La oss kryptere | |
Opprettelse | 18. november 2014 |
---|---|
Grunnleggere | Electronic Frontier Foundation , Mozilla Foundation og University of Michigan |
Slagord | Krypter hele nettet |
Hovedkontoret |
San Francisco USA |
Aktivitet | Kryptografi |
Produkter | X.509 |
Moderselskap | Internet Security Research Group ( in ) |
Effektiv | 8 (2016) |
Nettsted |
letsencrypt.org lencr.org |
Budsjett | 3.600.000 amerikanske dollar (2019) |
Let's Encrypt (forkortet LE ) er en sertifiseringsmyndighet lansert den3. desember 2015(Beta Public Version). Denne autoriteten gir sertifikater gratis X.509 for kryptografisk protokoll TLS ved hjelp av en automatisert prosess for å skje den nåværende komplekse prosessen som involverer manuell oppretting, validering, signatur, installering av sertifikater og fornyelse til sikre nettsteder. Iseptember 2016, er det utstedt mer enn 10 millioner sertifikater.
I februar 2017, La oss kryptere ble brukt av 13,70% av de totale registrerte franske domenene.
I desember 2019, La oss kryptere gir 54,67% av TLS-sertifikater.
Prosjektet har som mål å generalisere bruken av sikre tilkoblinger på Internett. Ved å eliminere behovet for betaling, konfigurering av webserveren, validering av e-post og administrasjon av sertifikatutløp, er prosjektet laget for å redusere kompleksiteten i å sette opp og opprettholde kryptering betydelig. På en GNU / Linux- server skal bare to kommandoer være nok til å sette opp HTTPS-kryptering, anskaffelse og installasjon av sertifikater, og dette på noen få titalls sekunder.
For dette formålet er det en pakke tilgjengelig direkte fra Debian-depotene. Imidlertid er pakken tilgjengelig på GitHub .
Let's Encrypt er en tjeneste levert av Internet Security Research Group (ISRG). Hovedsponsorene er Electronic Frontier Foundation (EFF), den Mozilla Foundation , Akamai , Cisco Systems , PlanetHoster og OVHcloud . Andre partnere, som IdenTrust CA, University of Michigan (UM), Stanford Law School, Linux Foundation , Free Company , samt Stephen Kent fra Raytheon / BBN Technologies og Alex Polvi fra CoreOS er også involvert i prosjektet.
Let's Encrypt eier et RSA- rotsertifikat lagret på en maskinvaresikkerhetsmodul som ikke brukes direkte. Dette sertifikatet er ment for senere å bli erstattet av et sertifikat ECDSA som skal brukes til å signere to mellomsertifikater signert av sertifikatmyndigheten IdenTrust (in) . En av dem vil bli brukt til å signere utstedte sertifikater, den andre som et reservesertifikat i tilfelle et problem med det første. La oss kryptere sertifikater kan normalt valideres og aksepteres som standard, da IdenTrust-sertifikatet vil være forhåndsinstallert på de fleste populære nettlesere. På lang sikt forventes Let's Encrypt-sertifikatene å være forhåndsinstallert direkte i applikasjonene.
Utfordringsresponsprotokollen som brukes til å automatisere registreringer for denne nye sertifikatmyndigheten, heter Automated Certificate Management Environment ( ACME ). Det innebærer flere forespørsler til webserveren på domenet som dekkes av sertifikatet. Avhengig av svarene er kontrollen av registranter på domenet sikret (domenevalidering). For å oppnå dette, distribuerer ACME-programvareklienten en spesiell TLS-server på systemserveren som mottar spesielle forespørsler fra ACME-sertifiseringsmyndighetsserveren ved hjelp av TLS "Server Name Indication" -protokollutvidelsen. Denne prosessen godtas bare for det første sertifikatet som er utstedt for et domene (Trust On First Use, TOFU). Deretter brukes en alternativ måte å validere via et eksisterende sertifikat. Dermed, hvis kontroll over et eksisterende sertifikat går tapt, må et sertifikat anskaffes gjennom en tredjepart for å kunne få et nytt Let's Encrypt-sertifikat.
Valideringsprosessene utføres flere ganger på separate nettverksstier. Verifisering av DNS-oppføringer utføres fra flere geografiske punkter for å gjøre DNS-spoofing-angrep vanskeligere å utføre.
ACME-interaksjoner er basert på utveksling av JSON-dokumenter over HTTPS-tilkoblinger. Et utkastsspesifikasjon er tilgjengelig på GitHub , og en versjon er sendt til Internet Engineering Task Force som et forslag til en internettstandard.
Sertifiseringsmyndigheten består av programvare som heter Boulder, skrevet i Go , som implementerer serverdelen av ACME-protokollen. Denne gratis programvaren er utgitt under Mozilla Public License versjon 2. Den gir også et RESTful programmeringsgrensesnitt tilgjengelig via en TLS-kryptert kanal.
Et sertifikatadministrasjonsprogram i Python og under lisens kalt Apache er certbotinstallert på klienten (webserveren til en registrant). Dette programmet ber om sertifikatet, utfører domenevalideringsprosessen, installerer sertifikatet, konfigurerer HTTPS-kryptering i HTTP-serveren og fornyer deretter sertifikatet. Etter installasjon er det nok å kjøre en enkelt kommando for å installere et gyldig sertifikat. Flere alternativer, for eksempel OCSP-stifting eller HTTP Strict Transport Security , kan også aktiveres. Den automatiske konfigurasjonen utføres først med Apache og Nginx .
Røttene til dette prosjektet er å finne i et prosjekt gjennomført av Electronic Frontier Foundation i samarbeid med University of Michigan og et uavhengig Mozilla-prosjekt som kombinerte i Let's Encrypt. I 2014 ble moderorganisasjonen ISRG grunnlagt. Lanseringen av Let's Encrypt ble kunngjort den18. november 2014.
De 28. januar 2015ble ACME-protokollen offisielt sendt til IETF for standardisering. De9. april 2015, ISRG og Linux Foundation kunngjorde sitt samarbeid. Rot- og mellomsertifikater ble generert i begynnelsen av juni.
De 16. junible den endelige lanseringsdatoen for tjenesten kunngjort. Det første sertifikatet var forventet i uken27. juli 2015, etterfulgt av en delvis distribusjonsperiode for å sikre tjenestens sikkerhet og elastisitet. Den generelle tilgjengeligheten av tjenesten var forventet rundt uken i14. september 2015, hvis alt gikk som planlagt. De7. august 2015ble lanseringsplanen endret for å gi mer tid til å sikre systemsikkerhet og stabilitet, og utsatte det første sertifikatet som ble distribuert til uken 7. september 2015.
De 14. september 2015, Let's Encrypt distribuerer sitt første sertifikat for domenet helloworld.letsencrypt.org . Samme dag sender ISRG sitt rotsertifikat til Mozilla , Microsoft , Google og Apple . De19. oktober 2015, ble det utført en kryssignatur med IdenTrust og sertifikatene er nå anerkjent og validert av alle nettlesere. I uken16. november 2015, er tjenesten gjort tilgjengelig for publikum.