Onko Let's Encrypt todella täysin ilmainen?

Kyllä, sertifikaattien osalta. ISRG ottaa vastaan lahjoituksia ja yritysten sponsorointia toiminnan rahoittamiseksi. Ei ole tasoja, ei lisämyyntiä eikä mistään ominaisuuksista peritä maksuja. Kustannuksista vastaavat sponsorit ja lahjoittajat, joten laajempi Internet saa HTTPS:n ilman rajakustannuksia.

Ovatko Let's Encrypt -varmenteet yhtä turvallisia kuin maksulliset?

Salaus on identtinen – jokainen julkisen juuriohjelman CA käyttää samoja TLS-standardeja. Let's Encryptin sertifikaatit hyväksyvät kaikki nykyaikaiset selaimet. Erot ovat validointitasossa (vain DV) ja toiminnallisessa tuessa, eivät tietoturvan vahvuudessa.

Kuinka usein minun on uusittava?

Käytännössä 60 päivän välein – asiakkaat uusivat, kun varmennetta on jäljellä 30 päivää. ACME:n idea on, että tämä on automatisoitu, joten uusiminen tapahtuu huomaamatta. Jos asiakkaasi rikkoutuu, saat Let's Encryptin vanhentumissähköpostit, joissa on 20 päivää aikaa korjata asia.

Voiko verkkosivusto valehdella siitä, että se on suojattu Let's Encryptin avulla?

Tietojenkalastelusivusto voi ehdottomasti saada Let's Encrypt -varmenteen omalle toimialueelleen – jokainen CA antaa kaikille, jotka voivat todistaa toimialueensa hallinnan. Varmenne todistaa, että sivusto on se, mitä sen URL-osoite sanoo sen olevan, ei sen, että sivusto on luotettava. Domain Validation on aina tarkoittanut tätä, eikä Let's Encryptin edullisuus ole muuttanut sitä.

Mitä tapahtuu, jos Let's Encryptin CA-avain vaarantuu?

Suunniteltu vastaus sisältää uusien juurien luomisen offline-tilassa (ISRG:llä on useita juuria ja välituotteita), varmenteiden myöntäminen uudelleen uuden ketjun alaisena ja koordinointi selaimien kanssa uusien juurien lisäämiseksi ja vanhojen epäluottamus. ISRG on harjoitellut tätä skenaariota. Todellinen tapaus olisi edelleen massiivisesti häiritsevä, mutta korjattavissa viikkoissa, ei vuosissa.

Salataan selitys: Kuinka ilmaiset automatisoidut TLS-sertifikaatit valtasivat verkon

Ennen vuotta 2015 jokainen TLS-sertifikaatti maksoi rahaa – usein satoja dollareita vuodessa – ja myöntämisprosessi oli monivaiheinen manuaalinen koettelemus. Let's Encrypt saapui betavaiheeseen vuoden 2015 lopulla yhdellä ehdotuksella: ilmaiset, automaattiset, 90 päivän sertifikaatit ilman ihmisiä. Kymmenen vuotta myöhemmin se on myöntänyt yli neljä miljardia varmennetta ja tehnyt käytännössä yleisen HTTPS:n mahdolliseksi.

Artikkelin koko runko on englanniksi alla.

Let's Encrypt on varmenteen myöntäjä, jota ylläpitää Internet Security Research Group (ISRG), US 501(c)(3) voittoa tavoittelematon järjestö, jota rahoittavat sponsorit, kuten Mozilla, EFF, Cisco, Akamai ja monet muut. Sen tehtävänä on tehdä salattu Internet-liikenne yleisesti saataville – ja se onnistui kaikin kohtuullisin keinoin.

Luvut

Let's Encryptin mittakaava on huikea:

Aktiiviset sertifikaatit: ~430 miljoonaa vuoden 2025 lopulla suojattu PLZ10DXXomaX:5 miljoonaa
Sertifikaatit myönnetty käyttöikä: ~6 miljardia julkaisun jälkeen
Toimintakustannukset: alle 5 miljoonaa dollaria vuodessa
Henkilömäärä: noin 25 työntekijää

Kontekstissa, Let's been Salata kaikki muut CA:n suurimmat määrät yhteensä enemmän varmenteita ja on vuotta.

ACME-protokolla

Tekninen innovaatio, joka teki Let's Encryptin mahdolliseksi, on ACME (Automatic Certificate Management Environment), protokolla täysin automatisoituun varmenteiden myöntämiseen. Vuonna 2019 standardisoituna RFC 8555, ACME määrittää, kuinka asiakas pyytää varmennetta, todistaa toimialueen hallinnan ja lataa myönnetyn varmenteen – kaikki ilman ihmisen osallistumista.

Vuo:

Asiakas luo tilin CA:lle (kertaluonteinen avain3XClienPLZPLZ3xxxx rekisteröity). pyytää varmennetta yhdelle tai useammalle toimialueelle.
CA vastaa haasteet — todisteet, jotka asiakkaan on suoritettava osoittaakseen kunkin toimialueen hallinnan.
Client suorittaa haasteet ja ilmoittaa CA.

Koko prosessi kestää 10–60 sekuntia.

Kolme haastetyyppiä

HTTP-01: Asiakas asettaa tietyn tiedoston osoitteessa http://example.com/.well-known/acme-challenge/. Varmentaja hakee sen ja vahvistaa sisällön. Edellyttää verkkopalvelimen hallintaa portissa 80.
DNS-01: Asiakas lisää TXT-tietueen tietyllä arvolla osoitteessa _acme-challenge.example.com. Varmentaja kysyy DNS:ltä ja vahvistaa. Vaaditaan jokerimerkkivarmenteille ja hyödyllinen, kun portti 80 ei ole tavoitettavissa.
TLS-ALPN-01: Asiakaspalvelu tarjoaa tietyn varmenteen TLS-kättelyn aikana portissa 443 acme-tls/1XPLNZ67X-protokollalla. Varmentaja aloittaa TLS-yhteyden ja vahvistaa. Hyödyllinen, kun portit 80 ja DNS on rajoitettu admins.
acme.sh — puhdas komentosarja, minimaaliset riippuvuudet, toimii reitittimissä ja sulautetuissa järjestelmissä.
Caddy — Web-palvelin, jossa on sisäänrakennettu ACME; varmenteiden hallintaa ei tarvita, määritä vain verkkotunnus.
Traefik, nginx-ingress, AWS ACM, Cloudflare – monet alustat integroivat ACME:n natiivisti, joten käyttäjät eivät koskaan näe varmenteita.

Why sertifikaatitLet's Encrypt myöntää 90 päivän varmenteita, ja asiakkaat uusivat tavallisesti 60 päivän kuluttua. Lyhyet käyttöiän:
Rajoita vaarantuneiden yksityisten avainten aiheuttamia vahinkoja
Pakota uusimisautomaatio, mikä tarkoittaa, että uusimiset todella tapahtuvat aikataulussa.
Tee peruutuksesta vähemmän tärkeä (vaarantunut varmenne vanhenee joka tapauksessa pian)XPLZ10 teollisuus on joka tapauksessa vanhentunut. kohti lyhyempää elinikää yleensä – suurimmat selaimet rajoittavat kaupallisten sertifikaattien enimmäiskestoa 397 päivää, ja ehdotuksia 90 päivän tai 47 päivän kaupallisista varmenteista keskustellaan parhaillaan.
Mitä Encrypt ei tee
Extended Validation. Let's Encrypt tekee vain verkkotunnuksen vahvistuksen. Jos haluat EV-varmenteen organisaatiosi virallisella nimellä, tarvitset kaupallisen CA.
Koodin allekirjoitusvarmenteen. Erilaiset luottamusvarastot, erilaiset menettelyt.
S/MIME-sähköpostivarmenteet. Myös erilainen — Salataan vain TLS.ZXXPLX4XXe1 tuki. Vain itsepalvelu; yhteisön foorumeilta apua. Ilmaisen taloudellinen hyöty ei toimisi muuten.
Vaikutus
Ennen salausta HTTPS:n käyttöönotto oli noin 30 % sivujen latauksista. Vuoteen 2020 mennessä se oli ylittänyt 80 prosenttia. Nykyään se on reilusti yli 95 %. Selaimet merkitsevät nyt HTTP-sivustot ei-suojatuiksi juuri siksi, että HTTPS:ään siirtymisen kustannukset putosivat nollaan. Suurin osa uusista sivustoista, blogeista, sivuprojekteista ja sisäisistä työkaluista, jotka toimitetaan HTTPS:n kanssa nykyään, tekevät niin, koska Let's Encrypt teki siitä vähiten vastuksen polun.
Tehtävä ei ole aivan täydellinen – jotkin vanhat palvelut käyttävät edelleen HTTP:tä, jotkut alueet ja Internet-palveluntarjoajat viivästyvät – mutta Internet on huomattavasti turvallisempi paikka, koska yksi voittoa tavoittelematon X-sertifikaatti4 pitäisi olla4.

`Usein kysytyt kysymykset`

Onko Let's Encrypt todella täysin ilmainen?: Kyllä, sertifikaattien osalta. ISRG ottaa vastaan lahjoituksia ja yritysten sponsorointia toiminnan rahoittamiseksi. Ei ole tasoja, ei lisämyyntiä eikä mistään ominaisuuksista peritä maksuja. Kustannuksista vastaavat sponsorit ja lahjoittajat, joten laajempi Internet saa HTTPS:n ilman rajakustannuksia.
Ovatko Let's Encrypt -varmenteet yhtä turvallisia kuin maksulliset?: Salaus on identtinen – jokainen julkisen juuriohjelman CA käyttää samoja TLS-standardeja. Let's Encryptin sertifikaatit hyväksyvät kaikki nykyaikaiset selaimet. Erot ovat validointitasossa (vain DV) ja toiminnallisessa tuessa, eivät tietoturvan vahvuudessa.
Kuinka usein minun on uusittava?: Käytännössä 60 päivän välein – asiakkaat uusivat, kun varmennetta on jäljellä 30 päivää. ACME:n idea on, että tämä on automatisoitu, joten uusiminen tapahtuu huomaamatta. Jos asiakkaasi rikkoutuu, saat Let's Encryptin vanhentumissähköpostit, joissa on 20 päivää aikaa korjata asia.
Voiko verkkosivusto valehdella siitä, että se on suojattu Let's Encryptin avulla?: Tietojenkalastelusivusto voi ehdottomasti saada Let's Encrypt -varmenteen omalle toimialueelleen – jokainen CA antaa kaikille, jotka voivat todistaa toimialueensa hallinnan. Varmenne todistaa, että sivusto on se, mitä sen URL-osoite sanoo sen olevan, ei sen, että sivusto on luotettava. Domain Validation on aina tarkoittanut tätä, eikä Let's Encryptin edullisuus ole muuttanut sitä.
Mitä tapahtuu, jos Let's Encryptin CA-avain vaarantuu?: Suunniteltu vastaus sisältää uusien juurien luomisen offline-tilassa (ISRG:llä on useita juuria ja välituotteita), varmenteiden myöntäminen uudelleen uuden ketjun alaisena ja koordinointi selaimien kanssa uusien juurien lisäämiseksi ja vanhojen epäluottamus. ISRG on harjoitellut tätä skenaariota. Todellinen tapaus olisi edelleen massiivisesti häiritsevä, mutta korjattavissa viikkoissa, ei vuosissa.