1990-е: В интернете никто не знает, что ты — собака.
Сегодня: Наш анализ данных показывает, что он — коричневый лабрадор. Он живёт с чёрно-белым биглем, и по-моему, у них есть отношения.
Совершенно бесплатные сертификаты для шифрования веб-трафика, которые обещали начать выдавать в середине 2015 года, слегка запоздали, но не исчезли совсем. 14 сентября Фонд Электронных Рубежей (Electronic Frontier Foundation, EFF) торжественно объявили о факте выдачи первого такого сертификата системой Let’s Encrypt.
Let’s Encrypt – свободный, бесплатный центр сертификации (certificate authority, CA). Он должен обеспечить всех желающих совершенно бесплатными сертификатами, и тем самым, постепенно перевести весь интернет на шифрование трафика.
По понятным причинам, правозащитники и борцы за свободу обоими руками приветствуют эту инициативу. HTTPS (правильно работающий) означает защиту от прослушки и кражи персональных, коммерческих и других данных пользователей.
Ещё пару лет назад все центры сертификации продавали сертификаты, да и сегодняшние бесплатные обладают рядом ограничений. После покупки требовались знания для того, чтобы настроить поддержку сертификатов в браузере. Теперь эти времена уходят в прошлое.
Пока ещё новый центр не обладает всеми правами, и его сертификаты не имеют перекрёстной подписи, в результате чего они не воспринимаются браузерами как надёжные (браузер выдаст сообщение «untrusted»). В EFF уверены, что примерно через месяц будет завершена соответствующая работа в консорциуме IdenTrust, после чего новые бесплатные сертификаты будут работать без шума и пыли.
EFF позаботились и о людях, которые будут получать сертификаты – они подготовили утилиту letsencrypt, которая способна автоматически настраивать конфигурацию для наиболее популярных веб-серверов, Apache и Nginx, и автоматически поддерживать сертификат в актуальном состоянии.
В EFF отмечают о гигантской работе, проделанной ими на пути к центру бесплатной сертификации за несколько лет, и считают, что пора открывать шампанское и праздновать. Для праздника даже предлагается специальная саркастическая композиция "Вечеринка в АНБ", со строчками вроде «Нам приватность не нужна», «Вечеринка в АНБ идёт 24 часа в сутки» и «На конце каждой ПРИЗМы есть радуга» (намёк на инициативу PRISM по глобальной прослушке, которую разоблачил Эдвард Сноуден).
Комментарии (38)
ComputerPers
16.09.2015 08:38+7Главное чтобы сертификаты были доверенными, тогда RIP Комодо и ко.
Raegdan
16.09.2015 10:06Конечно будут, иначе какой вообще смысл создавать такой проект? Достаточно было бы юзер-френдли обвязки над easy-rsa. Мне кажется, этот CA просто подпишет один из существующих общепризнанных CA. Сертификаты же позволяют наследовать доверие через сколько угодно уровней, так что если получится договориться с одним из таких — мороки с введением нового корневого можно будет избежать.
ivanych
16.09.2015 10:29+3Лучше как-раз заморочиться с корневым, чтобы не зависеть ни от кого.
ximaera
16.09.2015 16:52Они и заморочились. Их сертификат будет корневым как минимум в Firefox и Chrome. Но вот проблема: куча пользователей сидит на браузерах образца 2010 года и ничего на системе не обновляет. Поэтому подпись от IdenTrust необходима, иначе будет слишком много нареканий.
Эта проблема, собственно, была одной из самых сложных, остальное-то более-менее дело техники (даже непонятно, почему никто из существующих CA не сделал того же).ivanych
16.09.2015 16:57+1> даже непонятно, почему никто из существующих CA не сделал того же
Наоборот же, непонятно, зачем IdenTrust это сделал. Это же конец существующих CA.
Хотя, IdenTrust, получается, выбил себе немного времени, пока браузеры не обновятся:)ximaera
16.09.2015 17:04Я имею в виду, почему нельзя было раньше сделать так, чтобы получение TLS-сертификата не было болью в заднице? Выучите man openssl, man csr, вышлите то, пропишите это. Всё же превосходно автоматизируется (пока вы не захотите EV-сертификат, конечно).
А так — да, конечно, динозаврам рынка CA придётся нелегко. Есть, конечно, те же EV, но вряд ли от них большой доход, уже даже не все банки покупают себе EV.
ApeCoder
16.09.2015 12:56У меня вопрос в таком случае — как они обеспечат воспринимаемую уникальность сертификатов (чтобы соединяясь с Райвффайзенбанком я полнимал, что это он, а не Raifaizenbank inc — индивидульаный предприниматель зарегестрированный в Нижней Шепетовке). Насколько я знаю, сейчас есть некая проверка при выдачи сертификата — или нет?
1x1
16.09.2015 13:58Для привязки домена нужно пройти проверку, и только после неё можно запросить сертификат.
ApeCoder
16.09.2015 14:04А они сделают //бесплатную// проверку?
1x1
16.09.2015 14:35Да, иначе сертификат не будет бесплатным. Проверяется только владение доменом, а это легко автоматизируется.
force
16.09.2015 14:45+1Владение доменом — унылая проверка. Куплю я домен paypai.co, и буду устраивать фишинг под PayPal, всё будет хорошее и зелёное.
А если они будут выдавать вилдкарт сертификаты, то вообще всё плохо будет paypal.com.someevilsite.com1x1
16.09.2015 15:21Вы и сейчас можете это сделать. Только проверки домена достаточно для получения множества сертификатов, в том числе и wildcard.
force
16.09.2015 15:43Да, но сами сертификаты платные. Причём не такие уж и дешёвые по сравнению с доменами. Т.е. для фишеров получение сертификата это дополнительная статья расходов, которая делает схему с покупкой https менее выгодной.
ximaera
16.09.2015 17:05+1Да ладно, StartSSL, Comodo и WoSign годами выдавали сертификаты бесплатно. Не было такой статьи расходов.
force
16.09.2015 18:35StartSSL, насколько я помню, требовал много личной информации для выдачи, и были ограничения по использованию. WoSign — в рекламных целях. Comodo вроде бы только email-сертификтаы выдавал, хотя могу ошибаться.
Но с учётом того, что сказал 1x1 про триальные, я понял, что проблема в принципе не очень существенная, хотя слегка портит работу с сертификатами. Т.е. если платёжный шлюз берёт себе бесплатный или копеечный сертификат — деньги доверять ему не стоит, придётся теперь следить за этим.
sunnybear
16.09.2015 22:43WoSign выдает отличные сертификаты. С StartSSL были проблемы, с WoSign — никаких.
lexore
16.09.2015 22:24+1Сертификат стоит 10 долларов в год. Кстати, так же как и домен.
А некоторые лоукостеры за домен+сертификат дают неплохую скидку.
Если кто-то будет красть деньги, прикидываясь paypal, 20$ он наверное отобьет.
wrewolf
16.09.2015 14:54+1у них задача дать всем сертификаты, а не обеспечить валидацию.
Для банков будет выходом покупать сертификаты с красивыми плашками
ComodoHacker
16.09.2015 18:32Это будет их собственный корневой CA, признанный браузерами.
Смысл проекта в том, чтобы перевести весть трафик на HTTPS, а не проводить валидацию. Для получения доверенных сертификатов нужно обращаться к другим CA.
Защита трафика от прослушки и проверка владельца сертификата — разные вещи. Проект Let's Encrypt нацелен на первую задачу.Raegdan
19.09.2015 15:43Для решения первой задачи достаточно было бы сверстать красивый PDF с элементарной инструкцией вроде:
$ cd easy-rsa $ source .vars $ ./build-ca $ ./build-key-server
Единственный его недостаток — палёность получившегося сертификата. Разве нет?
achekalin
16.09.2015 10:32+2Я бы с удовольствием получил бы у них серт. уже сейчас. Что из CA будет доверенным — это вопрос времени, но все шансы за (хотя, конечно, все участники рынка не рады — им почти за воздух брать деньги всегда интересно), а начинать использовать хотя бы для своих целей вполне себе вариант.
Только бы они wildcard выдавали, а не только на конкретное hostname.lexore
16.09.2015 22:26При бесплатности и автоматизации выдачи можно сделать и для кучи hostname.
Но если сервис подразумевает постоянную генерацию доменов, этот вариант не очень, согласен.
tendium
16.09.2015 11:41Кстати, кому прям не терпится, можно сделать https бесплатно с помощью cloudflare — они вас своим накроют. Но между вашим сервером и cloudflare трафик будет ходить нешифрованный.
blind_oracle
16.09.2015 11:43+2Есть проще — StartSSL
tendium
16.09.2015 12:06Проще? Проще чем просто зарегистрироваться на сloudflare и добавить свой сайт в список?
kachalov
16.09.2015 20:59Только он сразу выдает private key, генерируя CSR на своей стороне. Это немного не безопасно. Кроме того, отзыв сертификата и выдача более одного сертификата на домен — платно.
К слову, Let's Encrypt не обещает выдачу EV, CodeSign, Wildcard и не гарантирует великое множество зелени в качестве гарантии защиты сертификата. Некоторые промежуточные CA от Comodo, со сроком истечения в 2020 году и sha1, продают воздух по 3$/год. Так что «Динозавры» много не потеряют.
Тотальный ssl ускорит переход на IPv6, т.к. адресного пространства IPv4 не хватает на каждый блог (можно использовать несколько сертификатов на одном домене, но некоторые старые ОС и браузеры не умеют с ними работать + это не для shared хостинга).
BOPOHA
17.09.2015 03:23можно использовать несколько сертификатов на одном домене, но некоторые старые ОС и браузеры не умеют с ними работать + это не для shared хостинга
про браузеры: те браузеры, которые не поддерживают SNI уже не не используют(ся) в тестировании сайтов.
про шареды: если шаред древний на centos 5, то пожалуй да, более grade A без бубна не получить. полгода назад такая же беда была с centos 6, но сейчас все гуд, openssl > 1.0.1c. про deb-based я молчу, там все значительно лучше.
п.с. на одном IPv4 имею несколько доменов, ssllabs.com для всех выдает A+. ЧЯДНТ?
blind_oracle
17.09.2015 08:06+2Только он сразу выдает private key, генерируя CSR на своей стороне
Никто не мешает забросить им свой CSR, так что аргумент не катит.
ximaera
16.09.2015 16:56+1Ну, если вас устроит, что рядом с вашим сайтом в Subject Alt Name будет прописана порнуха, тогда да.
xandr0s
17.09.2015 14:31Раз уж тут про кф вспомнили, кто-нить смог на бесплатном тарифе подсунуть свой сертификат к домену за кф? Что-то у меня не выходит каменный цветок. То ли лыжи…
Dywar
17.09.2015 20:56А как тогда будут промежуточные IPS, IDS смотреть трафик с сайтов зараженных? Сертификаты то всем, проверять не будут тщательно (не справятся с потоком запросов), сейчас покупают по 200$ (и продают не спрашивая, платят и ладно), а так бесплатно, еще проще еще больше.
wtigga
А всем подряд (не-бетатестерам) начнут раздавать только через месяц-другой.
dunmaksim
Планируется начать 16 ноября. У них в блоге так написано.
MrJeos
У них в блоге было написано, что первый сертификат будет выдан на неделе от 7го сентября, а выдали только вчера.