Vamos criptografar emitiu um bilhão de certificados

Em 27 de fevereiro de 2020, uma autoridade de certificação gratuita Let's Encrypt emitiu um bilionésimo certificado .

Em um comunicado de imprensa festivo, os representantes do projeto lembram que o aniversário anterior de 100 milhões de certificados emitidos foi comemorado em junho de 2017 . A participação do tráfego HTTPS na Internet foi de 58% (nos EUA - 64%). Em dois anos e meio, os números cresceram significativamente: “Hoje, 81% das páginas de download em todo o mundo usam HTTPS, e nos Estados Unidos estamos em 91%! - os caras do projeto se alegram. - Uma conquista incrível. Esse é um nível muito mais alto de privacidade e segurança para todos. ”

O Let's Encrypt desempenhou um papel muito importante ao tornar os certificados HTTPS um padrão utilitário e criptografia de tráfego confiável - o padrão perfeito na Internet.

O teste beta da inovadora autoridade de certificação Let's Encrypt começou em dezembro de 2015. Uma característica exclusiva do novo centro era que o processo de emissão de certificados foi inicialmente totalmente automatizado.

A configuração automática de HTTPS no servidor ocorre em dois estágios. No primeiro estágio, o agente notifica a autoridade de certificação dos direitos de administrador do servidor sobre o nome de domínio. Por exemplo, uma verificação pode incluir a criação de um subdomínio específico ou a instalação de um recurso HTTP com um URI específico dentro do domínio.



Vamos criptografar identifica o servidor da web com o agente executando pela chave pública. As chaves pública e privada são geradas pelo agente antes da primeira conexão com uma autoridade de certificação. Durante a verificação automática, o agente executa vários testes: por exemplo, assina a senha descartável com a chave pública e apresenta um recurso HTTP com um URI específico. Se a assinatura digital estiver correta e todos os testes forem aprovados, o agente terá direitos para gerenciar certificados para o domínio.



Em uma segunda etapa, um agente pode solicitar, renovar e revogar certificados. Para emissão automática de certificado, é usado um protocolo de autenticação de resposta de desafio (resposta à chamada, resposta à chamada) chamado Ambiente de Gerenciamento de Certificado Automatizado (ACME). Todas as manipulações de certificado são executadas sem parar o servidor da web usando o cliente Certbot ACME . É fácil de usar, funciona na maioria dos sistemas operacionais e está bem documentado. Há um modo especialista com um conjunto expandido de configurações. Além do Certbot, existem muitos outros clientes ACME .

O importante papel do Let's Encrypt

Let's Encrypt revolucionou um mercado em que as autoridades de certificação comercial dominavam. Agora eles estão praticamente fora do negócio de emitir certificados DV (certificados de validação de domínio, validação de domínio), embora continuem vendendo certificados de confirmação da organização (validação da organização, OV) e certificados de alta confiabilidade (validação estendida, EV), que o Let's Encrypt não emite, porque eles não podem ser automatizados. No entanto, este é um produto de nicho, e os certificados gratuitos Let's Encrypt reinam supremos no mercado de massa.

Vamos Criptografar tornou a reemissão automática de certificados o padrão. Apesar de sua vida útil curta (90 dias), o procedimento automático elimina o “fator humano”, que tradicionalmente representa a principal vulnerabilidade de segurança. Os administradores de domínio geralmente simplesmente esquecem de renovar seus certificados, e é por isso que os serviços falham. O último incidente desse tipo ocorreu com o Microsoft Teams. Em 3 de fevereiro de 2020, este serviço de colaboração ficou offline devido a um certificado expirado .

A substituição automática de certificados via ACME elimina a possibilidade de tais incidentes.

Embora o projeto Let's Encrypt atenda a metade da Internet, no mundo físico é uma pequena organização sem fins lucrativos: “Nos últimos dois anos e meio, nossa organização cresceu, mas não tanto! Eles escrevem. - Em junho de 2017, atendemos cerca de 46 milhões de sites com 11 funcionários em período integral e um orçamento anual de US $ 2,61 milhões. Atualmente, atendemos quase 192 milhões de sites com 13 funcionários em período integral e um orçamento anual de aproximadamente US $ 3,35 milhões. Isso significa que atendemos mais de quatro vezes mais sites com apenas dois funcionários adicionais e um aumento de 28% no orçamento. ”

O apoio ao projeto vem de doações e patrocínios .

Até o momento, o HTTPS se tornou o padrão de fato na Internet. Desde o ano passado, os principais navegadores alertaram os usuários sobre os perigos de se conectar a sites que não criptografam o tráfego por HTTPS. O mérito de Let's Encrypt é uma mudança no cenário de segurança.

Para todo o resto, o Let's Encrypt literalmente reviveu a infraestrutura dos servidores XMPP públicos . Agora, o Jabber trabalha com criptografia forte nos níveis cliente-servidor e servidor-servidor, e a maioria absoluta dos certificados foi emitida pelo Let's Encrypt.



"Como comunidade, fizemos coisas incríveis para proteger as pessoas na Internet", disse o comunicado à imprensa . "A emissão de um bilhão de certificados é uma confirmação de todo o progresso que fizemos como comunidade".