image
1990-е: В интернете никто не знает, что ты — собака.
Сегодня: Наш анализ данных показывает, что он — коричневый лабрадор. Он живёт с чёрно-белым биглем, и по-моему, у них есть отношения.


Совершенно бесплатные сертификаты для шифрования веб-трафика, которые обещали начать выдавать в середине 2015 года, слегка запоздали, но не исчезли совсем. 14 сентября Фонд Электронных Рубежей (Electronic Frontier Foundation, EFF) торжественно объявили о факте выдачи первого такого сертификата системой Let’s Encrypt.

Let’s Encrypt – свободный, бесплатный центр сертификации (certificate authority, CA). Он должен обеспечить всех желающих совершенно бесплатными сертификатами, и тем самым, постепенно перевести весь интернет на шифрование трафика.

По понятным причинам, правозащитники и борцы за свободу обоими руками приветствуют эту инициативу. HTTPS (правильно работающий) означает защиту от прослушки и кражи персональных, коммерческих и других данных пользователей.

Ещё пару лет назад все центры сертификации продавали сертификаты, да и сегодняшние бесплатные обладают рядом ограничений. После покупки требовались знания для того, чтобы настроить поддержку сертификатов в браузере. Теперь эти времена уходят в прошлое.

Пока ещё новый центр не обладает всеми правами, и его сертификаты не имеют перекрёстной подписи, в результате чего они не воспринимаются браузерами как надёжные (браузер выдаст сообщение «untrusted»). В EFF уверены, что примерно через месяц будет завершена соответствующая работа в консорциуме IdenTrust, после чего новые бесплатные сертификаты будут работать без шума и пыли.

EFF позаботились и о людях, которые будут получать сертификаты – они подготовили утилиту letsencrypt, которая способна автоматически настраивать конфигурацию для наиболее популярных веб-серверов, Apache и Nginx, и автоматически поддерживать сертификат в актуальном состоянии.

В EFF отмечают о гигантской работе, проделанной ими на пути к центру бесплатной сертификации за несколько лет, и считают, что пора открывать шампанское и праздновать. Для праздника даже предлагается специальная саркастическая композиция "Вечеринка в АНБ", со строчками вроде «Нам приватность не нужна», «Вечеринка в АНБ идёт 24 часа в сутки» и «На конце каждой ПРИЗМы есть радуга» (намёк на инициативу PRISM по глобальной прослушке, которую разоблачил Эдвард Сноуден).

Комментарии (38)


  1. wtigga
    16.09.2015 04:26

    А всем подряд (не-бетатестерам) начнут раздавать только через месяц-другой.


    1. dunmaksim
      16.09.2015 15:36

      Планируется начать 16 ноября. У них в блоге так написано.


      1. MrJeos
        16.09.2015 17:07

        У них в блоге было написано, что первый сертификат будет выдан на неделе от 7го сентября, а выдали только вчера.


  1. ComputerPers
    16.09.2015 08:38
    +7

    Главное чтобы сертификаты были доверенными, тогда RIP Комодо и ко.


    1. Raegdan
      16.09.2015 10:06

      Конечно будут, иначе какой вообще смысл создавать такой проект? Достаточно было бы юзер-френдли обвязки над easy-rsa. Мне кажется, этот CA просто подпишет один из существующих общепризнанных CA. Сертификаты же позволяют наследовать доверие через сколько угодно уровней, так что если получится договориться с одним из таких — мороки с введением нового корневого можно будет избежать.


      1. ivanych
        16.09.2015 10:29
        +3

        Лучше как-раз заморочиться с корневым, чтобы не зависеть ни от кого.


        1. ximaera
          16.09.2015 16:52

          Они и заморочились. Их сертификат будет корневым как минимум в Firefox и Chrome. Но вот проблема: куча пользователей сидит на браузерах образца 2010 года и ничего на системе не обновляет. Поэтому подпись от IdenTrust необходима, иначе будет слишком много нареканий.

          Эта проблема, собственно, была одной из самых сложных, остальное-то более-менее дело техники (даже непонятно, почему никто из существующих CA не сделал того же).


          1. ivanych
            16.09.2015 16:57
            +1

            > даже непонятно, почему никто из существующих CA не сделал того же

            Наоборот же, непонятно, зачем IdenTrust это сделал. Это же конец существующих CA.

            Хотя, IdenTrust, получается, выбил себе немного времени, пока браузеры не обновятся:)


            1. ximaera
              16.09.2015 17:04

              Я имею в виду, почему нельзя было раньше сделать так, чтобы получение TLS-сертификата не было болью в заднице? Выучите man openssl, man csr, вышлите то, пропишите это. Всё же превосходно автоматизируется (пока вы не захотите EV-сертификат, конечно).

              А так — да, конечно, динозаврам рынка CA придётся нелегко. Есть, конечно, те же EV, но вряд ли от них большой доход, уже даже не все банки покупают себе EV.


      1. ApeCoder
        16.09.2015 12:56

        У меня вопрос в таком случае — как они обеспечат воспринимаемую уникальность сертификатов (чтобы соединяясь с Райвффайзенбанком я полнимал, что это он, а не Raifaizenbank inc — индивидульаный предприниматель зарегестрированный в Нижней Шепетовке). Насколько я знаю, сейчас есть некая проверка при выдачи сертификата — или нет?


        1. 1x1
          16.09.2015 13:58

          Для привязки домена нужно пройти проверку, и только после неё можно запросить сертификат.


          1. ApeCoder
            16.09.2015 14:04

            А они сделают //бесплатную// проверку?


            1. 1x1
              16.09.2015 14:35

              Да, иначе сертификат не будет бесплатным. Проверяется только владение доменом, а это легко автоматизируется.


              1. force
                16.09.2015 14:45
                +1

                Владение доменом — унылая проверка. Куплю я домен paypai.co, и буду устраивать фишинг под PayPal, всё будет хорошее и зелёное.
                А если они будут выдавать вилдкарт сертификаты, то вообще всё плохо будет paypal.com.someevilsite.com


                1. 1x1
                  16.09.2015 15:21

                  Вы и сейчас можете это сделать. Только проверки домена достаточно для получения множества сертификатов, в том числе и wildcard.


                  1. force
                    16.09.2015 15:43

                    Да, но сами сертификаты платные. Причём не такие уж и дешёвые по сравнению с доменами. Т.е. для фишеров получение сертификата это дополнительная статья расходов, которая делает схему с покупкой https менее выгодной.


                    1. 1x1
                      16.09.2015 15:55

                      Есть и триальные. Всё равно подобные сайты долго не живут.


                    1. ximaera
                      16.09.2015 17:05
                      +1

                      Да ладно, StartSSL, Comodo и WoSign годами выдавали сертификаты бесплатно. Не было такой статьи расходов.


                      1. force
                        16.09.2015 18:35

                        StartSSL, насколько я помню, требовал много личной информации для выдачи, и были ограничения по использованию. WoSign — в рекламных целях. Comodo вроде бы только email-сертификтаы выдавал, хотя могу ошибаться.
                        Но с учётом того, что сказал 1x1 про триальные, я понял, что проблема в принципе не очень существенная, хотя слегка портит работу с сертификатами. Т.е. если платёжный шлюз берёт себе бесплатный или копеечный сертификат — деньги доверять ему не стоит, придётся теперь следить за этим.


                        1. sunnybear
                          16.09.2015 22:43

                          WoSign выдает отличные сертификаты. С StartSSL были проблемы, с WoSign — никаких.


                    1. lexore
                      16.09.2015 22:24
                      +1

                      Сертификат стоит 10 долларов в год. Кстати, так же как и домен.
                      А некоторые лоукостеры за домен+сертификат дают неплохую скидку.
                      Если кто-то будет красть деньги, прикидываясь paypal, 20$ он наверное отобьет.


        1. wrewolf
          16.09.2015 14:54
          +1

          у них задача дать всем сертификаты, а не обеспечить валидацию.
          Для банков будет выходом покупать сертификаты с красивыми плашками


      1. ximaera
        16.09.2015 16:48

        Ну дык, в статье же написано. Подпишет IdenTrust.


      1. ComodoHacker
        16.09.2015 18:32

        Это будет их собственный корневой CA, признанный браузерами.
        Смысл проекта в том, чтобы перевести весть трафик на HTTPS, а не проводить валидацию. Для получения доверенных сертификатов нужно обращаться к другим CA.

        Защита трафика от прослушки и проверка владельца сертификата — разные вещи. Проект Let's Encrypt нацелен на первую задачу.


        1. Raegdan
          19.09.2015 15:43

          Для решения первой задачи достаточно было бы сверстать красивый PDF с элементарной инструкцией вроде:

          $ cd easy-rsa
          $ source .vars
          $ ./build-ca
          $ ./build-key-server
          

          Единственный его недостаток — палёность получившегося сертификата. Разве нет?


  1. hardex
    16.09.2015 10:24
    +1

    На картинке написано «чпокаются», а не «имеют отношения ».


    1. pehat
      16.09.2015 12:20
      +1

      Ну уж если совсем точно, то не бигль, а помесь бигля.


  1. achekalin
    16.09.2015 10:32
    +2

    Я бы с удовольствием получил бы у них серт. уже сейчас. Что из CA будет доверенным — это вопрос времени, но все шансы за (хотя, конечно, все участники рынка не рады — им почти за воздух брать деньги всегда интересно), а начинать использовать хотя бы для своих целей вполне себе вариант.

    Только бы они wildcard выдавали, а не только на конкретное hostname.


    1. lexore
      16.09.2015 22:26

      При бесплатности и автоматизации выдачи можно сделать и для кучи hostname.
      Но если сервис подразумевает постоянную генерацию доменов, этот вариант не очень, согласен.


  1. tendium
    16.09.2015 11:41

    Кстати, кому прям не терпится, можно сделать https бесплатно с помощью cloudflare — они вас своим накроют. Но между вашим сервером и cloudflare трафик будет ходить нешифрованный.


    1. blind_oracle
      16.09.2015 11:43
      +2

      Есть проще — StartSSL


      1. tendium
        16.09.2015 12:06

        Проще? Проще чем просто зарегистрироваться на сloudflare и добавить свой сайт в список?


      1. kachalov
        16.09.2015 20:59

        Только он сразу выдает private key, генерируя CSR на своей стороне. Это немного не безопасно. Кроме того, отзыв сертификата и выдача более одного сертификата на домен — платно.
        К слову, Let's Encrypt не обещает выдачу EV, CodeSign, Wildcard и не гарантирует великое множество зелени в качестве гарантии защиты сертификата. Некоторые промежуточные CA от Comodo, со сроком истечения в 2020 году и sha1, продают воздух по 3$/год. Так что «Динозавры» много не потеряют.
        Тотальный ssl ускорит переход на IPv6, т.к. адресного пространства IPv4 не хватает на каждый блог (можно использовать несколько сертификатов на одном домене, но некоторые старые ОС и браузеры не умеют с ними работать + это не для shared хостинга).


        1. BOPOHA
          17.09.2015 03:23

          можно использовать несколько сертификатов на одном домене, но некоторые старые ОС и браузеры не умеют с ними работать + это не для shared хостинга

          про браузеры: те браузеры, которые не поддерживают SNI уже не не используют(ся) в тестировании сайтов.
          про шареды: если шаред древний на centos 5, то пожалуй да, более grade A без бубна не получить. полгода назад такая же беда была с centos 6, но сейчас все гуд, openssl > 1.0.1c. про deb-based я молчу, там все значительно лучше.
          п.с. на одном IPv4 имею несколько доменов, ssllabs.com для всех выдает A+. ЧЯДНТ?


        1. blind_oracle
          17.09.2015 08:06
          +2

          Только он сразу выдает private key, генерируя CSR на своей стороне

          Никто не мешает забросить им свой CSR, так что аргумент не катит.


    1. ximaera
      16.09.2015 16:56
      +1

    1. xandr0s
      17.09.2015 14:31

      Раз уж тут про кф вспомнили, кто-нить смог на бесплатном тарифе подсунуть свой сертификат к домену за кф? Что-то у меня не выходит каменный цветок. То ли лыжи…


  1. Dywar
    17.09.2015 20:56

    А как тогда будут промежуточные IPS, IDS смотреть трафик с сайтов зараженных? Сертификаты то всем, проверять не будут тщательно (не справятся с потоком запросов), сейчас покупают по 200$ (и продают не спрашивая, платят и ладно), а так бесплатно, еще проще еще больше.