Let’s Encrypt, движение по автоматизированному выпуску бесплатных HTTPS-сертификатов, сегодня прошло важную веху, выпустив свой первый сертификат.

Всеобщее желание ввести криптографию в веб-сервисах ускоряет развитие таких проектов, как Let’s Encrypt, который был анонсирован в минувшем ноябре и должен был к концу этого лета сделать доступными бесплатные сертификаты. «Отсутствие бесплатных автоматизированных сертификатов было самым большим кусочком мозаики, тормозившим переход Интернета на HTTPS по умолчанию, — сказал Питер Экерсли (Peter Eckersley), старший компьютерный исследователь из Electronic Frontier Foundation (EFF). — Мы крайне рады, что нам наконец удалось вставить недостающую деталь в этот пазл».

Коалиция технологических компаний, включая Mozilla, Cisco, Akamai, Automattic и IdenTrust, присоединилась к EFF и Университету Мичигана в конце прошлого года в проекте Let’s Encrypt — инициатива, основанная на идеях открытого кода и контролируемая калифорнийской некоммерческой организацией Internet Security Research Group (ISRG).

Задача Let’s Encrypt — сделать внедрение HTTPS простым и бесплатным для владельцев доменов.

«Чтобы стать удостоверяющим центром, вам нужно много специализированных инфраструктурных и защитных механизмов, а также много возни с бумагами касательно того, что эти процессы прошли аудит, что резервные запасные процессы прошли аудит и что ваши средства бесперебойной работы прошли аудит, — сказал Экерсли. — И это знак того, что Let’s Encrypt сделал всю свою домашнюю работу».

Экерсли заявил, что проект в течение месяца выпустит бета-версии сертификатов, которые должны будут расцениваться браузерами как действительные. IdenTrust предоставляет Let’s Encrypt кросс-подпись, необходимую для того, чтобы считаться удостоверяющим центром для браузеров и другого программного обеспечения.

Поиск этого партнера стал вызовом для Let’s Encrypt, после которого следуют создание защищенной инфраструктуры, где ключи и аппаратные модули безопасности хранятся в защищенных локациях, и создание надежной сети для их защиты. Экерсли заявил, что Let’s Encrypt имеет вторую линию обороны, которая предупреждает о потенциальных компрометациях и позволяет проекту быстро восстанавливаться после атаки.

«В нашем случае, так как мы не выпускаем сертификаты с участием человека, нам понадобилось построить доверенный аутентификационный механизм, — сказал Экерсли. — Этот механизм, называющийся Boulder, был построен на основе нового протокола, называемого ACME [Automated Certificate Management Environment, среда автоматизированного управления сертификатами]. Это позволяет людям создавать автоматизированные запросы на сертификаты, а удостоверяющему центру позволяет отвечать списком условий выпуска сертификата».

В конце концов веб-мастера просто должны запустить клиент для аутентификации своих серверов. Они также смогут включать функции для своего сайта, такие как HTTP Strict Transport Security (HSTS), прикрепление OCSP и перенаправление посетителей со старой HTTP-версии сайта на новую HTTPS-версию.

«Мы ожидаем, что у нас будет спектр пользователей — от малых разработчиков, ведущих собственные сайты, до тех, кто хостит дюжины сайтов на UNIX-машине с Apache, и до серьезных хостинг-провайдеров», — сказал Экерсли.

Джош Аас (Josh Aas), исполнительный директор ISRG, сказал, что кросс-подпись пока не применяется в Let’s Encrypt, но первый сертификат работает, если корневой сертификат ISRG установлен в доверенном каталоге сертификатов.

«Когда мы будем иметь кросс-подпись, предположительно через месяц, наши сертификаты будут работать практически везде, когда наш корневой сертификат распространится», — сказал Аас, добавив, что Let’s Encrypt уже подал начальные заявки в программы корневых сертификатов Google, Mozilla, Apple и Microsoft.

«Сегодня праздник у каждого, кого серьезно волнует веб-безопасность», — написал Рейни Рейтман (Rainey Reitman), директор по активности EFF, на сайте организации.

Категории: Главное, Кибероборона