Let's Encrypt объявил о кросс-сертификации от IdenTrust

b33dc94e88554756b9593cae9a242ae8.gif
На сайте проекта Let's Encrypt появилась информация, что 19 октября 2015 удостоверяющие центры «Let's Encrypt Authority X1» и «Let's Encrypt Authority X2» получили кросс-подписи от IdenTrust. Теперь сертификаты выпущенные Let's Encrypt стали доверенными для всех основных браузеров. Проверить это можно, зайдя на страницу, защищенную первым сертификатом Let's Encrypt: helloworld.letsencrypt.org. Если ваш браузер не выдает предупреждения, значит считает сертификат этого домена доверенным.

о кросс-сертификатах

Кросс-сертификат — сертификат УЦ у которого значения полей «Субъект» и «Издатель» различаются. Говоря проще, если сертификат УЦ не является самоподписанным, то это кросс-сертификат. Кросс-сертификация необходима для построения иерархической и распределенной моделей доверия. В иерархической модели доверия самоподписанным является только корневой УЦ. Он подписывает сертификаты УЦ следующего уровня иерархии, те — еще на уровнь ниже, и так далее. Распределенная модель доверия подразумевает, что все УЦ имеют самоподписанные сертификаты и дополнительно взаимно кросс-сертифицируются со всеми остальными УЦ входящими в список этого распределенного доверия.


Корневой УЦ «Let's Encrypt — ISRG Root X1» будет добавлен в доверенные центры сертификации браузеров позже, однако достижение соответствующих договоренностей не умаляет значимость произведенной кросс-сертификации. Ведь браузеры пользователей должны обновиться, чтобы обновить свои списки доверия. Без этого пользователи какое-то время еще получали бы предупреждения о недоверенном сертификате при посещении всех сайтов защищенных сертификатами Let's Encrypt.
«Let's Encrypt Authority X1» – основной, а «Let's Encrypt Authority X2» – резервный УЦ, на случай катастрофы и невозможности использования X1. Таким образом была предусмотрена отказоустойчивость выпускающего УЦ.
Закрытые ключи корневого и выпускающих УЦ хранятся на HSM, что гарантирует высокий уровень защиты от кражи ключей или несанкционированного доступа к ним.

об HSM

HSM или Hardware Security Module или Аппаратный Модуль Безопасности, представляет собой устройство, защищенное от постороннего вмешательства, как аппаратного, так и программного. При обнаружении попытки несанкционированного доступа, HSM может необратимо уничтожить данные, хранящиеся на нем. Внутри HSM генерируется и хранится ключевая пара и осуществляются все необходимые криптографические операции. Например, подпись сертификата конечного пользователя производится непосредственно внутри HSM по соответствующей команде, полученной от УЦ. Для доступа к настройкам или, например, запуска HSM требуется одновременная аутентификация нескольких сотрудников — хранителей ключей. Существуют как локально устанавливаемые модули HSM с интерфейсами USB или PCI-X, так и сетевые HSM c Ethernet интерфейсом.


Let's Encrypt поддерживает технологию Certificate Transparency, поэтому все выпущенные сертификаты можно посмотреть по логу CT. Из лога видно, что сертификаты выдаются пока сроком на 3 месяца.

о Certificate Transparency

Технология Certificate Transparency призвана сделать «прозрачным» выпуск сертификатов Удостоверяющими Центрами. Для этого информация обо всех выпущенных сертификатах попадает в лог файл. Этот лог доступен только на добавление информации и криптографически защищен от постороннего вмешательства или удаления отдельных записей. Информация о выпускаемом сертификате попадает в лог до фактического выпуска сертификата. Таким образом предотвращается возможность выпустить сертификат не оставив никаких следов.


Полноценный запуск проекта назначен на неделю с 16 ноября. Полагаю, ребята из Let's Encrypt должны хорошенько подготовиться к потенциально большой нагрузке в первые часы и дни после запуска.

© Habrahabr.ru