За последний год количество узлов в домене .RU, поддерживающих TLS (HTTPS), увеличилось в три раза. По статистике проекта «Домены России», количество таких узлов за год выросло с 34205 до 103616. Это очень большой рост.

Эксперты объясняют, что массовое внедрение HTTPS связано с выдачей автоматических сертификатов CloudFlare, а также началом деятельности центра сертификации Let`s Encrypt, который позволяет автоматически выпускать бесплатные сертификаты для веб-ресурсов.

Подавляющее большинство сертификатов со сроком действия 6 месяцев выпущены УЦ Comodo для облачного сервиса CloudFlare.



Почти все краткосрочные сертификаты выданы Let's Encrypt. Эта организация специально поощряет использование краткосрочных сертификатов, у которых есть два важных преимущества:

  1. Ограничение ущерба от компрометированных ключей и неверно выпущенных сертификатов.
  2. Поощрение автоматизации, которая необходима для простоты использования HTTPS.

Верхушка рейтинга УЦ в июне 2016 года
  • COMODO ECC Domain Validation Secure Server CA 2
  • Let's Encrypt Authority X3
  • GlobalSign Domain Validation CA — SHA256 — G2
  • COMODO RSA Domain Validation Secure Server CA
  • WoSign CA Free SSL Certificate G2
  • StartCom Class 1 DV Server CA
  • thawte DV SSL CA — G2
  • StartCom Class 1 Primary Intermediate Server CA
  • RapidSSL SHA256 CA — G3

К сожалению, защита TLS охватывает всего 3% российских сайтов, но троекратный рост за год внушает большой оптимизм. «Сложно назвать какую-то другую интернет-технологию, проникновение которой показывало бы столь же большой рост в 2015-16 гг., — пишет «Нетоскоп». — Для сравнения, согласно историческим данным, в мае-июне 2013 года число уникальных валидных сертификатов для имён .RU едва превышало 4000. В июне 2016 этот показатель составляет свыше 83000, то есть, за три года — двадцатикратный рост».



В методике проекта «Домены России» учитываются узлы, которые вернули валидный SSL-сертификат, совпадающий по имени с доменом, адресующим данный узел. Проверка производится с использованием TCP и номера порта 443.

Количество сертификатов меньше, чем количество доменов в статистике, потому что сертификат может содержать несколько имён: например, с префиксом www, или имена «дополнительных» сайтов, относящихся к одному разветвлённому ресурсу: forum.test.ru, blog.test.ru и т.д.

См. также:
«Let's Encrypt выходит в публичную бету: HTTPS всюду, каждому, отныне и навсегда бесплатно»
«Let's Encrypt: получение сертификата по шагам»
«Yet another инструкция по получению ssl-сертификата Let's Encrypt»
Поделиться с друзьями
-->

Комментарии (35)


  1. Scratch
    13.07.2016 22:26

    c 14 числа (кое-где уже сегодня) должны впилить поддержку ddns, будет еще больше!


    1. farafonoff
      13.07.2016 23:56

      Кто именно должны впилить эту поддержку? Можно ссылку на детали?


      1. Scratch
        14.07.2016 10:10

        https://github.com/letsencrypt/boulder/pull/1969


  1. a553
    13.07.2016 23:12
    -1

    Спасибо, законотворцы. За год проникновение TLS в Рунете выросло в три раза


    1. vkegdzoy
      13.07.2016 23:47
      +1

      Что там, я со скайпа на tox перешёл. Поставил плагин https-everywhere. Раньше было плевать.


      1. roboq6
        15.07.2016 03:44

        А почему сейчас Вам уже не плевать?


        1. vkegdzoy
          15.07.2016 13:42

          Сгущаются тучи. И скайп стал зависать.


          1. servermen
            15.07.2016 18:13

            Так это просто маршрутизацию «Усовершенствовали», выкинув из пиринга Level 3, вот регулярно теперь и стало отваливаться соединение с иностранными серверами. У трутней такая петрушка уже где-то с апреля месяца. Глянуть отчет по состоянию автономной системы можно тут: https://radar.qrator.net/as16345/providers#startDate=2016-04-04&endDate=2016-07-04&tab=left. То ли ещё будет!


  1. Mako_357
    13.07.2016 23:56

    Народ, подскажите. Использовал ли кто-нибудь из вас сертификат Let's Encrypt для серьёзных площадок, например, где производится онлайн оплата или закрытая часть с конфиденциальными данными?


    1. ZoomLS
      14.07.2016 00:25
      +1

      Используем. Всё ок.


    1. shteyner
      14.07.2016 17:27

      Да, совершенно ничего страшного в этом нет.
      Но, есть один плюс коммерческих сертификатов — страховка, в некоторых местах она нужна что бы тылы прикрыть)


  1. chelaxe
    14.07.2016 09:52
    +1

    Будут ли они поддерживать домены в .onion и когда? Может кто знает как и где можно прикупить сертификат для домена в .onion?


    1. mayorovp
      14.07.2016 11:10
      -1

      Зачем в .onion вообще нужен HTTPS? Там же и без того несколько слоев шифрования.


      1. ivan386
        14.07.2016 12:02
        +1

        Видимо чтобы трафик шифрованный был и от браузера до прокси. Заодно зелёный замочек будет светится.


      1. chelaxe
        14.07.2016 12:23
        +2

        В проекте используются библиотеки openpgpjs и crypto-js. Некоторые браузеры (Chrome) не желают работать с этими библиотеками без https. Сейчас пока создан корневой сертификат и им подписан сертификат для домена.


  1. ivan386
    14.07.2016 10:05
    -9

    Приватный ключь надеюсь не сливается Let's Encrypt. Ато они такие добрые мы и сгенерируем его тебе и сертификат выдадем.


    1. mistiman
      14.07.2016 11:29
      +2

      Вам осталось совсем немного, чтобы понять как работает асинхронное шифрование, продолжайте
      А если без сарказма, то приватный ключик никогда не попадает на серверы LE


      1. ivan386
        14.07.2016 11:46

        Let's Encrypt: получение сертификата по шагам

        3. Запустите установку и генерацию с помощью

        ./letsencrypt-auto --agree-dev-preview --server \https://acme-v01.api.letsencrypt.org/directory -a manual auth

        Вам будет предложено ввести электронную почту для восстановления в будущем.
        Ключ -a manual позволит сгенерировать ключи в ручном режиме без их автоматической установки на веб-сервер.


    1. h31
      14.07.2016 11:47
      +1

      gethttpsforfree.com
      Каждый шаг под вашим контролем. Держите на здоровье!


  1. shodan_x
    14.07.2016 10:54
    +1

    А есть еще Comodo PositiveSSL, 13.2 доллара за трехлетний сертификат, без гемороев как у летскриптов.


    1. magic4x
      14.07.2016 11:30

      Это каких же?


      1. Snowly
        14.07.2016 13:04

        Например я попробовал поставить на сетевое хранилище QNAP. Не осилил :( Пришлось взять сертификат в другом месте.


        1. zelenin
          14.07.2016 14:08
          +1

          не осилили что? запустить клиента? или прикрутить сертификат? процедура достаточно банальна, если понимать как это работает. Проблема может возникнуть максимум при автоматизации обновления сертфиката.


          1. xMushroom
            14.07.2016 16:30

            А без автоматизации зачем они нужны? Есть StartSSL, где бесплатно и на год.


            1. zelenin
              14.07.2016 16:41

              перечитайте коммент — он не про нужность автоматизации.


              1. xMushroom
                14.07.2016 17:00
                +2

                Вообще вся ветка комментов про геморрои у LetsEncrypt. Вы пишете, что геморроев нет, кроме как при автоматизации. Мой коммент про то, что автоматизация там и есть самая фишка, а без нее преимущества перед другими решениями нет, а есть недостаток — краткосрочный сертификат нужно часто обновлять вручную. А если с автоматизацией, то геморрои таки есть. Как-то так.


                1. zelenin
                  14.07.2016 17:51

                  нет, я пишу, что процедура проста, и максимум могут возникнуть сложности с автоматизацией, т.к. необходимо корректно все настроить и релоадить сервис, которому нужен сертификат.
                  Лично у меня с этим гемороя не было и нет — я пользуюсь клиентом на go lego. Поставил на крон что-то типа lego --renew && nginx reload раз в месяц.
                  Ну а с тезисом, что «если нет автоматизации, то зачем оно нужно», я согласен.


          1. Snowly
            14.07.2016 23:25

            Запустить клиента


            1. zelenin
              14.07.2016 23:30

              согласен. Питоновская поделка что-то с чем-то.
              https://github.com/xenolf/lego не благодарите)


    1. navion
      14.07.2016 22:14

      GGSSL ещё дешевле.


  1. Lindon_cano
    14.07.2016 13:41
    +4

    Эх, им бы еще поддержку OpenNIC'овских зон(впрочем тикет про это есть, думаю впилят).
    А я вот сижу и думаю нужна ли хаброкоммунити статья про автоматическое генерирование сертификатов при первом обращении к домену с использованием lua-resty-auto-ssl или нет. Только что закончил допилку пакета openresty под Ubuntu Trusty для работы с этим делом(и все лежит в отдельном ppa), но вот стоит ли писать статью в песочницу или те кому надо и так разберутся для меня пока вопрос.


  1. WingedRat
    14.07.2016 15:40
    +2

    Поставил сертификат на свой почтовый сервер после прочтения статьи.
    Спасибо за напоминание о Let's Encrypt! :)


  1. old_bear
    15.07.2016 00:36

    Поясните нубу плиз. По новым мега-законам все, кто поставил себе сертификат на личный nas или почтовый сервер, должны обеспечить органы ключами? [даже если это технически невозможно]


    1. Lindon_cano
      15.07.2016 11:46

      Нет, вы не обязаны. Это операторы связи обязаны предоставить ваши ключи. В РФ эти горе-законы клепают идиоты настолько далекие от IT, что они вообще не понимают о чем пишут.


      1. old_bear
        15.07.2016 13:10

        Ну ок, пусть предоставляют. :D
        Хотя печаль в том, что в наших реалиях подправить закон совсем недолго. Небольшое «уточнение формулировки» и мы все станет должны органам.