстановления в будущем.
                      Ключ -a manual позволит сгенерировать ключи в ручном режиме без их автоматической установки на веб-сервер.
                      +1
                      gethttpsforfree.com
                      Каждый шаг под вашим контролем. Держите на здоровье!
                      +1
                      А есть еще Comodo PositiveSSL, 13.2 доллара за трехлетний сертификат, без гемороев как у летскриптов.
                        0
                        Это каких же?
                          0
                          Например я попробовал поставить на сетевое хранилище QNAP. Не осилил :( Пришлось взять сертификат в другом месте.
                            +1
                            не осилили что? запустить клиента? или прикрутить сертификат? процедура достаточно банальна, если понимать как это работает. Проблема может возникнуть максимум при автоматизации обновления сертфиката.
                              0
                              А без автоматизации зачем они нужны? Есть StartSSL, где бесплатно и на год.
                                0
                                перечитайте коммент — он не про нужность автоматизации.
                                  +2
                                  Вообще вся ветка комментов про геморрои у LetsEncrypt. Вы пишете, что геморроев нет, кроме как при автоматизации. Мой коммент про то, что автоматизация там и есть самая фишка, а без нее преимущества перед другими решениями нет, а есть недостаток — краткосрочный сертификат нужно часто обновлять вручную. А если с автоматизацией, то геморрои таки есть. Как-то так.
                                    0
                                    нет, я пишу, что процедура проста, и максимум могут возникнуть сложности с автоматизацией, т.к. необходимо корректно все настроить и релоадить сервис, которому нужен сертификат.
                                    Лично у меня с этим гемороя не было и нет — я пользуюсь клиентом на go lego. Поставил на крон что-то типа lego --renew && nginx reload раз в месяц.
                                    Ну а с тезисом, что «если нет автоматизации, то зачем оно нужно», я согласен.
                                0
                                Запустить клиента
                                  0
                                  согласен. Питоновская поделка что-то с чем-то.
                                  https://github.com/xenolf/lego не благодарите)
                            0
                            GGSSL ещё дешевле.
                            +4
                            Эх, им бы еще поддержку OpenNIC'овских зон(впрочем тикет про это есть, думаю впилят).
                            А я вот сижу и думаю нужна ли хаброкоммунити статья про автоматическое генерирование сертификатов при первом обращении к домену с использованием lua-resty-auto-ssl или нет. Только что закончил допилку пакета openresty под Ubuntu Trusty для работы с этим делом(и все лежит в отдельном ppa), но вот стоит ли писать статью в песочницу или те кому надо и так разберутся для меня пока вопрос.
                              +2
                              Поставил сертификат на свой почтовый сервер после прочтения статьи.
                              Спасибо за напоминание о Let's Encrypt! :)
                                0
                                Поясните нубу плиз. По новым мега-законам все, кто поставил себе сертификат на личный nas или почтовый сервер, должны обеспечить органы ключами? [даже если это технически невозможно]
                                  0
                                  Нет, вы не обязаны. Это операторы связи обязаны предоставить ваши ключи. В РФ эти горе-законы клепают идиоты настолько далекие от IT, что они вообще не понимают о чем пишут.
                                    0
                                    Ну ок, пусть предоставляют. :D
                                    Хотя печаль в том, что в наших реалиях подправить закон совсем недолго. Небольшое «уточнение формулировки» и мы все станет должны органам.

                                Only users with full accounts can post comments. Log in, please.