Никаких самоподписанных сертификатов уже со следующего лета
Вчера фонд EFF объявил о запуске совместного с Mozilla, Cisco, Akamai, IdenTrust и Мичиганским университетом проекта Let's Encrypt. Призыв «давайте шифровать» подкреплён реальными действиями: новый центр сертификации будет выдавать бесплатные сертификаты всем желающим.Протокол HTTP обладает рядом недостатков. Он не даёт никакой защиты от прослушки государственными структурами, интернет-провайдерами, работодателями и преступниками, что позволяет следить за пользователем и воровать его личные данные, включая пароли. Посредством атаки MitM можно легко вырезать отдельные части страниц в целях цензуры или вводить в код вредоносные объекты.
HTTPS использует шифрование передаваемых данных, это тот же HTTP, но по шифрованному посредством SSL или TLS каналу. Он далеко не идеален: с момента последней публикации крупной уязвимости SSL (Poodle) прошло всего 2 месяца. Но даже это гораздо лучше, чем ничего.
Если мы хотим значительно улучшить безопасность Интернета, то всем нам следует использовать шифрование соединения с сайтами. Однако на пути встаёт сложность, запутанность и монополизм рэкета в пользу центров сертификации.
Конечно, для работы сертификатов нужно обеспечивать их подтверждение, что требует некоторых технических затрат, но очень часто цены неоправданно высоки. Предупреждение о самоподписанности сертификата шифрования говорит не только о том, что у администратора не было 200 долларов в год на нормальный SSL-сертификат, это также значит, что невозможно установить, прослушивается ли соединение или нет.
Стоимость сертификатов и сложность настройки серверов для работы с шифрованием являются основными причинами, по которым большинство сайтов продолжает функционировать только по HTTP. В целях борьбы с этими проблемами Фонд электронных рубежей совместно с рядом компаний запускает проект Let's Encrypt. Начало работы запланировано на лето 2015 года.
Согласно проведённым исследованиям, как правило, даже опытному веб-мастеру нужно не только купить сертификат, но и потратить от 1 до 3 часов, чтобы настроить шифрование. Let's Encrypt ставит своей целью сократить это время до 20—30 секунд. В ролике ниже представлена работа версии для тестирования программного набора проекта.
Let's Encrypt работает на основе множества новых технологий для управления автоматизированным подтверждением доменов и выпуском сертификатов. Был разработан протокол под названием ACME для установления связи между веб-сервером и центром сертификации с использованием поддержки новых и более сильных форм валидации доменных имён.
О поддержке wildcard-сертификатов пока ничего не сообщается, но ничто не помешает настроить отдельные сертификаты для каждого из поддоменов.
Управлять новым проектом будет некоммерческая организация Internet Security Research Group (ISRG). Изначально в проекте принимали участие EFF, Mozilla и Мичиганский университет, а Cisco, Akamai и IdenTrust присоединились в качестве партнёров лишь ближе к запуску.
Похожим проектом является бесплатный SSL от Cloudflare, включённый по умолчанию у всех клиентов CDN-провайдера. У него есть свои недостатки: вне зависимости от наличия шифрования между тремя точками (сервер с сайтом, сервер Cloudflare, пользователь) через Cloudflare всегда проходит нешифрованный трафик. Кроме того, реализация бесплатного шифрования не поддерживается рядом старых операционных систем и браузеров.
Бесплатность другого центра выдачи сертификатов StartSSL — это по большей степени маркетинговый ход, у услуги есть ряд ограничений, к примеру, невозможность использовать сайт для финансовых операций и электронной коммерции.
Ещё есть бесплатный сервис CAcert.org, но его root-сертификат не включён в большинство браузеров из-за невообразимо дорогого процесса аудита и ряда других причин, поэтому сложная и интересная структура проекта практически бесполезна. Но, наверное, громкость имён вовлечённых в Let's Encrypt компаний и серьёзность их намерений позволят избежать подобных проблем.
Сайт проекта: LetsEncrypt.org.
