На пути к будущему, в котором каждое сетевое соединение будет зашифровано, пройдена еще одна важная веха: на днях представители проекта Let’s Encrypt объявили о том, что теперь являются официальным удостоверяющим центром.

Основанная на идеях открытого кода, инициатива Let’s Encrypt стартовала в конце прошлого года; ее основная задача — упростить реализацию HTTPS для владельцев доменов и сделать этот переход бесплатным. Месяц назад Let’s Encrypt анонсировала первый сертификат, положив начало их автоматизированному выпуску. Тогда же участники коалиции пообещали, что в будущем все популярные браузеры будут расценивать их бета-сертификаты как действительные и доверенные.

Компания-партнер IdenTrust предоставила активистам необходимые кросс-подписи, и теперь просматривать сайты, использующие сертификаты Let’s Encrypt, можно будет без необходимости использования специфических настроек. Отныне Let’s Encrypt является звеном цепи сертификации IdenTrust, что возводит ее в ранг доверенного УЦ.

«Сертификаты, выпущенные в бета-версии, будут расцениваться браузерами как настоящие и доверенные. Мы начнем предоставлять услуги по выдаче сертификатов начиная с 21 ноября и будем делать это бесплатно, в том числе в тех случаях, когда речь идет о коммерческом использовании, — заявил штатный технолог EFF Сет Шон (Seth David Schoen). — Мы проделали большую работу. С PKI-системой (Public Key Infrastructure) связано много бюрократической волокиты, и нам пришлось разработать немало новых документов«.

Откровения Сноудена встряхнули IT-сообщество, и многие технологические компании приложили массу усилий, чтобы HTTPS стал основным стандартом для сетевых соединений.

«Я считаю, что Let’s Encrypt сыграет важную роль в обеспечении безопасности Сети, ведь теперь любой владелец сайта сможет бесплатно получить сертификат всего за минуту, — уверен Шон. — Как мне кажется, для многих провайдеров это хороший шанс изменить дефолтные настройки в пользу HTTPS. Конечно, придется еще поработать, чтобы инфраструктура смогла эффективно взаимодействовать со всеми платформами и средами. Тем не менее самый трудный шаг — создание УЦ — уже сделан».

Проект Let’s Encrypt шел к этой вехе плавными и размеренными шагами: сначала активисты заручились поддержкой технологических компаний, затем было заключено партнерское соглашение с IdenTrust и проделана колоссальная работа по созданию защищенной инфраструктуры для хранения ключей шифрования. Кроме того, как отметил в комментарии Threatpost Питер Экерсли (Peter Eckersley) из EFF, им пришлось разработать доверенный механизм аутентификации. Этот механизм, нареченный Boulder, был создан на основе нового протокола — ACME (Automated Certificate Management Environment, среда автоматизированного управления сертификатами).

«Эта система позволяет претенденту отправить запрос на получение сертификата автоматизированными средствами, а УЦ — произвести тестирование, прежде чем выдать сертификат», — пояснил Экерсли.

Со временем администраторы будут просто запускать клиент, чтобы аутентифицировать сервер. Им будут доступны функции HTTP Strict Transport Security (HSTS) и OCSP Stapling, а также автоматический редирект на HTTPS-версии страниц сайта.

Шон со своей стороны отметил, что в рамках проекта Let’s Encrypt уже запущен демонстрационный сайт, наглядно показывающий, как работают новые сертификаты. Здесь же в качестве примера показана цепь из трех сертификатов.

«Корневой сертификат имеет название DST Root CA X3 — по имени УЦ, которым владеет IdenTrust. Посередине находится новый сертификат — Let’s Encrypt Authority X1: так называется наш промежуточный УЦ, и, если вы посмотрите его описание, там будет фигурировать сертификат DST Root CA X3, подтверждающий, что Let’s Encrypt Authority X1 является действующим УЦ, — разбирает цепочку эксперт. — Конечный сертификат выдан Let’s Encrypt Authority X1 и описывает криптографический ключ, использующийся на веб-сайте helloworld.letsencrypt.org. Поскольку среднее звено только что создано, браузер на основе данных от Let’s Encrypt Authority X1 будет считать этот сайт доверенным».

Категории: Кибероборона