Let's Encrypt выдал миллиард сертификатов

    27 февраля 2020 года бесплатный центр сертификации Let's Encrypt выдал миллиардный сертификат.

    В праздничном пресс-релизе представители проекта вспоминают, что предыдущий юбилей в 100 млн выданных сертификатов отмечали в июне 2017 года. Тогда доля HTTPS-трафика в интернете составляла 58% (в США — 64%). За два с половиной года показатели существенно выросли: «Сегодня 81% загружаемых страниц по всему миру используют HTTPS, а в Соединенных Штатах мы находимся на уровне 91%! — радуются ребята из проекта. — Невероятное достижение. Это гораздо более высокий уровень конфиденциальности и безопасности для всех».

    Let's Encrypt сыграл очень важную роль в том, чтобы сертификаты HTTPS стали утилитарным стандартом, а надёжное шифрование трафика — совершенной нормой в интернете.

    Бета-тестирование инновационного центра сертификации Let's Encrypt началось в декабре 2015 года. Уникальной особенностью нового центра стало то, что процесс выдачи сертификатов изначально был полностью автоматизирован.

    Автоматическая настройка HTTPS на сервере происходит в два этапа. На первом этапе агент уведомляет центр сертификации о правах администратора сервера на доменное имя. Например, проверка может включать в себя создание определённого поддомена или установку внутри домена HTTP-ресурса с определённым URI.



    Let’s Encrypt идентифицирует веб-сервер с запущенным агентом по открытому ключу. Открытый и закрытый ключи генерируются агентом перед первым подключением к центру сертификации. Во время автоматической проверки агент выполняет ряд тестов: например, подписывает открытым ключом полученный одноразовый пароль и предъявляет HTTP-ресурс с определённым URI. Если цифровая подпись верна и все тесты пройдены — агенту выдаются права на управление сертификатами для домена.



    На втором этапе агент может запрашивать, обновлять и отзывать сертификаты. Для автоматической выдачи сертификата используется протокол аутентификации класса «challenge-response» (вызов-ответ, вызов-отклик) под названием Automated Certificate Management Environment (ACME). Все манипуляции с сертификатом осуществляются без остановки веб-сервера при помощи ACME-клиента Certbot. Он прост в использовании, работает на большинстве операционных систем и отлично документирован. Есть экспертный режим с расширенным набором настроек. Кроме Certbot, существует множество других ACME-клиентов.

    Важная роль Let's Encrypt


    Let's Encrypt совершил настоящую революцию на рынке, где раньше властвовали коммерческие центры сертификации. Теперь они практически вышли из бизнеса выдачи DV-сертификатов (сертификаты с подтверждением домена, Domain Validation), хотя продолжают продавать сертификаты с подтверждением организации (Organization Validation, OV) и сертификаты высокой надёжности (Extended Validation, EV), которые Let's Encrypt не выдаёт, потому что их нельзя автоматизировать. Впрочем, это нишевый товар, а на массовом рынке безраздельно властвуют бесплатные сертификаты Let's Encrypt.

    Let's Encrypt сделал стандартом автоматический перевыпуск сертификатов. Несмотря на краткий срок их жизни (90 дней), автоматическая процедура устраняет «человеческий фактор», который традиционно представляет основную уязвимость в безопасности. Администраторы доменов зачастую просто забывают продлить сертификаты, из-за чего сервисы выходят из строя. Последний такой казус произошёл с Microsoft Teams. 3 февраля 2020 года этот сервис для совместной работы ушёл в офлайн из-за просроченного сертификата.

    Автоматическая замена сертификатов по протоколу ACME исключает возможность подобных инцидентов.

    Хотя проект Let's Encrypt обслуживает половину интернета, в физическом мире это маленькая некоммерческая организация: «За эти два с половиной года наша организация выросла, но совсем немного! — пишут они. — В июне 2017 года мы обслуживали около 46 млн веб-сайтов силами 11 штатных сотрудников и с годовым бюджетом в $2,61 млн. Сегодня мы обслуживаем почти 192 млн веб-сайтов с 13 штатными сотрудниками и годовым бюджетом примерно в $3,35 млн. Это означает, что мы обслуживаем более чем вчетверо больше сайтов всего с двумя дополнительными сотрудниками и 28-процентным увеличением бюджета».

    Поддержка проекта происходит через пожертвования и спонсорство.

    К настоящему времени HTTPS стал стандартом де-факто в интернете. С прошлого года основные браузеры предупреждают пользователей об опасности подключения к сайтам, которые не шифруют трафик по HTTPS. В таком изменении ландшафта безопасности велика заслуга Let's Encrypt.

    Ко всему прочему, Let's Encrypt буквально возродил инфраструктуру публичных XMPP-серверов. Теперь Jabber работает с надёжным шифрованием как на уровне клиент-сервер, так и сервер-сервер, а абсолютное большинство сертификатов выдал Let's Encrypt.



    «Как сообщество мы сделали невероятные вещи, чтобы защитить людей в интернете, — сказано в пресс-релизе. — Выдача одного миллиарда сертификатов является подтверждением всего прогресса, которого мы достигли как сообщество».
    Дата-центр «Миран»
    Решения для аренды и размещения ИТ-инфраструктуры

    Комментарии 27

      +10

      Это тот случай, когда работаешь и получаешь колоссальное удовлетворение от работы.


      Бесплатно, автоматизировано, заменяет дармоедов, работает для всех и везде — это то, как я тоже вижу посыл всего IT.
      Дай вам Бог здоровья, ребята!

        +4

        И для того, чтобы весь инет накрылся медным тазом, достаточно всего одной точки воздействия. Это ли не прекрасно?

          +3

          Таких точек-одиночек очень много: Google, Microsoft и др. И мир до сих пор не рухнул.


          Перестаньте пугать народ.

            0

            Неправда. Сертификат действует 3 месяца и обновляется минимум за месяц до окончания. Таким образом, если Let's Encrypt накроется, у Вас будет целых 1–3 месяца на выпуск сертификатов в других местах.


            Разумеется, часть сервисов (наименее поддерживаемых) может не уложиться в этот срок, но глобальной катастрофы не наступит.

            +2
            Полностью с Вами согласен. Эти ребята делают мир лучше)
            +2
            Хм, ощущаю себя тупым бараном — в сентябре, октябре и ноябре продолжал покупать и ставить вручную сертификаты на домены, хотя обратил внимание что цены значительно снизились. :)
              +2

              Наоборот — Вы умный лев :) !


              а) Сейчас вполне себе находится какой-нибудь positive ssl по цене около 5 долларов в год
              б) Для кого как но менять сертификат раз в год или раз в три месяца таки есть разница для тех кто делает эту смену в ручную (что единственно правильное решение ибо насколько надо не заботиться о безопасности чтобы какой-нибудь certbot себе на сервер устанавливать !)

                +2
                Поддерживаю это мнение. Бесплатный сыр он только известно где.
                Comodo-шный сертификат стоит $3.77 в год — не такие большие деньги.
                Т.е. для разработки и домашних страничек — никаких проблем. А для продакшена лучше использовать что-то с минимальными гарантиями работоспособности.

                И про «дармоедов» тоже не согласен. Каких-то денег это должно стоить, поддерживать те же CRL и Timestamp сервера.
                  0
                  Comodo-шный сертификат стоит $3.77 в год — не такие большие деньги.
                  Это конечно так, но раньше он стоил $10, и вполне себе неленивые люди выбрали бесплатный аналог. И только спустя время, цена снизилась до $3.77, и уже можно думать насчёт него…
                  0
                  Но вы же установили на него «какой-нибудь» mc или там mysqld…
                    +1
                    единственно правильное решение ибо насколько надо не заботиться о безопасности чтобы какой-нибудь certbot себе на сервер устанавливать

                    Как я понимаю, вы лично провели аудит всего используемого на вашем сервере ПО? И все миллионы строк исходников Linux прочитали, и nginx (или какой у вас там сервер) и тысяч всяких утилит типа ssh, bash, mv, cp и всех-всех-всех их зависимостей (например, openssl)? И каждый их апдейт тоже проверяете? Мне кажется, с такой квалификацией и производительностью вам не составит труда просмотреть и исходники certbot. Благо он тоже OpenSource и его кодовая база значительно меньше большинства используемых вами программ. А если не нравится именно он, то есть куча альтернативных реализаций. А с учётом вашей квалификации, вы можете и свою реализацию легко написать. Там протокол не особо сложный, его реализовать гораздо проще, чем провести аудит ядра Linux.

                    Если вашим аргументом будет «я использую только популярное OpenSource ПО, на исходники которого смотрят миллионы глаз», то с учётом доли Let's encrypt certbot определённо относится к этой категории ПО, причём в отличии от многого другого ПО, эти миллионы глаз реально могут быстро просмотреть каждую строчку его кода и каждый апдейт чего не скажешь про тот же Linux, в некоторых подсистемах которого хорошо разбираются считанные единицы программистов.
                  +3
                  Помимо создания единой точки отказа, теперь всегда будет потенциальная возможность давления на всех обладателей сертификатов (с ходу — не думаю, что перевод сервиса в платный вариант кажется настолько уж невероятным).

                  Дело, конечно, хорошее, если бы не фактическое отсутствие альтернатив (помимо платных и очень платных).
                    0

                    А что мешает России или Китаю создать свою точку (зону) сертификации?

                      +2

                      И получится так https://m.habr.com/ru/post/272207/

                        +1

                        Уверен они к подобному и идут.

                          0
                          То, что выделенные деньги «освоят» задолго до того, как такой центр появится?
                            0
                            Let's Chebur
                            0
                            Они оформлены как некоммерческая организация. Им законодательно запрещено извлекать выгоду из своей деятельности. Конечно, теоретически они могут изменить форму организации, но это займёт очень много времени, поднимет очень много шума и лишит пожертвований. А сейчас они живут на пожертвования от таких фирм как Google и Apple, у которых с одной стороны очень много денег и они вряд ли внезапно кончатся, а с другой стороны они не заинтересованы бизнесе по продаже SSL сертификатов. Шанс того, что сразу все их спонсоры решат расширить свой бизнес на эту уже давно существующую область очень малы.
                            +1
                            Есть же разница между "*выдал миллиардный сертификат*" и "*выдал миллиард сертификатов*" в заголовке. Почему надо превращать такой замечательный сайт в желтушный новостной портал?
                              +6
                              Ты с этим вопросом минимум лет на пять опоздал, а скорей на все десять.
                              +1
                              Автоматическая замена сертификатов по протоколу ACME исключает возможность подобных инцидентов.

                              До тех пор пока не происходят изменения протокола, хоть о них и предупреждают заранее. Окажется на каком-то из серверов необновленный dehydrated/certbot — и обнаружится это спустя 1-3 месяца после введения изменений.

                                0
                                Для этого они просят указывать email при получении сертификата.
                                Мне недавно пришло письмо с указанием доменов, где находится старый certbot с сообщением, что надо бы обновить, так как старое апи будет отключено.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  0

                                  Позвольте мне сливать свои данные, хотя бы, безопасно.
                                  Замочек не гарант серьёзности, и никогда им не был. Если человек замочек наверху увидел, то и домен на ошибки почекать должен. Ну а горбатого, как говорится..

                                    0
                                    Хром собирался выпилить адресную строку и оставить один замочек. Часто шлют фишинг на стим, который при авторизации открывает окошко хрома с замочком и правильным адресом, правда не всегда определяет платформу и смотрится странно окно от десятки на маке.
                                      0
                                      Ну к счастью так и не сделали. А про остальное — тут к сожалению всё просто: Внимательность и только. Let's Encrypt от невнимательности и чрезмерной доверчивости не спасает.

                                      Возращаемся к смыслу технологии https:
                                      защитить обмен данных между клиентом и сервером. Не более.
                                    0
                                    Если сайтик сделан мошенниками с целью заработка, никакая жаба не помешает им потратить сотку на сертификат. Предлагаете наоборот, поднять цену скажем до миллиона?

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое