В 2015 году Mozilla и EFF начнут выдавать бесплатные SSL-сертификаты

в 5:28, , рубрики: akamai, Cisco, http, HTTPS, IdenTrust, mozilla, SSL, информационная безопасность, некоммерческие организации, сертификаты, центры сертификации

Никаких самоподписанных сертификатов уже со следующего лета

В 2015 году Mozilla и EFF начнут выдавать бесплатные SSL-сертификаты - 1Вчера фонд EFF объявил о запуске совместного с Mozilla, Cisco, Akamai, IdenTrust и Мичиганским университетом проекта Let's Encrypt. Призыв «давайте шифровать» подкреплён реальными действиями: новый центр сертификации будет выдавать бесплатные сертификаты всем желающим.

Протокол HTTP обладает рядом недостатков. Он не даёт никакой защиты от прослушки государственными структурами, интернет-провайдерами, работодателями и преступниками, что позволяет следить за пользователем и воровать его личные данные, включая пароли. Посредством атаки MitM можно легко вырезать отдельные части страниц в целях цензуры или вводить в код вредоносные объекты.

HTTPS использует шифрование передаваемых данных, это тот же HTTP, но по шифрованному посредством SSL или TLS каналу. Он далеко не идеален: с момента последней публикации крупной уязвимости SSL (Poodle) прошло всего 2 месяца. Но даже это гораздо лучше, чем ничего.

Если мы хотим значительно улучшить безопасность Интернета, то всем нам следует использовать шифрование соединения с сайтами. Однако на пути встаёт сложность, запутанность и монополизм рэкета в пользу центров сертификации.

Конечно, для работы сертификатов нужно обеспечивать их подтверждение, что требует некоторых технических затрат, но очень часто цены неоправданно высоки. Предупреждение о самоподписанности сертификата шифрования говорит не только о том, что у администратора не было 200 долларов в год на нормальный SSL-сертификат, это также значит, что невозможно установить, прослушивается ли соединение или нет.

Стоимость сертификатов и сложность настройки серверов для работы с шифрованием являются основными причинами, по которым большинство сайтов продолжает функционировать только по HTTP. В целях борьбы с этими проблемами Фонд электронных рубежей совместно с рядом компаний запускает проект Let's Encrypt. Начало работы запланировано на лето 2015 года.

Согласно проведённым исследованиям, как правило, даже опытному веб-мастеру нужно не только купить сертификат, но и потратить от 1 до 3 часов, чтобы настроить шифрование. Let's Encrypt ставит своей целью сократить это время до 20—30 секунд. В ролике ниже представлена работа версии для тестирования программного набора проекта.

Let's Encrypt работает на основе множества новых технологий для управления автоматизированным подтверждением доменов и выпуском сертификатов. Был разработан протокол под названием ACME для установления связи между веб-сервером и центром сертификации с использованием поддержки новых и более сильных форм валидации доменных имён.

О поддержке wildcard-сертификатов пока ничего не сообщается, но ничто не помешает настроить отдельные сертификаты для каждого из поддоменов.

Управлять новым проектом будет некоммерческая организация Internet Security Research Group (ISRG). Изначально в проекте принимали участие EFF, Mozilla и Мичиганский университет, а Cisco, Akamai и IdenTrust присоединились в качестве партнёров лишь ближе к запуску.

Похожим проектом является бесплатный SSL от Cloudflare, включённый по умолчанию у всех клиентов CDN-провайдера. У него есть свои недостатки: вне зависимости от наличия шифрования между тремя точками (сервер с сайтом, сервер Cloudflare, пользователь) через Cloudflare всегда проходит нешифрованный трафик. Кроме того, реализация бесплатного шифрования не поддерживается рядом старых операционных систем и браузеров.

Бесплатность другого центра выдачи сертификатов StartSSL — это по большей степени маркетинговый ход.

Ещё есть бесплатный сервис CAcert.org, но его root-сертификат не включён в большинство браузеров из-за невообразимо дорогого процесса аудита и ряда других причин, поэтому сложная и интересная структура проекта практически бесполезна. Но, наверное, громкость имён вовлечённых в Let's Encrypt компаний и серьёзность их намерений позволят избежать подобных проблем.

Сайт проекта: LetsEncrypt.org.

Автор: FakeFactFelis

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js