На сайте проекта Let's Encrypt появилась информация, что 19 октября 2015 удостоверяющие центры «Let's Encrypt Authority X1» и «Let's Encrypt Authority X2» получили кросс-подписи от IdenTrust. Теперь сертификаты выпущенные Let's Encrypt стали доверенными для всех основных браузеров. Проверить это можно, зайдя на страницу, защищенную первым сертификатом Let's Encrypt: helloworld.letsencrypt.org. Если ваш браузер не выдает предупреждения, значит, считает сертификат этого домена доверенным.
Корневой УЦ «Let's Encrypt — ISRG Root X1» будет добавлен в доверенные центры сертификации браузеров позже, однако достижение соответствующих договоренностей не умаляет значимость произведенной кросс-сертификации. Ведь браузеры пользователей должны обновиться, чтобы обновить свои списки доверия. Без этого пользователи какое-то время еще получали бы предупреждения о недоверенном сертификате при посещении всех сайтов защищенных сертификатами Let's Encrypt.
«Let's Encrypt Authority X1» – основной, а «Let's Encrypt Authority X2» – резервный УЦ, на случай катастрофы и невозможности использования X1. Таким образом была предусмотрена отказоустойчивость выпускающего УЦ.
Закрытые ключи корневого и выпускающих УЦ хранятся на HSM, что гарантирует высокий уровень защиты от кражи ключей или несанкционированного доступа к ним.
Let's Encrypt поддерживает технологию Certificate Transparency, поэтому все выпущенные сертификаты можно посмотреть по логу CT. Из лога видно, что сертификаты выдаются пока сроком на 3 месяца.
Полноценный запуск проекта назначен на неделю с 16 ноября. Полагаю, ребята из Let's Encrypt должны хорошенько подготовиться к потенциально большой нагрузке в первые часы и дни после запуска.
Комментарии (35)
lolipop
21.10.2015 11:27открылись бы уже, наконец, сколько можно :) хочу сертификат на каждое устройство.
shifttstas
21.10.2015 11:45+9Скоро: Астрологи обявили недели https, нагрузка на DPI и СОРМ увеличена в двое
stychos
21.10.2015 12:52Понимаю, что шутка — но по факту, основной траффик сейчас и так уже идёт по https, а пара (возможно, пара десятков) тысяч хомяков, перейдущих на https тут погоды не сделают, на мой взгляд. Поправьте, если не прав.
shifttstas
21.10.2015 13:05не правы, все хостинг провайдеры начнут предлагать https от них как бонус — а значит все мелкие ресурсы автоматически перейдут на HTTPS + имеются крупные ресурсы которые до сих пор сидят без HTTPS.
Ну и еще не надо забывать инициативу от мозилы — они предлагали выпилить возможость передавать формы с паролем через httpstychos
21.10.2015 13:14Лично мне кажется, что даже все вместе взятые хостинг-провайдеры не смогут создать конкуренцию по траффику тому же вконтактику и гуглу. Хотя, я могу быть не прав.
xandr0s
21.10.2015 15:22-4Ошибка при установлении защищённого соединения
При соединении с helloworld.letsencrypt.org произошла ошибка. Неверный сертификат подписи OCSP в OCSP-ответе. (Код ошибки: sec_error_ocsp_invalid_signing_cert)
фф28 убунта. а жальstardust_kid
21.10.2015 19:44+14Церковь Необновления благодарит тебя, брат. Призываем тебя, отключи богомерзкие яваскрипт и css, во имя Великого Хаоса.
Раминь.mannaro
22.10.2015 09:43А как попасть в ваш монастырь?stardust_kid
22.10.2015 10:59Для этого надо пройти многолетнее послушание на должности сисадмина. Желательно в государственной конторе.
xandr0s
22.10.2015 12:11+4Выслал вам своё резюме почтой РФ
kingpin
22.10.2015 12:49+1фф28 убунта. а жаль
К тому времени, когда ваше письмо дойдёт через Почту России до адресата, в вашем текущем браузере может окончиться срок действия всех установленных в него сертификатов либо вообще настанет конец времён.
Vamp
22.10.2015 10:43+2Какой резон IdenTrust'у делать это? Let's encrypt же натурально уничтожает бизнес по продаже SSL сертификатов.
apatrushev
23.10.2015 17:38Они же не выдавали им сертификат. Они его подписали. Не подписали бы они — подписал бы кто-нибудь другой.
Meklon
Блин. У меня startssl 18 ноября заканчивается. Получил уже на год от wosign, но эти сертификаты выглядят интереснее. У китайцев пинг печальный.
deep_orange
comodo даёт на месяц халявный
Meklon
У меня не критичный проект — домашний owncloud. Я бы подождал, но у меня он теперь хранилище данных лаборатории. Буду думать, спасибо)
navion
На 90 дней и можно выпустить ещё один для того же домена через SSL.com (входит в цепочку Comodo):
www.comodo.com/e-commerce/ssl-certificates/free-ssl-certificate.php
www.ssl.com/certificates/free
kingpin
Думаю, OCSP Stapling может тут помочь.
Браузер не будет делать накладной запрос к CA, чтобы узнать, не отозван ли серт веб-сервера — вместо этого твой веб-сервер (если в нём поддерживается OSCP Stapling) периодически делает такие запросы к CA, а на этапе TLS-рукопожатия отдаёт браузеру подписанный выдавшим сертификат центром сертификации ответ о том, не отозван ли серт.
Как настроить — www.digicert.com/enabling-ocsp-stapling.htm
nmk2002
Как это поможет, если срок сертификата истек?
kingpin
Это я к утверждению, что
Meklon
Спасибо. По сути медленно только в первый раз. У меня стоит уже эта опция. Попробовал заказать перевыпуск сертификата у StartSSL. Написал саппорту. зарегистрировал новый аккаунт. Странная хрень, что нельзя никаким образом перевыпустить сертификат для авторизации на сайте.