क्या लेट्स एनक्रिप्ट वास्तव में पूरी तरह से मुफ़्त है?

हाँ, प्रमाणपत्रों के लिए। आईएसआरजी संचालन को निधि देने के लिए दान और कॉर्पोरेट प्रायोजन स्वीकार करता है। किसी भी सुविधा के लिए कोई स्तर, कोई अपसेल और कोई शुल्क नहीं है। लागत प्रायोजकों और दानदाताओं द्वारा वहन की जाती है, इसलिए व्यापक इंटरनेट को बिना किसी सीमांत लागत के HTTPS मिलता है।

क्या Let's Encrypt प्रमाणपत्र सशुल्क प्रमाणपत्रों की तरह ही सुरक्षित हैं?

क्रिप्टोग्राफी समान है - सार्वजनिक रूट प्रोग्राम में प्रत्येक सीए समान टीएलएस मानकों का उपयोग करता है। Let's Encrypt के प्रमाणपत्र प्रत्येक आधुनिक ब्राउज़र द्वारा स्वीकार किए जाते हैं। अंतर सत्यापन स्तर (केवल डीवी) और परिचालन समर्थन में हैं, सुरक्षा ताकत में नहीं।

मुझे कितनी बार नवीनीकरण कराना होगा?

व्यवहार में हर 60 दिन - जब प्रमाणपत्र की वैधता 30 दिन शेष रह जाती है तो ग्राहक नवीनीकरण करते हैं। एसीएमई का पूरा मुद्दा यह है कि यह स्वचालित है, इसलिए नवीनीकरण आपके ध्यान में आए बिना होता है। यदि आपका क्लाइंट टूट जाता है, तो आपको इसे ठीक करने के लिए 20 दिनों के साथ लेट्स एनक्रिप्ट से समाप्ति ईमेल प्राप्त होगी।

क्या कोई वेबसाइट Let's Encrypt से सुरक्षित होने के बारे में झूठ बोल सकती है?

एक फ़िशिंग साइट निश्चित रूप से अपने स्वयं के डोमेन के लिए लेट्स एनक्रिप्ट प्रमाणपत्र प्राप्त कर सकती है - प्रत्येक सीए किसी ऐसे व्यक्ति को जारी करता है जो डोमेन नियंत्रण साबित कर सकता है। प्रमाणपत्र साबित करता है कि साइट वही है जो उसका URL कहता है, न कि यह कि साइट भरोसेमंद है। डोमेन सत्यापन का हमेशा यही मतलब रहा है, और लेट्स एनक्रिप्ट की सामर्थ्य ने इसे नहीं बदला।

यदि Let's Encrypt की CA कुंजी से छेड़छाड़ हो जाए तो क्या होगा?

एक नियोजित प्रतिक्रिया में ऑफ़लाइन ताज़ा जड़ें उत्पन्न करना (आईएसआरजी में कई जड़ें और मध्यवर्ती हैं), नई श्रृंखला के तहत प्रमाणपत्र फिर से जारी करना, और नई जड़ें जोड़ने और पुराने पर अविश्वास करने के लिए ब्राउज़र के साथ समन्वय करना शामिल है। आईएसआरजी ने इस परिदृश्य का अभ्यास किया है। एक वास्तविक घटना अभी भी बड़े पैमाने पर विघटनकारी होगी, लेकिन वर्षों में नहीं, बल्कि कुछ ही हफ्तों में इससे उबरा जा सकता है।

आइए एन्क्रिप्ट करें: कैसे नि:शुल्क स्वचालित टीएलएस प्रमाणपत्रों ने वेब पर कब्ज़ा कर लिया

2015 से पहले, प्रत्येक टीएलएस प्रमाणपत्र पर पैसा खर्च होता था - अक्सर प्रति वर्ष सैकड़ों डॉलर - और जारी करने की प्रक्रिया एक बहु-चरणीय मैन्युअल प्रक्रिया थी। लेट्स एनक्रिप्ट 2015 के अंत में एक ही प्रस्ताव के साथ बीटा में आया: मुफ़्त, स्वचालित, 90-दिवसीय प्रमाणपत्र जिसमें कोई मनुष्य शामिल नहीं है। एक दशक बाद इसने चार अरब से अधिक प्रमाणपत्र जारी किए हैं और प्रभावी रूप से सार्वभौमिक HTTPS को संभव बनाया है।

संपूर्ण लेख का मुख्य भाग नीचे अंग्रेजी में दिया गया है।

Let's Encrypt इंटरनेट सिक्योरिटी रिसर्च ग्रुप (ISRG) द्वारा संचालित एक सर्टिफिकेट अथॉरिटी है, जो एक US 501(c)(3) गैर-लाभकारी संस्था है, जिसे मोज़िला, EFF, सिस्को, अकामाई और कई अन्य प्रायोजकों द्वारा वित्त पोषित किया जाता है। इसका मिशन एन्क्रिप्टिंग इंटरनेट ट्रैफ़िक को सार्वभौमिक रूप से उपलब्ध कराना है - और किसी भी उचित उपाय से, यह सफल हुआ। मिलियन

जारी किए गए प्रमाणपत्रों का जीवनकाल: लॉन्च के बाद से ~6 बिलियन

परिचालन लागत: प्रति वर्ष $5 मिलियन से कम वर्ष। 2019 में आरएफसी 8555 के रूप में मानकीकृत, एसीएमई परिभाषित करता है कि ग्राहक प्रमाणपत्र का अनुरोध कैसे करता है, डोमेन पर नियंत्रण साबित करता है, और जारी किए गए प्रमाणपत्र को डाउनलोड करता है - यह सब मानव भागीदारी के बिना। Domains.

CA चुनौतियों के साथ प्रतिक्रिया करता है it.

पूरी प्रक्रिया में 10-60 सेकंड लगते हैं।

तीन चुनौती प्रकार `http://example.com/.well-known/acme-challenge/<टोकन>`। सीए इसे प्राप्त करता है और सामग्री को मान्य करता है। पोर्ट 80.
DNS-01: पर वेब सर्वर के नियंत्रण की आवश्यकता है। क्लाइंट `_acme-challenge.example.com` पर एक विशिष्ट मान के साथ एक TXT रिकॉर्ड जोड़ता है। सीए डीएनएस पर सवाल उठाता है और सत्यापन करता है। वाइल्डकार्ड प्रमाणपत्रों के लिए आवश्यक है और पोर्ट 80 तक पहुंच योग्य न होने पर उपयोगी है। सीए एक टीएलएस कनेक्शन शुरू करता है और सत्यापन करता है। पोर्ट 80 और डीएनएस प्रतिबंधित होने पर उपयोगी। शेल स्क्रिप्ट, न्यूनतम निर्भरता, राउटर और एम्बेडेड सिस्टम पर काम करता है।
Caddy - अंतर्निहित ACME के साथ वेब सर्वर; किसी प्रमाणपत्र प्रबंधन की आवश्यकता नहीं है, बस डोमेन को कॉन्फ़िगर करें। ग्राहक आम तौर पर 60-दिन के अंतराल पर नवीनीकरण करते हैं। लघु जीवनकाल:
समझौता किए गए निजी कुंजी से क्षति को सीमित करें
बल नवीनीकरण स्वचालन, जिसका अर्थ है कि नवीनीकरण वास्तव में शेड्यूल पर होता है 397 दिनों पर, और 90-दिवसीय या 47-दिवसीय वाणिज्यिक प्रमाणपत्रों के प्रस्तावों पर चर्चा चल रही है।
लेट्स एनक्रिप्ट क्या नहीं करता है
एक्सटेंडेड वैलिडेशन. लेट्स एन्क्रिप्ट केवल डोमेन वैलिडेशन करता है। यदि आप अपने संगठन के कानूनी नाम के साथ एक ईवी प्रमाणपत्र चाहते हैं, तो आपको एक वाणिज्यिक CA.
कोड हस्ताक्षर प्रमाणपत्र की आवश्यकता है। विभिन्न ट्रस्ट स्टोर, विभिन्न प्रक्रियाएं।
S/MIME ईमेल प्रमाणपत्र। केवल स्व-सेवा; मदद के लिए सामुदायिक मंच। मुफ़्त का अर्थशास्त्र अन्यथा काम नहीं करेगा। 2020 तक यह 80% से अधिक हो गया था। आज यह 95% से काफी ऊपर है। ब्राउज़र अब HTTP साइटों को सुरक्षित नहीं के रूप में चिह्नित करते हैं क्योंकि HTTPS पर जाने की लागत शून्य हो गई है। आज HTTPS के साथ आने वाली अधिकांश नई साइटें, ब्लॉग, साइड प्रोजेक्ट और आंतरिक उपकरण ऐसा करते हैं क्योंकि लेट्स एनक्रिप्ट ने इसे कम से कम प्रतिरोध का मार्ग बना दिया है।

अक्सर पूछे जाने वाले प्रश्नों

क्या लेट्स एनक्रिप्ट वास्तव में पूरी तरह से मुफ़्त है?: हाँ, प्रमाणपत्रों के लिए। आईएसआरजी संचालन को निधि देने के लिए दान और कॉर्पोरेट प्रायोजन स्वीकार करता है। किसी भी सुविधा के लिए कोई स्तर, कोई अपसेल और कोई शुल्क नहीं है। लागत प्रायोजकों और दानदाताओं द्वारा वहन की जाती है, इसलिए व्यापक इंटरनेट को बिना किसी सीमांत लागत के HTTPS मिलता है।
क्या Let's Encrypt प्रमाणपत्र सशुल्क प्रमाणपत्रों की तरह ही सुरक्षित हैं?: क्रिप्टोग्राफी समान है - सार्वजनिक रूट प्रोग्राम में प्रत्येक सीए समान टीएलएस मानकों का उपयोग करता है। Let's Encrypt के प्रमाणपत्र प्रत्येक आधुनिक ब्राउज़र द्वारा स्वीकार किए जाते हैं। अंतर सत्यापन स्तर (केवल डीवी) और परिचालन समर्थन में हैं, सुरक्षा ताकत में नहीं।
मुझे कितनी बार नवीनीकरण कराना होगा?: व्यवहार में हर 60 दिन - जब प्रमाणपत्र की वैधता 30 दिन शेष रह जाती है तो ग्राहक नवीनीकरण करते हैं। एसीएमई का पूरा मुद्दा यह है कि यह स्वचालित है, इसलिए नवीनीकरण आपके ध्यान में आए बिना होता है। यदि आपका क्लाइंट टूट जाता है, तो आपको इसे ठीक करने के लिए 20 दिनों के साथ लेट्स एनक्रिप्ट से समाप्ति ईमेल प्राप्त होगी।
क्या कोई वेबसाइट Let's Encrypt से सुरक्षित होने के बारे में झूठ बोल सकती है?: एक फ़िशिंग साइट निश्चित रूप से अपने स्वयं के डोमेन के लिए लेट्स एनक्रिप्ट प्रमाणपत्र प्राप्त कर सकती है - प्रत्येक सीए किसी ऐसे व्यक्ति को जारी करता है जो डोमेन नियंत्रण साबित कर सकता है। प्रमाणपत्र साबित करता है कि साइट वही है जो उसका URL कहता है, न कि यह कि साइट भरोसेमंद है। डोमेन सत्यापन का हमेशा यही मतलब रहा है, और लेट्स एनक्रिप्ट की सामर्थ्य ने इसे नहीं बदला।
यदि Let's Encrypt की CA कुंजी से छेड़छाड़ हो जाए तो क्या होगा?: एक नियोजित प्रतिक्रिया में ऑफ़लाइन ताज़ा जड़ें उत्पन्न करना (आईएसआरजी में कई जड़ें और मध्यवर्ती हैं), नई श्रृंखला के तहत प्रमाणपत्र फिर से जारी करना, और नई जड़ें जोड़ने और पुराने पर अविश्वास करने के लिए ब्राउज़र के साथ समन्वय करना शामिल है। आईएसआरजी ने इस परिदृश्य का अभ्यास किया है। एक वास्तविक घटना अभी भी बड़े पैमाने पर विघटनकारी होगी, लेकिन वर्षों में नहीं, बल्कि कुछ ही हफ्तों में इससे उबरा जा सकता है।