На сайте Let's encrypt появилась новость о том, что доступ к публичному бета-тестированию будет открыт 3 декабря 2015 года. Для регистрации больше не будет нужен invite код.
«С момента запуска закрытой беты 12 сентября было выдано более 11000 сертификатов и стало понятно, что система готова к публичному тестированию», — сообщается в новости.
Для справки: Let's encrypt — это удостоверяющий центр, который выдает X.509 сертификаты для TLS HTTPS, которые выдаются в автоматическом режиме для любого домена бесплатно. Для этого необходимо только подтвердить свой контроль над доменом через создание специальной записи на DNS-сервере или размещение кодовой фразы в файле на web-сервере.
Мы планируем интегрировать работу с сертификатами Let's encrypt в панель управления хостингом Jet9 — запрашивать, получать и инсталлировать сертификат для веб-сайта автоматически, «одной кнопкой». Таким образом можно будет бесплатно и легко установить для своего сайта персональный HTTPS сертификат.
В связи с этим небольшой опрос:
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (40)
hMartin
15.11.2015 23:58+3А может кто объяснить мне, неразумному, почему вообще еще существуют платные сертификаты? Почему только сравнительно недавно стало возможно получать сертификаты бесплатно? Это же торговля воздухом, как мне кажется.
cvss
16.11.2015 00:14+4Для платных сертификатов применяется достаточно трудоемкая ручная процедура верификации владельца, с обработкой и проверкой бумажных документов. Без этого стоимость становится дешевле, или, как в данном случае, бесплатно.
TheEvil
16.11.2015 03:12Стоит добавить, что при такой процедуре проверки возрастают и риски (грубо говоря, обмануть её шансов больше, чем комплексную проверку живыми специалистами) — и чтобы это компенсировать, сертификаты будут выдаваться на короткие сроки (сейчас 3 месяца, затем планируют уменьшить, и я не удивлюсь, если в итоге это будет неделя, например).
То есть это размен дешевизны проверок на их радикальное учащение. Выглядит разумно.
grossws
16.11.2015 04:21Куча CA выдают dv-сертификаты на 1 год и более. Без бумажных документов и с полностью автоматическими проверками. Я, например, пользуюсь positivessl от comodo. Так про 3 месяца — не аргумент.
TheEvil
16.11.2015 13:10Какой странный ход мысли. Если кто-то что-то делает, то делать это безопаснее и доступнее не нужно. Ясно.
grossws
16.11.2015 18:10Т. е. comodo, thawte, verisign на эти риски просто кладут по вашему? Или может всё-таки считают их просто незначительными?
Если сейчас человек владеет доменом и берет на него сертификат, то вполне вероятно, что он не собирается отказываться от этого домена и потом устраивать MitM на свой бывший домен, который кто-то когда-либо купит.
Аргумент про «комплексную проверку живыми специалистами» для платных dv-сертификатов (domain validated) несколько несостоятелен, не находите?
Как вариант, политика краткосрочных сертификатов может быть выбрана, чтобы не влезать на поляну и без того дешевых сертификатов типа comodo positivessl, rapidssl и т. п.TheEvil
17.11.2015 09:22+1Не важно, как это называть: кладут или считают незначительными. Железобетонный факт состоит в том, что при прочих равных злоумышленник нанесёт тем больше вреда, чем дольше действует скомпрометированый сертификат.
Внезапно, существует не только владелец домена и центр сертификации, в мире множество других людей. Злоумышленник может кратковременно перехватить контроль над доменом, и использовать это для получения долговременного сертификата, и владелец домена может этого не заметить или заметить не сразу.
Это лишь один из вариантов атаки на инфраструктуру доменов, инфраструктуру центров сертификации или на владельца домена. Такие атаки нельзя предотвратить изменением срока действия сертификата, но вот последствия атак зависят от срока действия сертификата. Чем он меньше, тем лучше.
Аргумент про «комплексную проверку живыми специалистами» для платных dv-сертификатов (domain validated) несколько несостоятелен, не находите?
Почему? На мой взгляд, здесь практически всё можно автоматизировать (в т.ч. проверку истории, звонки по контактным телефонам и т.д.), но нельзя отрицать, что если используются ещё и люди, то такая проверка 1. менее предсказуемая, т.е. злоумышленнику сложнее подготовиться и 2. стоит дороже.
Если сейчас человек владеет доменом и берет на него сертификат, то вполне вероятно, что он не собирается отказываться от этого домена и потом устраивать MitM на свой бывший домен, который кто-то когда-либо купит.
Вполне вероятно? А, ну тогда ладно.
Вы хоть на секунду-то задумайтесь, а то пишете так, будто всё хорошо и так и должно быть, раз многие выпускают сертификаты именно так.
Из вашего примера с доменом — давайте посмотрим на ситуацию со стороны покупателя. Когда вы покупаете домен, вы хотите быть уверенным, что к нему ни у кого нет сертификатов? Thawte, Verisign и Comodo ведь очень крутые ребята, и уж конечно могут гарантировать, что при смене владельца домена, выданные ими сертификаты прежнего владельца аннулируются. Ой, оказывается, не могут. Оказывается, они ничего не мониторят. А надо всего-то отслеживать состояние домена (минимум статус, контактные данные), инициировать перепроверку его принадлежности при изменении состояния, и отзывать сертификат в случае непрохождения проверки за несколько дней. Всё просто, но сейчас никто этого не делает.
Как вариант, политика краткосрочных сертификатов может быть выбрана, чтобы не влезать на поляну и без того дешевых сертификатов типа comodo positivessl, rapidssl и т. п.
Вы понимаете, что Let's encrypt абсолютно наплевать, на чью поляну они влезают? Многие текущие участники рынка получают неиллюзорный шанс оказаться на свалке истории. Или эволюционировать.
Конкуренция со стороны компаний, которые делают деньги не на выпуске сертификатов (а именно они составляют ядро Let's encrypt: Mozilla, EFF, Cisco, Akamai) ситуацию точно улучшит. Надеюсь, и проблема выше в конце концов тоже будет решена (тем более, что решение несложное).
sledopit
16.11.2015 15:18Вы их неправильно поняли. Выдают сертификаты на корткие сроки совсем по другой причине.
1. They limit damage from key compromise and mis-issuance. Stolen keys and mis-issued certificates are valid for a shorter period of time.
2. They encourage automation, which is absolutely essential for ease-of-use. If we’re going to move the entire Web to HTTPS, we can’t continue to expect system administrators to manually handle renewals. Once issuance and renewal are automated, shorter lifetimes won’t be any less convenience than longer ones.
// letsencrypt.org/2015/11/09/why-90-days.html
TimsTims
16.11.2015 00:15+7Ну потому-что как правило, надо сначала закупить кучу мощных серверов, поставить и настроить всё это железо, арендовать место в каком-нибудь дц, затем нанять лучших специалистов, которые разбираются в тонкостях и в безопасности, затем договориться с вышестоящими удостоверяющими центрами о делегировании(если ты посредник), или самому стать сам-себе-валидатор (тогда договориться со всеми производителями браузеров и ос, чтобы они тебя добавили в качестве надежного поставщика сертификатов), пройти кучу проверок на защищенность, и в конце концов начать хоть что-то на этом зарабатывать.
Если делать всё бесплатно, то либо
-будет плохо со стабильностью- начиная с безопасности и заканчивая перегрузками и ддос
-либо можно левачить и выдавать левые сертификаты для спецслужб например, но это быстро запалят и в итоге браузеры тебя заьанят
-Ну или жить на пожертвования, как в данном случае
ValdikSS
16.11.2015 23:17+1Проблема еще в сертификации безопасности, которая стоит достаточно дорого, и требования к ней высокие.
grayfolk
16.11.2015 00:16+2Как я понимаю, как минимум, из-за этого:
иногда сертификаты с моментальным выпуском попадают на дополнительную ручную проверку Центром сертификации, сертификаты для проверки выбираются случайным образом
А для выдачи сертификатов с Organization Validation и Extendet Validation в любом случае необходимы трудозатраты. А вообще, лично мне удивительна разница в цене в разы между простым доменным сертификатом и wildcard.
grayfolk
16.11.2015 00:03+2А почему в опросе «Используете ли вы сейчас HTTPS для своего сайта» нет варианта с бесплатным сертификатом oт WoSign или StartSSL?
Кроме того, Cloudflare предоставляет бесплатные сертификаты даже на бесплатном тарифном плане — еще один вариант.
katoffsky
16.11.2015 08:23По ссылке из первого предложения: Public Beta: December 3, 2015
Так что всем, кому особо не терпится, ждать придется на целых два дня меньше.
dimcha
16.11.2015 09:38Сначала подумал, что новость поменяли, с них станется — сначала обещали 16 ноября открыть, теперь на декабрь перекинули, однако посмотрел у себя в сохраненных — действительно 3 декабря. Куда смотрел и о чем думал — не понятно.
Благодарю за указание неточности — исправил.
ZoomLS
16.11.2015 09:39Кому не терпится, можно послать запрос здесь: https://t.co/C6Q3dPYorp
katoffsky
16.11.2015 09:53Это точно.
По бета программе мне дали возможность выпустить 2 сертификата еще 3 ноября, но в действительности я столкнулся с некоторыми сложностями и реально получить сертификаты удалось только на следующий день с третьей по счету попытки (на третьей машине соответственно).
Проблема была связана с «Error: The server could not connect to the client for DV».
Машины были идентичны по настройкам и набору ПО, правилась только запись типа А.
Без поста на community.letsencrypt.org проблема сама по себе не решалась.
Вчера еще одно письмо Let's Encrypt Closed Beta Invite пришло, посмотрим как сейчас дела обстоят.
Meklon
16.11.2015 08:38Продлил startssl ещё на год. Как раз обкатать успеют. А там посмотрим) можно было бы и самоподписанный — у меня owncloud на домашнем сервере для личных нужд и для синхронизации рабочих материалов лаборатории. Но тут проблема в том, что иногда приходится расшаривать каталоги с другими людьми, а пугать их надписями в браузере не хочется.
achekalin
16.11.2015 09:05+1Вот https://www.gogetssl.com/domain-validation/comodo-positive-ssl/ просят за Positive-SSL от Comodo за 3 (ТРИ!) года $13.15, что по нынешнему курсу рублей 900. Мне кажется, сам факт, что три года не придется вспоминать об обновлении сертификатов уже приятен, если так хочется не пугать внешних людей при входе на сайт, который (видимо) денег не зарабатывает? Если это только «шашечки», а работать люди все равно с вами будут, то проще самому себе выписать на 100 лет, и забыть о необходимости раз в год качать свежий серт и куда-то на сервере подкладывать.
Зато нет риска остаться без сертификата, если startssl что-то там отзовет (мало ли, случаи были).grossws
16.11.2015 18:14Кроме того, startcom'а нет в truststore oracle jdk, что тоже сказывается на удобстве использования. У меня это была одна из основных причин перехода на positive ssl. Вторая — wildcard, который, конечно, стоит уже не $10 на два года, но куда гуманнее, чем у многих.
Legh
16.11.2015 10:06+3Почти неделю стоит их сертификат, полет нормальный — uniplug.ru
Тестировал только в режиме auth т.е. только герегация и подпись сертификата, без автоматической настройки сервера.
Из сложностей, пожалуй, только плохо описаный режим webroot.
По-умолчанию, для проверки владения доменом он поднимает http сервер на 80 и 443 портах, но на боевом сервере это невозможно. Что бы правильно отработать нужно из папки examples скопировать файл cli.ini в /etc/letsencrypt/cli.ini и расскоментировать
authenticator = webroot webroot-path = /var/www/html/
webroot-path должен указывать на папку с doument_root, тогда letsencrypt сделает проверку через статические файлы, без поднятия своего http серавера.
Удачной беты!TimsTims
16.11.2015 10:48Что-то не открывается ваш сайт :)
Хром ругается, плюётся и никак не разрешает перейти на этот сайт
Сайт uniplug.ru использует шифрование для защиты вашей информации. Однако идентификационные данные, которые мы получаем от uniplug.ru сейчас, отличаются от тех, которые он отправляет обычно. Либо вредоносный сайт пытается выдать себя за uniplug.ru, либо страница подключения к сети Wi-Fi прервала соединение. Ваша информация по-прежнему в безопасности, так как Chrome прервал подключение до обмена данными.
Перейти на сайт uniplug.ru невозможно, так как его идентификационные данные зашифрованы, и Chrome не может их обработать. Это могло произойти из-за ошибки сети или атаки на сайт. Скорее всего, он заработает через некоторое время.
Magistr_AVSH
16.11.2015 10:38Я одно не пойму, у них там есть wildcard или нет?
lolipop
16.11.2015 10:42+1зачем? наоборот, наконец-то можно раздельные серты иметь на каждый сервис и тем самым снизить риски.
Magistr_AVSH
16.11.2015 10:55-1да нет, у меня просто сервис с автоматически создающимися сабдоменами, я не могу знать их точное количество. Как в такой ситуации быть?
lolipop
16.11.2015 10:58+1во время создания сабдомена автоматически генерировать сертификат от let's encrypt. благо, всё для этого имеется, как я понял.
Magistr_AVSH
16.11.2015 11:01гм, ну да, он же бесплатный. Но мне кажется это каким-то извратом все-таки. И проблемно их к веб-серверу привязывать.
achekalin
16.11.2015 12:04+1Увы, не всегда получается так легко. Скажем, есть у вас сайт, где в основном домене domain.ru заводятся поддомены для каждого города России (moskva.domain.ru — не суть как написано, но для целей разделения информации сделано так, скажем). Города заводятся в системе, разумеется, автоматом, так вот wildcard тут прямо очень полезен.
Ессно, заплатить за серт никто не удавится в такой глобальной системе, но я пример привел, когда и как оно может понадобиться.
Второй вариант: почтовый сервер откликается и на mail.domain.ru, и на smtp.domain.ru, и на pop.domain.ru, и на imap.domain.ru. Этим мало кто пользуется, но «исторически сложилось» так. Wildcard решает в этом смысле массу сложностей. Тоже, как пример.
torkve
16.11.2015 13:25+2Это-то всё ладно, в таких случаях можно действительно один раз завести пачку сертификатов или заводить для каждого поддомена по мере необходимости, через апи.
Есть более сложные случае, когда есть, например, CNAME с *.domain.ru на domain.ru и никаких фиксированных поддоменов вообще нет. Например, ныне почивший сервис jpg.to использовал имена поддоменов в качестве поискового запроса (хотите найти котика, идёте на котик.jpg.to), тогда новый сертификат можно генерировать только в момент обработки запроса, что безумно.achekalin
16.11.2015 13:56+1Вы знаете, оно все «это ладно, можно как-то», но по факту для того wildcard и придуманы, чтобы жить было проще. Мы же о чем? О то, нужны ли wildcard, или можно жить и так. Нужны, как ни крути, нужны. Кейсов много можно насочинять, в любом случае, была бы возможность делать wildcard — было бы проще.
kvaps
Блин, сколько можно откладывать? :(
achekalin
Ну видите, 11000 сертов же как-то надо было выдать… Правда, кому? ))
Меня вот берет удивление только в одном: я бы на месте NSA давно бы открыл такой бесплатный центр, да еще и пролоббировал добавление его сертификата в каждый браузер на планете — так вот здесь мы от такой «малины» для этих «охранителей людей от закона» имеем как гарантию только доверие к Let's encrypt, правильно? Т.е. мы будем их использовать только, по сути, из-за цены коммерческих вариантов того же?
Ну и по факту мы получаем картину, когда бесплатному центру доверия чуть больше, чем коммерческим: коммерческие замечались в неблаговидных деяниях, вроде подписывания сертификата на "*." и "*.*", "*.*.*", но это, по сути, только до первого звоночка, правильно?
encyclopedist
Выданные сертификаты публикуются тут: crt.sh/?Identity=%25&iCAID=7395
achekalin
За ссылку спасибо. Но я, вообще, отвечал на крик души «сколько можно откладывать?», и отвечал шуткой.
P.S. Мне кажется, на сайтах, подобных Хабру, нет необходимости после каждой шутки писать тег «сарказм», разве нет?
P.P.S. Вообще же, когда люди из некоммерческих соображений поднимают столько серьезную штуку, как публичный CA, крики про сроки и отношение вида «давно хочу бесплатно получить то, что у всех стоит денег» выглядит несерьезно. Скажем так, купить positivessl сейчас можно настолько недорого, что кому нужно — тот (уже) купил, а остальные, по факту, видимо, могут себе позволить жить и без шифрования. А вот что многие, держащие сайты на shared хостингах, начнут писать в ТП хостингов с просьбой прикрутить сертификат к их сайтику, а хостинг выразит мысль, что на shared либо не станет это делать, либо сделает, но попросит копейку денег — вот здесь как с халявой быть? ;)
lolipop
есть бесплатный cf с бесплатным же сертом, прикручивается к любому хостингу.
encyclopedist
Простите, не распознал.