Организация информационной безопасности


Let`s Encrypt стал официальным УЦ

Фотография предоставлена:

На пути к будущему, в котором каждое сетевое соединение будет зашифровано, пройдена еще одна важная веха: на днях представители проекта Let's Encrypt объявили о том, что теперь являются официальным удостоверяющим центром.

Основанная на идеях открытого кода инициатива Let's Encrypt стартовала в конце прошлого года; ее основная задача — упростить реализацию HTTPS для владельцев доменов и сделать этот переход бесплатным. Месяц назад Let's Encrypt анонсировала первый сертификат, положив начало их автоматизированному выпуску. Тогда же участники коалиции пообещали, что в будущем все популярные браузеры будут расценивать их бета-сертификаты как действительные и доверенные.

Компания-партнер IdenTrust предоставила активистам необходимые кросс-подписи, и теперь просматривать сайты, использующие сертификаты Let's Encrypt, можно будет без необходимости использования специфических настроек. Отныне Let's Encrypt является звеном цепи сертификации IdenTrust, что возводит ее в ранг доверенного УЦ.

«Сертификаты, выпущенные в бета-версии, будут расцениваться браузерами как 'настоящие' и доверенные. Мы начнем предоставлять услуги по выдаче сертификатов, начиная с 21 ноября, и будем делать это бесплатно, в том числе в тех случаях, когда речь идет о коммерческом использовании, — заявил штатный технолог EFF Сет Шон (Seth David Schoen). — Мы проделали большую работу. С PKI-системой (Public Key Infrastructure) связано много бюрократической волокиты, и нам пришлось разработать немало новых документов«.

Откровения Сноудена встряхнули IT-сообщество, и многие технологические компании приложили массу усилий, чтобы HTTPS стал основным стандартом для сетевых соединений.

«Я считаю, что Let's Encrypt сыграет важную роль в обеспечении безопасности Сети, ведь теперь любой владелец сайта сможет бесплатно получить сертификат всего за минуту, — уверен Шон. — Как мне кажется, для многих провайдеров это хороший шанс изменить дефолтные настройки в пользу HTTPS. Конечно, придется еще поработать, чтобы инфраструктура смогла эффективно взаимодействовать со всеми платформами и средами. Тем не менее, самый трудный шаг — создание УЦ, уже сделан».

Проект Let's Encrypt шел к этой вехе плавными и размеренными шагами: сначала активисты заручились поддержкой технологических компаний, затем было заключено партнерское соглашение с IdenTrust и проделана колоссальная работа по созданию защищенной инфраструктуры для хранения ключей шифрования. Кроме того, как отметил в комментарии Threatpost Питер Экерсли (Peter Eckersley) из EFF, им пришлось разработать доверенный механизм аутентификации. Этот механизм, нареченный Boulder, был создан на основе нового протокола, ACME (Automated Certificate Management Environment, среда автоматизированного управления сертификатами).

«Эта система позволяет претенденту отправить запрос на получение сертификата автоматизированными средствами, а УЦ — произвести тестирование, прежде чем выдать сертификат», — пояснил Экерсли.

Со временем администраторы будут просто запускать клиент, чтобы аутентифицировать сервер. Им будут доступны функции HTTP Strict Transport Security (HSTS) и OCSP Stapling, а также автоматический редирект на HTTPS-версии страниц сайта.

Шон, со своей стороны, отметил, что в рамках проекта Let's Encrypt уже запущен демонстрационный сайт, наглядно показывающий, как работают новые сертификаты. Здесь же в качестве примера показана цепь из трех сертификатов.

«Корневой сертификат имеет название DST Root CA X3 — по имени УЦ, которым владеет IdenTrust. Посередине находится новый сертификат, Let's Encrypt Authority X1 — так называется наш промежуточный УЦ, и если вы посмотрите его описание, там будет фигурировать сертификат DST Root CA X3, подтверждающий, что Let's Encrypt Authority X1 является действующим УЦ, — разбирает цепочку эксперт. — Конечный сертификат выдан Let's Encrypt Authority X1 и описывает криптографический ключ, использующийся на веб-сайте helloworld.letsencrypt.org. Поскольку среднее звено только что создано, браузер на основе данных от Let's Encrypt Authority X1 будет считать этот сайт доверенным».

22.10.2015 09:33