На сайте проекта Let's Encrypt появилась информация, что 19 октября 2015 удостоверяющие центры «Let's Encrypt Authority X1» и «Let's Encrypt Authority X2» получили кросс-подписи от IdenTrust. Теперь сертификаты выпущенные Let's Encrypt стали доверенными для всех основных браузеров. Проверить это можно, зайдя на страницу, защищенную первым сертификатом Let's Encrypt: helloworld.letsencrypt.org. Если ваш браузер не выдает предупреждения, значит, считает сертификат этого домена доверенным.

о кросс-сертификатах
Кросс-сертификат — сертификат УЦ у которого значения полей «Субъект» и «Издатель» различаются. Говоря проще, если сертификат УЦ не является самоподписанным, то это кросс-сертификат. Кросс-сертификация необходима для построения иерархической и распределенной моделей доверия. В иерархической модели доверия самоподписанным является только корневой УЦ. Он подписывает сертификаты УЦ следующего уровня иерархии, те — еще на уровень ниже, и так далее. Распределенная модель доверия подразумевает, что все УЦ имеют самоподписанные сертификаты и дополнительно взаимно кросс-сертифицируются со всеми остальными УЦ входящими в список этого распределенного доверия.

Корневой УЦ «Let's Encrypt — ISRG Root X1» будет добавлен в доверенные центры сертификации браузеров позже, однако достижение соответствующих договоренностей не умаляет значимость произведенной кросс-сертификации. Ведь браузеры пользователей должны обновиться, чтобы обновить свои списки доверия. Без этого пользователи какое-то время еще получали бы предупреждения о недоверенном сертификате при посещении всех сайтов защищенных сертификатами Let's Encrypt.

«Let's Encrypt Authority X1» – основной, а «Let's Encrypt Authority X2» – резервный УЦ, на случай катастрофы и невозможности использования X1. Таким образом была предусмотрена отказоустойчивость выпускающего УЦ.
Закрытые ключи корневого и выпускающих УЦ хранятся на HSM, что гарантирует высокий уровень защиты от кражи ключей или несанкционированного доступа к ним.
об HSM
HSM или Hardware Security Module или Аппаратный Модуль Безопасности, представляет собой устройство, защищенное от постороннего вмешательства, как аппаратного, так и программного. При обнаружении попытки несанкционированного доступа, HSM может необратимо уничтожить данные, хранящиеся на нем. Внутри HSM генерируется и хранится ключевая пара и осуществляются все необходимые криптографические операции. Например, подпись сертификата конечного пользователя производится непосредственно внутри HSM по соответствующей команде, полученной от УЦ. Для доступа к настройкам или, например, запуска HSM требуется одновременная аутентификация нескольких сотрудников — хранителей ключей. Существуют как локально устанавливаемые модули HSM с интерфейсами USB или PCI-X, так и сетевые HSM c Ethernet интерфейсом.

Let's Encrypt поддерживает технологию Certificate Transparency, поэтому все выпущенные сертификаты можно посмотреть по логу CT. Из лога видно, что сертификаты выдаются пока сроком на 3 месяца.
о Certificate Transparency
Технология Certificate Transparency призвана сделать «прозрачным» выпуск сертификатов Удостоверяющими Центрами. Для этого информация обо всех выпущенных сертификатах попадает в лог файл. Этот лог доступен только на добавление информации и криптографически защищен от постороннего вмешательства или удаления отдельных записей. Информация о выпускаемом сертификате попадает в лог до фактического выпуска сертификата. Таким образом предотвращается возможность выпустить сертификат не оставив никаких следов.

Полноценный запуск проекта назначен на неделю с 16 ноября. Полагаю, ребята из Let's Encrypt должны хорошенько подготовиться к потенциально большой нагрузке в первые часы и дни после запуска.

Комментарии (35)


  1. Meklon
    21.10.2015 07:45

    Блин. У меня startssl 18 ноября заканчивается. Получил уже на год от wosign, но эти сертификаты выглядят интереснее. У китайцев пинг печальный.


    1. deep_orange
      21.10.2015 09:28

      comodo даёт на месяц халявный


      1. Meklon
        21.10.2015 09:31

        У меня не критичный проект — домашний owncloud. Я бы подождал, но у меня он теперь хранилище данных лаборатории. Буду думать, спасибо)


      1. navion
        21.10.2015 19:24
        +1

        На 90 дней и можно выпустить ещё один для того же домена через SSL.com (входит в цепочку Comodo):
        www.comodo.com/e-commerce/ssl-certificates/free-ssl-certificate.php
        www.ssl.com/certificates/free


    1. kingpin
      21.10.2015 15:42
      +2

      Думаю, OCSP Stapling может тут помочь.

      Браузер не будет делать накладной запрос к CA, чтобы узнать, не отозван ли серт веб-сервера — вместо этого твой веб-сервер (если в нём поддерживается OSCP Stapling) периодически делает такие запросы к CA, а на этапе TLS-рукопожатия отдаёт браузеру подписанный выдавшим сертификат центром сертификации ответ о том, не отозван ли серт.

      Как настроить — www.digicert.com/enabling-ocsp-stapling.htm


      1. nmk2002
        21.10.2015 15:44

        Как это поможет, если срок сертификата истек?


        1. kingpin
          21.10.2015 15:46

          Это я к утверждению, что

          У китайцев пинг печальный.


          1. Meklon
            21.10.2015 15:48
            +2

            Спасибо. По сути медленно только в первый раз. У меня стоит уже эта опция. Попробовал заказать перевыпуск сертификата у StartSSL. Написал саппорту. зарегистрировал новый аккаунт. Странная хрень, что нельзя никаким образом перевыпустить сертификат для авторизации на сайте.


  1. ragesteel
    21.10.2015 09:26
    +4

    О, в отличие от StartSSL и в Java от Oracle поддерживается.


    1. tzlom
      21.10.2015 10:30

      В смысле, как сертификат может не поддерживаться «джавой от оракл»


      1. ragesteel
        21.10.2015 12:42
        +4

        У Java своё хранилище корневых сертификатов.
        CAшный сертификат от StartSSL не включён в список доверенных.


  1. lolipop
    21.10.2015 11:27

    открылись бы уже, наконец, сколько можно :) хочу сертификат на каждое устройство.


  1. shifttstas
    21.10.2015 11:45
    +9

    Скоро: Астрологи обявили недели https, нагрузка на DPI и СОРМ увеличена в двое


    1. stychos
      21.10.2015 12:52

      Понимаю, что шутка — но по факту, основной траффик сейчас и так уже идёт по https, а пара (возможно, пара десятков) тысяч хомяков, перейдущих на https тут погоды не сделают, на мой взгляд. Поправьте, если не прав.


      1. shifttstas
        21.10.2015 13:05

        не правы, все хостинг провайдеры начнут предлагать https от них как бонус — а значит все мелкие ресурсы автоматически перейдут на HTTPS + имеются крупные ресурсы которые до сих пор сидят без HTTPS.

        Ну и еще не надо забывать инициативу от мозилы — они предлагали выпилить возможость передавать формы с паролем через http


        1. stychos
          21.10.2015 13:14

          Лично мне кажется, что даже все вместе взятые хостинг-провайдеры не смогут создать конкуренцию по траффику тому же вконтактику и гуглу. Хотя, я могу быть не прав.


      1. lexore
        21.10.2015 16:18
        +4

        Провайдер поделился статистикой — примерно 80% трафика от серфинга домашних пользователей пока на http.


        1. stychos
          21.10.2015 16:19

          Это уже поконкретнее инфа, спасибо.


        1. kvaps
          22.10.2015 09:48

          Из которых 50-60% наверное, трафик к видео-, аудио- и прочему медиаконтенту, который просто невыгодно выкладывать по https


      1. preprocessor
        21.10.2015 16:33

        Пройдитесь по интернет-магазинам российским (крупным). Подсчитайте )


        1. stychos
          21.10.2015 16:34

          Меня уже убедили, что нешифрованного трафика пока большинство =)


  1. xandr0s
    21.10.2015 15:22
    -4

    Ошибка при установлении защищённого соединения

    При соединении с helloworld.letsencrypt.org произошла ошибка. Неверный сертификат подписи OCSP в OCSP-ответе. (Код ошибки: sec_error_ocsp_invalid_signing_cert)

    фф28 убунта. а жаль


    1. Meklon
      21.10.2015 15:36

      Странно. Kubuntu 12.04, Firefox. Все хорошо.


    1. nmk2002
      21.10.2015 15:43
      +11

      Очевидно же, что вам нужно обновить браузер. Текущая версия Firefox — 41.


      1. nmk2002
        21.10.2015 15:59

        Хотя возможен еще вариант, что у вас время убежало. Но тогда бы подобные ошибки были бы у вас постоянно.


    1. stardust_kid
      21.10.2015 19:44
      +14

      Церковь Необновления благодарит тебя, брат. Призываем тебя, отключи богомерзкие яваскрипт и css, во имя Великого Хаоса.
      Раминь.


      1. mannaro
        22.10.2015 09:43

        А как попасть в ваш монастырь?
        image


        1. stardust_kid
          22.10.2015 10:59

          Для этого надо пройти многолетнее послушание на должности сисадмина. Желательно в государственной конторе.


          1. xandr0s
            22.10.2015 12:11
            +4

            Выслал вам своё резюме почтой РФ


            1. kingpin
              22.10.2015 12:49
              +1

              фф28 убунта. а жаль

              К тому времени, когда ваше письмо дойдёт через Почту России до адресата, в вашем текущем браузере может окончиться срок действия всех установленных в него сертификатов либо вообще настанет конец времён.


  1. Vamp
    22.10.2015 10:43
    +2

    Какой резон IdenTrust'у делать это? Let's encrypt же натурально уничтожает бизнес по продаже SSL сертификатов.


    1. Prototik
      22.10.2015 13:52

      Let's Encrypt ведь выдает только DV сертификаты, EV и прочая ынтерпрайзная фигня останется платной у старых регистраторов, не?


      1. Meklon
        22.10.2015 14:00

        Кстати, в итоге бизнес-сертификаты могут подорожать, компенсируя снижение прибыли.


    1. nmk2002
      22.10.2015 22:43

      Если насилие неизбежно, то лучше расслабиться и получать удовольствие.


    1. apatrushev
      23.10.2015 17:38

      Они же не выдавали им сертификат. Они его подписали. Не подписали бы они — подписал бы кто-нибудь другой.