Let's Encrypt выходит в публичную бету: HTTPS всюду, каждому, отныне и навсегда бесплатно
Let’s Encrypt — это некоммерческая инициатива, предоставляющая бесплатный, автоматизированный и открытый CA (certificate authority — центр сертификации), созданный ISRG на благо общества:
- бесплатно: владелец всякого доменного имени может воспользоваться Let’s Encrypt и получить доверенный (читать как «признаётся любым современным браузером») TLS-сертификат (TLS — наследник SSL) совершенно бесплатно;
- автоматизированно: Let’s Encrypt предоставляет бесплатное и свободное программное обеспечение (клиент), которое, будучи настроенным на веб-сервере, может полностью автоматически запрашивать безвозмездно предоставляемые сертификаты Let«s Encrypt, автоматически конфигурировать и обновлять их;
- безопасно: Let«s Encrypt строится как платформа для продвижения наилучших практик безопасности TLS как на стороне центра сертификации (CA), так и на стороне веб-сайтов, помогая администраторам должным образом настраивать веб-серверы;
- прозрачно: информация о выпуске и отзыве каждого сертификата Let’s Encrypt доступна вполне и публично так, что любой желающий изучить её сможет это сделать;
- свободно: протоколы взаимодействия со CA, позволяющие автоматизировать процессы выпуска и обновления сертификатов, будут опубликованы как открытый стандарт для максимального внедрения;
- кооперативно: как и любой протокол, лежащий в основе Интернета и Всемирной паутины, Let«s Encrypt является совместным, неподконтрольным какой-либо конкретной организации некоммерческим проектом созданным исключительно для того, чтобы принести пользу обществу.
Let«s Encrypt выходит в открытое бета-тестирование сегодня, 3 декабря 2015 года. Публичная бета означает, что все системы Let’s Encrypt становятся доступными для каждого, кто хотел бы получить сертификат. Регистрироваться для ожидания инвайта больше не нужно.
Закрытое бета-тестирование Let’s Encrypt началось 12 сентября 2015 года, и с тех пор было выпущено более 11 тысяч сертификатов, и этот опыт дал Let’s Encrypt уверенность в том, что все системы вполне готовы для публичной беты.
Для Всемирной паутины наконец настало время сделать большой шаг вперёд по направлению к безопаности, конфиденциальности и шифрованию. Let’s Encrypt был создан для того, чтобы сделать HTTPS стандартом по умолчанию, и для осуществления этой цели работа нового CA предусматривает максимальное упрощение процессов получения, обновления, отзыва и управления сертификатами.
У Let’s Encrypt ещё есть много работы прежде чем пометка «бета» может быть сброшена окончательно, в частности — в области процесса работы пользователей: ставка сделана на автоматизацию, и посему будет потрачено много усилий на обеспечение безукоризненной работы клиента на широком спектре платформ, для чего Let’s Encrypt будет пристально следить за отзывами пользователей, изучать их и совершать необходимые улучшения в работе как можно скорее.
Let«s Encrypt зависит от поддержки широкого разнообразия организаций и конкретных людей. Пожалуйста, рассмотрите возможность участия, и если ваша компания или организация желает помочь, то вы можете написать сюда.
Этот вопрос поднимался неоднократно: да, Let’s Encrypt выдаёт сертификаты, время жизни которых составляет 90 дней; люди, задающие этот вопрос, обычно убеждены, что 90 дней — это слишком мало, и что было бы неплохо, если бы Let’s Encrypt выдавались сертификаты, живущие год или даже больше, как это делают некоторые другие CA.
90-дневные сертификаты — вовсе не новость для Всемирной паутины. Согласно телеметрии Firefox, 29% всех TLS-транзакций используют 90-дневные сертификаты, и ни одно иное время жизни не составляет большую долю транзакций. Точка зрения Let’s Encrypt состоит в том, что короткие времена жизни сертификатов имеют два главных, основных преимущества:
- ограничение ущерба от компрометированных ключей и неверно выпущенных сертификатов, так как таковые используются на меньшем промежутке времени;
- короткоживущие сертификаты поддерживают и поощряют автоматизацию, которая абсолютно необходима для простоты использования HTTPS. Если мы собираемся мигрировать всю Всемирную паутину на HTTPS, то вовсе нельзя ожидать ручного обновления сертификатов от администратора каждого существующего сайта. Как только выпуск и обновления сертификатов станет полностью автоматизированным, более короткие времена жизни сертификатов наоборот станут более удобными и практичными.
Именно по этим причинам Let’s Encrypt не предлагает сертификаты с большими временами жизни, но поскольку также вполне ясно, что сервис Let’s Encrypt ещё молод, и что автоматическое управление сертификатами в новинку подавляющей части подписчиков, именно 90-дневное время жизни было выбрано как всё ещё доставляющее достаточный для комфортного ручного обновления временной промежуток (Let’s Encrypt рекомендует своим подписчикам обновлять свои сертификаты каждые 60 дней), если это по какой-либо причине необходимо. Тем не менее, однако, как только программное обеспечение автоматического обновления сертификатов будет массово внедрено и покажет свою надёжность и стабильность, Let’s Encrypt планирует понизить максимальное время жизни ещё более.