Titkosítsuk | |
Teremtés | 2014. november 18 |
---|---|
Alapítók | Electronic Frontier Foundation , Mozilla Foundation és Michigan University |
Szlogen | Titkosítsa az egész webet |
A központi iroda |
San Francisco, Egyesült Államok |
Tevékenység | Titkosítás |
Termékek | X.509 |
Anyavállalat | Internetbiztonsági kutatócsoport ( in ) |
Hatékony | 8 (2016) |
Weboldal |
letsencrypt.org lencr.org |
Költségvetés | 3 600 000 USD (2019) |
A Let's Encrypt (rövidítve LE ) egy tanúsító hatóság, amely elindult2015. december 3(Béta nyilvános verzió). Ez a hatóság ingyenes X.509 tanúsítványokat biztosít a TLS kriptográfiai protokollhoz egy automatizált folyamat segítségével, a jelenlegi összetett folyamat végrehajtása érdekében, amely magában foglalja a manuális létrehozást, az érvényesítést, az aláírást, a tanúsítványok telepítését és a biztonságos webhelyek megújítását. Ban ben2016. szeptember, több mint 10 millió tanúsítványt állítottak ki.
Ban ben 2017. február, A titkosítást az összes regisztrált francia domain 13,70% -a használta.
Ban ben 2019 december, A titkosítás a TLS tanúsítványok 54,67% -át biztosítja.
A projekt célja a biztonságos internet-kapcsolatok használatának általánosítása. A fizetés, a webkiszolgáló konfigurálása, az érvényesítési e-mailek és a tanúsítványok lejárati kezelésének megszüntetésével a projekt jelentősen csökkenti a titkosítás beállításának és fenntartásának bonyolultságát. A GNU / Linux szerveren állítólag csak két parancs végrehajtása elegendő a HTTPS titkosítás, a tanúsítványok megszerzésének és telepítésének beállításához, és ez néhány tíz másodperc alatt.
Erre a célra van egy csomag, amely közvetlenül a Debian tárolókból érhető el. A csomag azonban elérhető a GitHubon .
A Let's Encrypt az Internet Security Research Group (ISRG) által nyújtott szolgáltatás . A fő támogatók az Electronic Frontier Foundation (EFF), a Mozilla Foundation , az Akamai , a Cisco Systems , a PlanetHoster és az OVHcloud . Más partnerek, például IdenTrust CA, University of Michigan (UM), Stanford Law School, Linux Foundation , Free Company , valamint Stephen Kent a Raytheon / BBN Technologies-től és Alex Polvi a CoreOS-tól.
A Let's Encrypt tulajdonában van egy RSA gyökértanúsítvány, amelyet egy közvetlenül nem használt hardver biztonsági modul tárol . Ezt a tanúsítványt később egy ECDSA tanúsítvánnyal kívánják kicserélni, amelyet az IdenTrust (in) tanúsító hatóság által aláírt két köztes tanúsítvány aláírására használnak . Az egyiket a kiállított tanúsítványok aláírásához, a másikat biztonsági tanúsítványként használják az elsővel kapcsolatos problémák esetén. A Let Encrypt tanúsítványokat alapértelmezés szerint érvényesíteni és elfogadni lehet, mivel az IdenTrust tanúsítványt előre telepítik a legnépszerűbb internetes böngészőkre. Hosszú távon a Let's Encrypt tanúsítványokat várhatóan előre telepítik közvetlenül az alkalmazásokba.
Az új tanúsító hatóság regisztrációinak automatizálásához használt kihívás-válasz protokoll az úgynevezett Automated Certificate Management Environment ( ACME ). Számos kérést tartalmaz a tanúsítvány által lefedett tartomány webszerverére. A válaszoktól függően a domain regisztrálóinak ellenőrzése biztosított (tartomány érvényesítése). Ennek elérése érdekében az ACME szoftverkliens egy speciális TLS-kiszolgálót telepít a rendszerkiszolgálóra, amely speciális kéréseket fogad az ACME tanúsító hatóság szervertől a TLS „Kiszolgálónév jelzés” protokoll kiterjesztést használva. Ez a folyamat csak egy tartományhoz kiadott első tanúsítványra (Trust On First Use, TOFU) vonatkozik. Ezt követően egy érvényesítés alternatív módját alkalmazzák egy meglévő tanúsítványon keresztül. Így ha egy meglévő tanúsítvány ellenőrzése elvész, akkor egy harmadik féltől kell megszereznie egy tanúsítványt annak érdekében, hogy megszerezhessünk egy másik Let's Encrypt tanúsítványt.
Az érvényesítési folyamatokat többször hajtják végre külön hálózati útvonalakon. A DNS-bejegyzések ellenőrzése több földrajzi pontból történik, hogy a DNS-hamisító támadásokat nehezebb legyen végrehajtani.
Az ACME interakciók a JSON-dokumentumok HTTPS-kapcsolaton keresztül történő cseréjén alapulnak. A specifikáció tervezete elérhető a GitHub oldalon , és egy verziót benyújtottak az Internet Engineering Task Force- nak egy internetes szabvány javaslataként.
A tanúsító hatóság a Go nevű Boulder nevű szoftverből áll , amely megvalósítja az ACME protokoll szerver részét. Ez az ingyenes szoftver a Mozilla Public License 2-es verziója alatt jelent meg. Ezenkívül egy RESTful programozási felületet is biztosít, amely elérhető egy TLS titkosított csatornán keresztül.
Tanúsítványkezelő program Python-ban és Apache nevű licenc alatt certbottelepítve van az ügyfélre (egy regisztráló webszerverére). Ez a program kéri a tanúsítványt, elvégzi a tartomány érvényesítési folyamatát, telepíti a tanúsítványt, konfigurálja a HTTPS titkosítást a HTTP szerveren, majd megújítja a tanúsítványt. A telepítés után egyetlen parancs futtatása elegendő egy érvényes tanúsítvány telepítéséhez. További opciók, például OCSP tűzés vagy HTTP Strict Transport Security is engedélyezhetők. Az automatikus konfigurációt eleinte csak az Apache és az Nginx segítségével hajtják végre .
Ennek a projektnek a gyökerei az Electronic Frontier Foundation által a Michigani Egyetemmel és egy független Mozilla projekttel közös projektben kereshetők, amely a Let's Encrypt-ben egyesült. 2014-ben megalakult az anyaszervezet, az ISRG. A Titkosítás elindítását ekkor jelentették be2014. november 18.
A 2015. január 28, az ACME protokollt hivatalosan benyújtották az IETF-hez szabványosítás céljából. A2015. április 9, az ISRG és a Linux Alapítvány bejelentette együttműködésüket. Gyökér és köztes tanúsítványokat június elején állítottak elő.
A Június 16, kihirdették a szolgáltatás végső indítási dátumát. Az első bizonyítvány a 20072015. július 27, amelyet részleges terjesztési időszak követ, a szolgáltatás biztonságának és rugalmasságának biztosítása érdekében. Hét körül várható a szolgáltatás általános elérhetősége2015. szeptember 14, ha minden a tervek szerint haladt. A2015. augusztus 7, az indítási ütemtervet módosították, hogy több idő álljon rendelkezésre a rendszer biztonságának és stabilitásának biztosításához, az első kiosztott tanúsítvány elhalasztása a 2007 2015. szeptember 7.
A 2015. szeptember 14, A Let's Encrypt terjeszti első tanúsítványát a helloworld.letsencrypt.org domainhez . Ugyanezen a napon az ISRG benyújtja gyökértanúsítványát a Mozilla , a Microsoft , a Google és az Apple számára . A2015. október 19, kereszt aláírást hajtottak végre az IdenTrust segítségével, és a tanúsítványokat most már minden webböngésző felismeri és érvényesíti. A héten2015. november 16, a szolgáltatást a nyilvánosság számára hozzáférhetővé tették.