La oss kryptere

La oss kryptere
la oss kryptere illustrasjon
Opprettelse 18. november 2014
Grunnleggere Electronic Frontier Foundation , Mozilla Foundation og University of Michigan
Slagord Krypter hele nettet
Hovedkontoret San Francisco USA
 
Aktivitet Kryptografi
Produkter X.509
Moderselskap Internet Security Research Group ( in )
Effektiv 8 (2016)
Nettsted letsencrypt.org
lencr.org
Budsjett 3.600.000 amerikanske dollar (2019)

Let's Encrypt (forkortet LE ) er en sertifiseringsmyndighet lansert den3. desember 2015(Beta Public Version). Denne autoriteten gir sertifikater gratis X.509 for kryptografisk protokoll TLS ved hjelp av en automatisert prosess for å skje den nåværende komplekse prosessen som involverer manuell oppretting, validering, signatur, installering av sertifikater og fornyelse til sikre nettsteder. Iseptember 2016, er det utstedt mer enn 10 millioner sertifikater.

I februar 2017, La oss kryptere ble brukt av 13,70% av de totale registrerte franske domenene.

I desember 2019, La oss kryptere gir 54,67% av TLS-sertifikater.

Presentasjon

Prosjektet har som mål å generalisere bruken av sikre tilkoblinger på Internett. Ved å eliminere behovet for betaling, konfigurering av webserveren, validering av e-post og administrasjon av sertifikatutløp, er prosjektet laget for å redusere kompleksiteten i å sette opp og opprettholde kryptering betydelig. På en GNU / Linux- server skal bare to kommandoer være nok til å sette opp HTTPS-kryptering, anskaffelse og installasjon av sertifikater, og dette på noen få titalls sekunder.

For dette formålet er det en pakke tilgjengelig direkte fra Debian-depotene. Imidlertid er pakken tilgjengelig på GitHub .

Interessenter

Let's Encrypt er en tjeneste levert av Internet Security Research Group (ISRG). Hovedsponsorene er Electronic Frontier Foundation (EFF), den Mozilla Foundation , Akamai , Cisco Systems , PlanetHoster og OVHcloud . Andre partnere, som IdenTrust CA, University of Michigan (UM), Stanford Law School, Linux Foundation , Free Company , samt Stephen Kent fra Raytheon / BBN Technologies og Alex Polvi fra CoreOS er også involvert i prosjektet.

Teknologi

Let's Encrypt eier et RSA- rotsertifikat lagret på en maskinvaresikkerhetsmodul som ikke brukes direkte. Dette sertifikatet er ment for senere å bli erstattet av et sertifikat ECDSA som skal brukes til å signere to mellomsertifikater signert av sertifikatmyndigheten IdenTrust  (in) . En av dem vil bli brukt til å signere utstedte sertifikater, den andre som et reservesertifikat i tilfelle et problem med det første. La oss kryptere sertifikater kan normalt valideres og aksepteres som standard, da IdenTrust-sertifikatet vil være forhåndsinstallert på de fleste populære nettlesere. På lang sikt forventes Let's Encrypt-sertifikatene å være forhåndsinstallert direkte i applikasjonene.

Utfordringsresponsprotokollen som brukes til å automatisere registreringer for denne nye sertifikatmyndigheten, heter Automated Certificate Management Environment ( ACME ). Det innebærer flere forespørsler til webserveren på domenet som dekkes av sertifikatet. Avhengig av svarene er kontrollen av registranter på domenet sikret (domenevalidering). For å oppnå dette, distribuerer ACME-programvareklienten en spesiell TLS-server på systemserveren som mottar spesielle forespørsler fra ACME-sertifiseringsmyndighetsserveren ved hjelp av TLS "Server Name Indication" -protokollutvidelsen. Denne prosessen godtas bare for det første sertifikatet som er utstedt for et domene (Trust On First Use, TOFU). Deretter brukes en alternativ måte å validere via et eksisterende sertifikat. Dermed, hvis kontroll over et eksisterende sertifikat går tapt, må et sertifikat anskaffes gjennom en tredjepart for å kunne få et nytt Let's Encrypt-sertifikat.

Valideringsprosessene utføres flere ganger på separate nettverksstier. Verifisering av DNS-oppføringer utføres fra flere geografiske punkter for å gjøre DNS-spoofing-angrep vanskeligere å utføre.

ACME-interaksjoner er basert på utveksling av JSON-dokumenter over HTTPS-tilkoblinger. Et utkastsspesifikasjon er tilgjengelig på GitHub , og en versjon er sendt til Internet Engineering Task Force som et forslag til en internettstandard.

Programvareimplementering

Sertifiseringsmyndigheten består av programvare som heter Boulder, skrevet i Go , som implementerer serverdelen av ACME-protokollen. Denne gratis programvaren er utgitt under Mozilla Public License versjon 2. Den gir også et RESTful programmeringsgrensesnitt tilgjengelig via en TLS-kryptert kanal.

Et sertifikatadministrasjonsprogram i Python og under lisens kalt Apache er certbot​installert på klienten (webserveren til en registrant). Dette programmet ber om sertifikatet, utfører domenevalideringsprosessen, installerer sertifikatet, konfigurerer HTTPS-kryptering i HTTP-serveren og fornyer deretter sertifikatet. Etter installasjon er det nok å kjøre en enkelt kommando for å installere et gyldig sertifikat. Flere alternativer, for eksempel OCSP-stifting eller HTTP Strict Transport Security , kan også aktiveres. Den automatiske konfigurasjonen utføres først med Apache og Nginx .

Historie og hendelser

Røttene til dette prosjektet er å finne i et prosjekt gjennomført av Electronic Frontier Foundation i samarbeid med University of Michigan og et uavhengig Mozilla-prosjekt som kombinerte i Let's Encrypt. I 2014 ble moderorganisasjonen ISRG grunnlagt. Lanseringen av Let's Encrypt ble kunngjort den18. november 2014.

De 28. januar 2015ble ACME-protokollen offisielt sendt til IETF for standardisering. De9. april 2015, ISRG og Linux Foundation kunngjorde sitt samarbeid. Rot- og mellomsertifikater ble generert i begynnelsen av juni.

De 16. junible den endelige lanseringsdatoen for tjenesten kunngjort. Det første sertifikatet var forventet i uken27. juli 2015, etterfulgt av en delvis distribusjonsperiode for å sikre tjenestens sikkerhet og elastisitet. Den generelle tilgjengeligheten av tjenesten var forventet rundt uken i14. september 2015, hvis alt gikk som planlagt. De7. august 2015ble lanseringsplanen endret for å gi mer tid til å sikre systemsikkerhet og stabilitet, og utsatte det første sertifikatet som ble distribuert til uken 7. september 2015.

De 14. september 2015, Let's Encrypt distribuerer sitt første sertifikat for domenet helloworld.letsencrypt.org . Samme dag sender ISRG sitt rotsertifikat til Mozilla , Microsoft , Google og Apple . De19. oktober 2015, ble det utført en kryssignatur med IdenTrust og sertifikatene er nå anerkjent og validert av alle nettlesere. I uken16. november 2015, er tjenesten gjort tilgjengelig for publikum.

Referanser

(fr) Denne artikkelen er delvis eller helt hentet fra Wikipedia-artikkelen på engelsk med tittelen Let's Encrypt  " ( se listen over forfattere ) .
  1. “  https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html  ”
  2. "  https://letsencrypt.org/2018/12/31/looking-forward-to-2019.html  "
  3. (i) Sean Michael Kerner, la oss kryptere innsatsmål for å forbedre Internett-sikkerhet  "eweek.com ,18. november 2014(åpnet 26. september 2015 )
  4. "  Vi har nå utstedt mer enn 10 millioner sertifikater.  » , På Twitter ,9. september 2016(åpnet 11. september 2016 )
  5. "  Statistikk på det franske internett. udomo.fr  ” , på www.udomo.fr (åpnet 12. februar 2017 )
  6. (in) "  Censys  "Censys (åpnet 11. desember 2019 )
  7. (de) Fabian A. Scherschel, Let's Encrypt  : Mozilla und die EFF mischen den CA-Markt auf  " , på heise.de ,19. november 2014(åpnet 26. september 2015 ) .
  8. Debian Site Manager, [email protected] , “  Debian - Certbot Package Details in Stretch  ” , på packages.debian.org (åpnet 27. oktober 2017 )
  9. "  Komme i gang - La oss kryptere - gratis SSL / TLS-sertifikater  " , på letsencrypt.org (åpnet 5. juni 2016 )
  10. "  Nåværende sponsorer - La oss kryptere - gratis SSL / TLS-sertifikater  " , på letsencrypt.org (åpnet 28. juli 2016 )
  11. (in) EFF, Mozilla tilbake ny sertifikatmyndighet som vil tilby gratis SSL-sertifikater  : Den nye CA s'intitule la oss kryptere og målet er å oppmuntre til utbredt bruk av SSL / TLS på Internett  "arnnet.com.au (åpnet 26. september 2015 ) .
  12. (in) Jakub Warmuz "  letsencrypt / Boulder: LICENSE.txt  "github.com ,29. januar 2015(åpnet 26. september 2015 ) .
  13. (i) Peter Eckersley, la oss kryptere Enters Private Beta  "nettstedet til Electronic Frontier Foundation ,20. oktober 2015(åpnet 22. oktober 2015 ) .
  14. Vincent Hermann, "  Gratis SSL-sertifikater: La oss kryptere fremgang, offentlig beta neste måned  " , på nextinpact.com ,22. oktober 2015(åpnet 22. oktober 2015 ) .

Vedlegg

Relaterte artikler

Eksterne linker