Let's Encrypt выдал миллиард сертификатов
27 февраля 2020 года бесплатный центр сертификации Let’s Encrypt выдал миллиардный сертификат.
В праздничном пресс-релизе представители проекта вспоминают, что предыдущий юбилей в 100 млн выданных сертификатов отмечали в июне 2017 года. Тогда доля HTTPS-трафика в интернете составляла 58% (в США — 64%). За два с половиной года показатели существенно выросли: «Сегодня 81% загружаемых страниц по всему миру используют HTTPS, а в Соединенных Штатах мы находимся на уровне 91%! — радуются ребята из проекта. — Невероятное достижение. Это гораздо более высокий уровень конфиденциальности и безопасности для всех».
Let’s Encrypt сыграл очень важную роль в том, чтобы сертификаты HTTPS стали утилитарным стандартом, а надёжное шифрование трафика — совершенной нормой в интернете.
Бета-тестирование инновационного центра сертификации Let’s Encrypt началось в декабре 2015 года. Уникальной особенностью нового центра стало то, что процесс выдачи сертификатов изначально был полностью автоматизирован.
Автоматическая настройка HTTPS на сервере происходит в два этапа. На первом этапе агент уведомляет центр сертификации о правах администратора сервера на доменное имя. Например, проверка может включать в себя создание определённого поддомена или установку внутри домена HTTP-ресурса с определённым URI.
Let«s Encrypt идентифицирует веб-сервер с запущенным агентом по открытому ключу. Открытый и закрытый ключи генерируются агентом перед первым подключением к центру сертификации. Во время автоматической проверки агент выполняет ряд тестов: например, подписывает открытым ключом полученный одноразовый пароль и предъявляет HTTP-ресурс с определённым URI. Если цифровая подпись верна и все тесты пройдены — агенту выдаются права на управление сертификатами для домена.
На втором этапе агент может запрашивать, обновлять и отзывать сертификаты. Для автоматической выдачи сертификата используется протокол аутентификации класса «challenge-response» (вызов-ответ, вызов-отклик) под названием Automated Certificate Management Environment (ACME). Все манипуляции с сертификатом осуществляются без остановки веб-сервера при помощи ACME-клиента Certbot. Он прост в использовании, работает на большинстве операционных систем и отлично документирован. Есть экспертный режим с расширенным набором настроек. Кроме Certbot, существует множество других ACME-клиентов.
Let’s Encrypt совершил настоящую революцию на рынке, где раньше властвовали коммерческие центры сертификации. Теперь они практически вышли из бизнеса выдачи DV-сертификатов (сертификаты с подтверждением домена, Domain Validation), хотя продолжают продавать сертификаты с подтверждением организации (Organization Validation, OV) и сертификаты высокой надёжности (Extended Validation, EV), которые Let’s Encrypt не выдаёт, потому что их нельзя автоматизировать. Впрочем, это нишевый товар, а на массовом рынке безраздельно властвуют бесплатные сертификаты Let’s Encrypt.
Let’s Encrypt сделал стандартом автоматический перевыпуск сертификатов. Несмотря на краткий срок их жизни (90 дней), автоматическая процедура устраняет «человеческий фактор», который традиционно представляет основную уязвимость в безопасности. Администраторы доменов зачастую просто забывают продлить сертификаты, из-за чего сервисы выходят из строя. Последний такой казус произошёл с Microsoft Teams. 3 февраля 2020 года этот сервис для совместной работы ушёл в офлайн из-за просроченного сертификата.
Автоматическая замена сертификатов по протоколу ACME исключает возможность подобных инцидентов.
Хотя проект Let’s Encrypt обслуживает половину интернета, в физическом мире это маленькая некоммерческая организация: «За эти два с половиной года наша организация выросла, но совсем немного! — пишут они. — В июне 2017 года мы обслуживали около 46 млн веб-сайтов силами 11 штатных сотрудников и с годовым бюджетом в $2,61 млн. Сегодня мы обслуживаем почти 192 млн веб-сайтов с 13 штатными сотрудниками и годовым бюджетом примерно в $3,35 млн. Это означает, что мы обслуживаем более чем вчетверо больше сайтов всего с двумя дополнительными сотрудниками и 28-процентным увеличением бюджета».
Поддержка проекта происходит через пожертвования и спонсорство.
К настоящему времени HTTPS стал стандартом де-факто в интернете. С прошлого года основные браузеры предупреждают пользователей об опасности подключения к сайтам, которые не шифруют трафик по HTTPS. В таком изменении ландшафта безопасности велика заслуга Let’s Encrypt.
Ко всему прочему, Let’s Encrypt буквально возродил инфраструктуру публичных XMPP-серверов. Теперь Jabber работает с надёжным шифрованием как на уровне клиент-сервер, так и сервер-сервер, а абсолютное большинство сертификатов выдал Let’s Encrypt.
«Как сообщество мы сделали невероятные вещи, чтобы защитить людей в интернете, — сказано в пресс-релизе. — Выдача одного миллиарда сертификатов является подтверждением всего прогресса, которого мы достигли как сообщество».