Lad os kryptere

Lad os kryptere
lad os kryptere illustration
Skabelse 18. november 2014
Grundlæggere Electronic Frontier Foundation , Mozilla Foundation og University of Michigan
Slogan Krypter hele internettet
Hovedkontoret San Francisco USA
 
Aktivitet Kryptografi
Produkter X.509
Moderselskab Internet Security Research Group ( in )
Effektiv 8 (2016)
Internet side letsencrypt.org
lencr.org
Budget 3.600.000 amerikanske dollars (2019)

Let's Encrypt (forkortet LE ) er en certificeringsmyndighed, der blev lanceret den3. december 2015(Offentlig betaversion). Denne myndighed giver certifikater gratis X.509 til kryptografisk protokol TLS ved hjælp af en automatiseret proces til at ske den nuværende komplekse proces, der involverer manuel oprettelse, validering, signatur, installation af certifikater og fornyelse til de sikre websteder. Iseptember 2016, er der udstedt mere end 10 millioner certifikater.

I februar 2017, Lad os kryptere blev brugt af 13,70% af de samlede registrerede franske domæner.

I december 2019Lad os kryptere giver 54,67% af TLS-certifikater.

Præsentation

Projektet sigter mod at generalisere brugen af ​​sikre forbindelser på Internettet. Ved at eliminere behovet for betaling, konfiguration af webserver, validering af e-mails og certifikatudløbshåndtering er projektet lavet til at reducere kompleksiteten af ​​opsætning og vedligeholdelse af kryptering betydeligt. På en GNU / Linux- server antages det kun at udføre to kommandoer at være nok til at opsætte HTTPS-kryptering, erhvervelse og installation af certifikater, og dette på få ti sekunder.

Til dette formål er der en pakke tilgængelig direkte fra Debian-arkiverne. Pakken er dog tilgængelig på GitHub .

Interessenter

Lad os kryptere er en tjeneste leveret af Internet Security Research Group (ISRG). Hovedsponsorerne er Electronic Frontier Foundation (EFF), Mozilla Foundation , Akamai , Cisco Systems , PlanetHoster og OVHcloud . Andre partnere, såsom IdenTrust CA, University of Michigan (UM), Stanford Law School, Linux Foundation , Free Company samt Stephen Kent fra Raytheon / BBN Technologies og Alex Polvi fra CoreOS er også involveret i projektet.

Teknologi

Lad os kryptere ejer et RSA- rodcertifikat, der er gemt på et hardwaresikkerhedsmodul , der ikke bruges direkte. Dette certifikat er beregnet til senere erstattet af et certifikat ECDSA, der vil blive brugt til at underskrive to mellemliggende certifikater underskrevet af certifikatmyndigheden IdenTrust  (in) . En af dem vil blive brugt til at underskrive de udstedte certifikater, den anden som et backupcertifikat i tilfælde af et problem med den første. Lad os kryptere certifikater kan normalt valideres og accepteres som standard, da IdenTrust-certifikatet vil være forudinstalleret på de mest populære internetbrowsere. På lang sigt forventes Let's Encrypt-certifikater at være forudinstalleret direkte i applikationerne.

Den udfordringsresponsprotokol, der bruges til at automatisere registreringer til denne nye certifikatmyndighed, kaldes ACME ( Automated Certificate Management Environment ). Det involverer flere anmodninger til webserveren på det domæne, der er omfattet af certifikatet. Afhængigt af svarene sikres kontrollen af ​​registranter på domænet (domæne validering). For at opnå dette implementerer ACME-softwareklienten en speciel TLS-server på systemserveren, der modtager specielle anmodninger fra ACME-certifikatmyndighedsserveren ved hjælp af TLS "Server Name Indication" -protokoludvidelsen. Denne proces accepteres kun for det første certifikat, der udstedes for et domæne (Trust On First Use, TOFU). Derefter anvendes en alternativ måde til validering via et eksisterende certifikat. Således, hvis kontrol over et eksisterende certifikat går tabt, skal et certifikat erhverves gennem en tredjepart for at være i stand til at få et andet Let's Encrypt-certifikat.

Valideringsprocesserne udføres flere gange på separate netværksstier. Verifikation af DNS-poster udføres fra flere geografiske punkter for at gøre DNS-spoofing-angreb sværere at udføre.

ACME-interaktioner er baseret på udveksling af JSON-dokumenter via HTTPS-forbindelser. En udkastspecifikation er tilgængelig på GitHub , og en version er sendt til Internet Engineering Task Force som et forslag til en internetstandard.

Softwareimplementering

Certificeringsmyndigheden består af software kaldet Boulder, skrevet i Go , som implementerer serverdelen af ​​ACME-protokollen. Denne gratis software frigives under Mozilla Public License version 2. Den giver også en RESTful programmeringsgrænseflade tilgængelig via en TLS-krypteret kanal.

Et certifikatstyringsprogram i Python og under licens kaldet Apache er certbot​installeret på klienten (en registrants webserver). Dette program anmoder om certifikatet, udfører domænevalideringsprocessen, installerer certifikatet, konfigurerer HTTPS-kryptering i HTTP-serveren og fornyer derefter certifikatet. Efter installationen er det nok at køre en enkelt kommando til at installere et gyldigt certifikat. Yderligere indstillinger, såsom OCSP hæftning eller HTTP Strict Transport Security , kan også aktiveres. Den automatiske konfiguration udføres oprindeligt kun med Apache og Nginx .

Historie og begivenheder

Rødderne til dette projekt findes i et projekt udført af Electronic Frontier Foundation i samarbejde med University of Michigan og et uafhængigt Mozilla-projekt, der kombinerede i Let's Encrypt. I 2014 blev moderorganisationen ISRG grundlagt. Lanceringen af ​​Let's Encrypt blev annonceret den18. november 2014.

Det 28. januar 2015blev ACME-protokollen officielt forelagt IETF til standardisering. Det9. april 2015, ISRG og Linux Foundation meddelte deres samarbejde. Rod- og mellemcertifikater blev genereret i begyndelsen af ​​juni.

Det 16. juniblev den endelige lanceringsdato for tjenesten annonceret. Det første certifikat forventedes i ugen af27. juli 2015, efterfulgt af en delvis distributionsperiode for at sikre tjenestens sikkerhed og elasticitet. Den generelle tilgængelighed af tjenesten forventedes omkring ugen i14. september 2015, hvis alt gik som planlagt. Det7. august 2015blev lanceringsplanen ændret for at give mere tid til at sikre systemsikkerhed og stabilitet, idet det første certifikat, der blev distribueret, blev udsat til ugen i 7. september 2015.

Det 14. september 2015Lad os kryptere distribuerer sit første certifikat til domænet helloworld.letsencrypt.org . Samme dag indsender ISRG sit rodcertifikat til Mozilla , Microsoft , Google og Apple . Det19. oktober 2015, blev der udført en krydssignatur med IdenTrust, og certifikaterne er nu anerkendt og valideret af alle webbrowsere. I ugen af16. november 2015, er tjenesten gjort tilgængelig for offentligheden.

Referencer

(fr) Denne artikel er helt eller delvist taget fra Wikipedia-artiklen på engelsk med titlen Let's Encrypt  " ( se listen over forfattere ) .
  1. “  https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html  ”
  2. "  https://letsencrypt.org/2018/12/31/looking-forward-to-2019.html  "
  3. (i) Sean Michael Kerner, lad os kryptere indsatsmål for at forbedre internetsikkerhed  "eweek.com ,18. november 2014(adgang til 26. september 2015 )
  4. "  Vi har nu udstedt mere end 10 millioner certifikater.  » , På Twitter ,9. september 2016(adgang til 11. september 2016 )
  5. "  Statistikker over den franske internettet. udomo.fr  ” , på www.udomo.fr (adgang 12. februar 2017 )
  6. (in) "  Censys  "Censys (adgang til 11. december 2019 )
  7. (de) Fabian A. Scherschel, Lad os kryptere  : Mozilla und die EFF mischen den CA-Markt auf  " , på heise.de ,19. november 2014(adgang til 26. september 2015 ) .
  8. Debian Site Manager, [email protected] , “  Debian - Certbot-pakkeoplysninger i stræk  ” , på packages.debian.org (adgang 27. oktober 2017 )
  9. "  Kom godt i gang - Lad os kryptere - Gratis SSL / TLS-certifikater  " , på letsencrypt.org (adgang til 5. juni 2016 )
  10. "  Nuværende sponsorer - lad os kryptere - gratis SSL / TLS-certifikater  " , på letsencrypt.org (adgang 28. juli 2016 )
  11. (in) EFF, Mozilla tilbage ny certifikatmyndighed, der vil tilbyde gratis SSL-certifikater  : Den nye CA s'intitule lad os kryptere, og dens mål er at tilskynde til den udbredte vedtagelse af SSL / TLS på Internettet  "arnnet.com.au (adgang til 26. september 2015 ) .
  12. (in) Jakub Warmuz "  letsencrypt / Boulder: LICENSE.txt  "github.com ,29. januar 2015(adgang til 26. september 2015 ) .
  13. (in) Peter Eckersley, lad os kryptere Enters Private Beta  "hjemmesiden for Electronic Frontier Foundation ,20. oktober 2015(adgang til 22. oktober 2015 ) .
  14. Vincent Hermann, “  Gratis SSL-certifikater: Lad os kryptere fremskridt, offentlig beta næste måned  ” , på nextinpact.com ,22. oktober 2015(adgang til 22. oktober 2015 ) .

Tillæg

Relaterede artikler

eksterne links