За последний год количество узлов в домене .RU, поддерживающих TLS (HTTPS), увеличилось в три раза. По статистике проекта «Домены России», количество таких узлов за год выросло с 34205 до 103616. Это очень большой рост.
Эксперты объясняют, что массовое внедрение HTTPS связано с выдачей автоматических сертификатов CloudFlare, а также началом деятельности центра сертификации Let`s Encrypt, который позволяет автоматически выпускать бесплатные сертификаты для веб-ресурсов.
Подавляющее большинство сертификатов со сроком действия 6 месяцев выпущены УЦ Comodo для облачного сервиса CloudFlare.
Почти все краткосрочные сертификаты выданы Let's Encrypt. Эта организация специально поощряет использование краткосрочных сертификатов, у которых есть два важных преимущества:
- Ограничение ущерба от компрометированных ключей и неверно выпущенных сертификатов.
- Поощрение автоматизации, которая необходима для простоты использования HTTPS.
Верхушка рейтинга УЦ в июне 2016 года
- COMODO ECC Domain Validation Secure Server CA 2
- Let's Encrypt Authority X3
- GlobalSign Domain Validation CA — SHA256 — G2
- COMODO RSA Domain Validation Secure Server CA
- WoSign CA Free SSL Certificate G2
- StartCom Class 1 DV Server CA
- thawte DV SSL CA — G2
- StartCom Class 1 Primary Intermediate Server CA
- RapidSSL SHA256 CA — G3
К сожалению, защита TLS охватывает всего 3% российских сайтов, но троекратный рост за год внушает большой оптимизм. «Сложно назвать какую-то другую интернет-технологию, проникновение которой показывало бы столь же большой рост в 2015-16 гг., — пишет «Нетоскоп». — Для сравнения, согласно историческим данным, в мае-июне 2013 года число уникальных валидных сертификатов для имён .RU едва превышало 4000. В июне 2016 этот показатель составляет свыше 83000, то есть, за три года — двадцатикратный рост».
В методике проекта «Домены России» учитываются узлы, которые вернули валидный SSL-сертификат, совпадающий по имени с доменом, адресующим данный узел. Проверка производится с использованием TCP и номера порта 443.
Количество сертификатов меньше, чем количество доменов в статистике, потому что сертификат может содержать несколько имён: например, с префиксом www, или имена «дополнительных» сайтов, относящихся к одному разветвлённому ресурсу: forum.test.ru, blog.test.ru и т.д.
См. также:
«Let's Encrypt выходит в публичную бету: HTTPS всюду, каждому, отныне и навсегда бесплатно»
«Let's Encrypt: получение сертификата по шагам»
«Yet another инструкция по получению ssl-сертификата Let's Encrypt»
Комментарии (35)
a553
13.07.2016 23:12-1Спасибо, законотворцы. За год проникновение TLS в Рунете выросло в три раза
vkegdzoy
13.07.2016 23:47+1Что там, я со скайпа на tox перешёл. Поставил плагин https-everywhere. Раньше было плевать.
roboq6
15.07.2016 03:44А почему сейчас Вам уже не плевать?
vkegdzoy
15.07.2016 13:42Сгущаются тучи. И скайп стал зависать.
servermen
15.07.2016 18:13Так это просто маршрутизацию «Усовершенствовали», выкинув из пиринга Level 3, вот регулярно теперь и стало отваливаться соединение с иностранными серверами. У трутней такая петрушка уже где-то с апреля месяца. Глянуть отчет по состоянию автономной системы можно тут: https://radar.qrator.net/as16345/providers#startDate=2016-04-04&endDate=2016-07-04&tab=left. То ли ещё будет!
Mako_357
13.07.2016 23:56Народ, подскажите. Использовал ли кто-нибудь из вас сертификат Let's Encrypt для серьёзных площадок, например, где производится онлайн оплата или закрытая часть с конфиденциальными данными?
shteyner
14.07.2016 17:27Да, совершенно ничего страшного в этом нет.
Но, есть один плюс коммерческих сертификатов — страховка, в некоторых местах она нужна что бы тылы прикрыть)
chelaxe
14.07.2016 09:52+1Будут ли они поддерживать домены в .onion и когда? Может кто знает как и где можно прикупить сертификат для домена в .onion?
mayorovp
14.07.2016 11:10-1Зачем в .onion вообще нужен HTTPS? Там же и без того несколько слоев шифрования.
ivan386
14.07.2016 12:02+1Видимо чтобы трафик шифрованный был и от браузера до прокси. Заодно зелёный замочек будет светится.
chelaxe
14.07.2016 12:23+2В проекте используются библиотеки openpgpjs и crypto-js. Некоторые браузеры (Chrome) не желают работать с этими библиотеками без https. Сейчас пока создан корневой сертификат и им подписан сертификат для домена.
ivan386
14.07.2016 10:05-9Приватный ключь надеюсь не сливается Let's Encrypt. Ато они такие добрые мы и сгенерируем его тебе и сертификат выдадем.
mistiman
14.07.2016 11:29+2Вам осталось совсем немного, чтобы понять как работает асинхронное шифрование, продолжайте
А если без сарказма, то приватный ключик никогда не попадает на серверы LEivan386
14.07.2016 11:46Let's Encrypt: получение сертификата по шагам
3. Запустите установку и генерацию с помощью
./letsencrypt-auto --agree-dev-preview --server \https://acme-v01.api.letsencrypt.org/directory -a manual auth
Вам будет предложено ввести электронную почту для восстановления в будущем.
Ключ -a manual позволит сгенерировать ключи в ручном режиме без их автоматической установки на веб-сервер.
shodan_x
14.07.2016 10:54+1А есть еще Comodo PositiveSSL, 13.2 доллара за трехлетний сертификат, без гемороев как у летскриптов.
magic4x
14.07.2016 11:30Это каких же?
Snowly
14.07.2016 13:04Например я попробовал поставить на сетевое хранилище QNAP. Не осилил :( Пришлось взять сертификат в другом месте.
zelenin
14.07.2016 14:08+1не осилили что? запустить клиента? или прикрутить сертификат? процедура достаточно банальна, если понимать как это работает. Проблема может возникнуть максимум при автоматизации обновления сертфиката.
xMushroom
14.07.2016 16:30А без автоматизации зачем они нужны? Есть StartSSL, где бесплатно и на год.
zelenin
14.07.2016 16:41перечитайте коммент — он не про нужность автоматизации.
xMushroom
14.07.2016 17:00+2Вообще вся ветка комментов про геморрои у LetsEncrypt. Вы пишете, что геморроев нет, кроме как при автоматизации. Мой коммент про то, что автоматизация там и есть самая фишка, а без нее преимущества перед другими решениями нет, а есть недостаток — краткосрочный сертификат нужно часто обновлять вручную. А если с автоматизацией, то геморрои таки есть. Как-то так.
zelenin
14.07.2016 17:51нет, я пишу, что процедура проста, и максимум могут возникнуть сложности с автоматизацией, т.к. необходимо корректно все настроить и релоадить сервис, которому нужен сертификат.
Лично у меня с этим гемороя не было и нет — я пользуюсь клиентом на go lego. Поставил на крон что-то типа lego --renew && nginx reload раз в месяц.
Ну а с тезисом, что «если нет автоматизации, то зачем оно нужно», я согласен.
Lindon_cano
14.07.2016 13:41+4Эх, им бы еще поддержку OpenNIC'овских зон(впрочем тикет про это есть, думаю впилят).
А я вот сижу и думаю нужна ли хаброкоммунити статья про автоматическое генерирование сертификатов при первом обращении к домену с использованием lua-resty-auto-ssl или нет. Только что закончил допилку пакета openresty под Ubuntu Trusty для работы с этим делом(и все лежит в отдельном ppa), но вот стоит ли писать статью в песочницу или те кому надо и так разберутся для меня пока вопрос.
WingedRat
14.07.2016 15:40+2Поставил сертификат на свой почтовый сервер после прочтения статьи.
Спасибо за напоминание о Let's Encrypt! :)
old_bear
15.07.2016 00:36Поясните нубу плиз. По новым мега-законам все, кто поставил себе сертификат на личный nas или почтовый сервер, должны обеспечить органы ключами? [даже если это технически невозможно]
Lindon_cano
15.07.2016 11:46Нет, вы не обязаны. Это операторы связи обязаны предоставить ваши ключи. В РФ эти горе-законы клепают идиоты настолько далекие от IT, что они вообще не понимают о чем пишут.
old_bear
15.07.2016 13:10Ну ок, пусть предоставляют. :D
Хотя печаль в том, что в наших реалиях подправить закон совсем недолго. Небольшое «уточнение формулировки» и мы все станет должны органам.
Scratch
c 14 числа (кое-где уже сегодня) должны впилить поддержку ddns, будет еще больше!
farafonoff
Кто именно должны впилить эту поддержку? Можно ссылку на детали?
Scratch
https://github.com/letsencrypt/boulder/pull/1969