TLS CERTIFICATEexample.comFREEvalid 90 daysauto-renews via ACMELet's Encrypt + ACME

בואו להצפין

10 דקות קריאהטכנולוגיית אינטרנט

לפני 2015, כל תעודת TLS עלתה כסף - לעתים קרובות מאות דולרים בשנה - ותהליך ההנפקה היה ניסיון ידני רב-שלבי. Let's Encrypt הגיע בגרסת בטא בסוף 2015 עם הצעה אחת: אישורים חינמיים, אוטומטיים, ל-90 יום ללא מעורבות של בני אדם. עשור לאחר מכן היא הנפיקה למעלה מארבעה מיליארד תעודות ולמעשה אפשרה HTTPS אוניברסלי.

גוף המאמר המלא מסופק באנגלית להלן.

Encrypt של

Let היא רשות אישורים המופעלת על ידי קבוצת מחקר האבטחה באינטרנט (ISRG), מלכ"ר US 501(c)(3) הממומנת על ידי נותני חסות כולל Mozilla, EFF, Cisco, Akamai ועוד רבים אחרים. המשימה שלה היא להפוך את תעבורת האינטרנט להצפנת זמינה לכלל עולם - ובכל מידה סבירה היא הצליחה.

קנה המידה של המספרים

Let's Encrypt מדהים:

  • תעודות פעילות: ~430 מיליון נכון לסוף 1ZPLZ 2025, 2025, 2025, ~325 מיליון
  • תעודות שהונפקו משך החיים: ~6 מיליארד מאז ההשקה
  • עלות תפעולית: מתחת ל-5 מיליון דולר לשנה
  • מספר עובדים: בערך 25 עובדים

עבור ההקשר הגדול ביותר של CASU מאשר ההצפנה הכמות הגדולה ביותר עבור ההקשרים של CAsu והצפנה שנים.

פרוטוקול ACME

החידוש הטכני שאיפשר את Let's Encrypt הוא ACME (סביבה אוטומטית לניהול תעודות), פרוטוקול להנפקת תעודות אוטומטית לחלוטין. ACME, שתוקנן כ-RFC 8555 בשנת 2019, מגדירה כיצד לקוח מבקש אישור, מוכיח את השליטה בדומיין ומוריד את האישור שהונפק - הכל ללא מעורבות אנושית. זוג).

  • Client מבקש אישור עבור דומיין אחד או יותר.
  • CA מגיב ב-challenges — הוכחות שהלקוח צריך להשלים כדי להפגין שליטה בכל תחום.
  • Client משלים את האתגרים ולא תוקף את האתגרים ולא תוקף את CAPLXXFI4XCA0. האישור.
  • Client מוריד אותו ופורס אותו.

    • התהליך כולו לוקח 10–60 שניות.

    שלושת סוגי האתגר

    • HTZPLZ4XX שים קובץ ספציפי בקובץ: http://example.com/.well-known/acme-challenge/. ה-CA מביא אותו ומאמת את התוכן. דורש שליטה בשרת האינטרנט ביציאה 80.
    • DNS-01: הלקוח מוסיף רשומת TXT עם ערך ספציפי ב-_acme-challenge.example.com. ה-CA שואל DNS ומאמת. נדרש עבור אישורי תווים כלליים ושימושי כאשר לא ניתן להגיע ליציאה 80.
    • TLS-ALPN-01: Client מגיש אישור ספציפי במהלך לחיצת יד של TLS ביציאה 443 עם פרוטוקול acme-tls/1 ALPN. ה-CA יוזם חיבור TLS ומאמת. שימושי כאשר יציאות 80 ו-DNS מוגבלות.

    כלי לקוח נפוצים

    • certbot — לקוח הייחוס של ה-EFF, אקולוגית פלאגין רחבה, מבוססת Python, ברירת המחדל עבור רוב השרתים admins.
    • acme.sh — סקריפט מעטפת טהור, תלות מינימלית, עובד על נתבים ומערכות משובצות.
    • Caddy — שרת אינטרנט עם ACME מובנה; אין צורך בניהול אישורים, פשוט הגדר את הדומיין.
    • Traefik, nginx-ingress, AWS ACM, Cloudflare — פלטפורמות רבות משלבות ACME באופן מקורי כך שמשתמשים לעולם אינם רואים אישורים כלל. מנפיק אישורים ל-90 יום, כאשר לקוחות בדרך כלל מחדשים ב-60 יום. תקופות חיים קצרות:

      • Lהגבלת נזק ממפתחות פרטיים שנפגעו
      • אלץ אוטומציה של חידוש, כלומר חידושים מתרחשים בפועל לפי לוח הזמנים
      • הפוך את הביטול לפחות חשוב (תעודה שנפרצה יפוג בקרוב בכל מקרה) תקופות חיים קצרות יותר בדרך כלל - הדפדפנים הגדולים מגבילים כעת תעודות מסחריות ל-397 ימים, והצעות לתעודות מסחריות של 90 יום או 47 יום נמצאות בדיון.

        מה Let's Encrypt לא עושה

        • Extended Validation. Let's Encrypt עושה רק אימות דומיין. אם אתה רוצה תעודת EV עם השם החוקי של הארגון שלך, אתה צריך תעודות חתימה מסחריות CA.
        • Code. חנויות נאמנות שונות, נהלים שונים.
        • S/MIME תעודות דוא"ל. גם שונה — בואו נצפן רק TLS.
        • תמיכה טלפונית. שירות עצמי בלבד; פורומים קהילתיים לעזרה. הכלכלה של חינמי לא הייתה עובדת אחרת.

        ההשפעה

        לפני בואו נצפין, אימוץ HTTPS נע סביב 30% מעומס הדפים. עד 2020 זה עבר 80%. היום זה הרבה מעל 95%. דפדפנים מסמנים כעת אתרי HTTP כלא מאובטחים בדיוק בגלל שעלות המעבר ל-HTTPS ירדה לאפס. הרוב המכריע של האתרים החדשים, הבלוגים, הפרויקטים הצדדיים והכלים הפנימיים שמסופקים עם HTTPS היום עושים זאת כי Let's Encrypt הפך אותו לנתיב של ההתנגדות הקטנה ביותר.

        המשימה לא לגמרי הושלמה - חלק מהשירותים מדור קודם עדיין משתמשים ב-HTTP, חלק מהאזורים וספקי האינטרנט בפיגור - אבל האינטרנט הוא מקום מאובטח יותר במידה ניכרת, כי אישור אחד צריך להיות ללא רווח24X.

    שאלות נפוצות

    האם Let's Encrypt באמת בחינם לגמרי?
    כן, לתעודות. ISRG מקבלת תרומות וחסויות תאגידים למימון פעולות. אין שכבות, אין מכירות נוספות ואין עמלות עבור כל תכונה. העלות היא על ידי ספונסרים ותורמים כך שהאינטרנט הרחב מקבל HTTPS ללא עלות שולית.
    האם Let's Encrypt אישורים מאובטחים כמו אלה בתשלום?
    ההצפנה זהה - כל CA בתוכנית השורש הציבורית משתמש באותם תקני TLS. האישורים של Let's Encrypt מתקבלים על ידי כל דפדפן מודרני. ההבדלים הם ברמת האימות (DV בלבד) ובתמיכה התפעולית, לא בחוזק האבטחה.
    כל כמה זמן אני צריך לחדש?
    כל 60 יום בפועל - לקוחות מתחדשים כאשר נותרו לתעודה 30 ימי תוקף. כל הפואנטה של ​​ACME היא שזה אוטומטי, אז החידוש מתרחש מבלי ששמת לב. אם הלקוח שלך נשבר, תקבל דוא"ל תפוגה מ-Let's Encrypt עם 20 יום לתקן את זה.
    האם אתר אינטרנט יכול לשקר לגבי מאובטח באמצעות Let's Encrypt?
    אתר דיוג יכול בהחלט לקבל אישור Let's Encrypt עבור הדומיין שלו - כל CA מנפיק לכל מי שיכול להוכיח שליטה בדומיין. התעודה מוכיחה שהאתר הוא מה שכתוב בכתובת שלו, לא שהאתר אמין. אימות דומיין תמיד התכוון לכך, והמחיר סביר של Let's Encrypt לא שינתה זאת.
    מה קורה אם מפתח ה-CA של Let's Encrypt נפגע?
    תגובה מתוכננת כוללת יצירת שורשים טריים במצב לא מקוון (ל-ISRG יש שורשים ואמצעי ביניים מרובים), הנפקה מחודשת של אישורים תחת השרשרת החדשה, ותיאום עם דפדפנים כדי להוסיף שורשים חדשים ולחוסר אמון בישנים. ISRG ביצעה ריצות תרגול של תרחיש זה. תקרית אמיתית עדיין תהיה משבשת באופן מסיבי אך ניתן יהיה לשחזר תוך שבועות, לא שנים.
    בואו נצפין הסבר: כיצד השתלטו אישורי TLS אוטומטיים בחינם על האינטרנט