Er Let's Encrypt virkelig helt gratis?

Ja, for sertifikatene. ISRG aksepterer donasjoner og bedriftssponsing for å finansiere driften. Det er ingen nivåer, ingen mersalg og ingen avgifter for noen funksjon. Kostnaden bæres av sponsorer og givere, så det bredere Internett får HTTPS uten marginale kostnader.

Er Let's Encrypt-sertifikater like sikre som betalte?

Kryptografien er identisk - hver CA i det offentlige rotprogrammet bruker de samme TLS-standardene. Let's Encrypt sine sertifikater aksepteres av alle moderne nettlesere. Forskjellene er i valideringsnivå (kun DV) og driftsstøtte, ikke i sikkerhetsstyrke.

Hvor ofte må jeg fornye?

Hver 60. dag i praksis – klienter fornyer når sertifikatet har 30 dager igjen av gyldighet. Hele poenget med ACME er at dette er automatisert, så fornyelse skjer uten at du merker det. Hvis klienten din går i stykker, vil du motta utløps-e-poster fra Let's Encrypt med 20 dager på å fikse det.

Kan en nettside lyve om å være sikker med Let's Encrypt?

Et phishing-nettsted kan absolutt få et Let's Encrypt-sertifikat for sitt eget domene – hver CA utsteder til alle som kan bevise domenekontroll. Sertifikatet beviser at nettstedet er det URL-en sier det er, ikke at nettstedet er pålitelig. Domenevalidering har alltid betydd dette, og rimeligheten til Let's Encrypt endret ikke det.

Hva skjer hvis Let's Encrypts CA-nøkkel er kompromittert?

En planlagt respons inkluderer generering av nye røtter offline (ISRG har flere røtter og mellomprodukter), utstedelse av sertifikater på nytt under den nye kjeden, og koordinering med nettlesere for å legge til nye røtter og mistillit til gamle. ISRG har gjort øvingskjøringer av dette scenariet. En reell hendelse vil fortsatt være massivt forstyrrende, men kan gjenopprettes innen uker, ikke år.

La oss kryptere forklart: Hvordan gratis automatiserte TLS-sertifikater tok over nettet

Før 2015 kostet hvert TLS-sertifikat penger - ofte hundrevis av dollar per år - og utstedelsesprosessen var en flertrinns manuell prøvelse. Let's Encrypt kom i beta på slutten av 2015 med et enkelt forslag: gratis, automatiserte 90-dagers sertifikater uten mennesker involvert. Et tiår senere har den utstedt over fire milliarder sertifikater og effektivt gjort universell HTTPS mulig.

Hele artikkelen er gitt på engelsk nedenfor.

Lets Encrypt er en sertifiseringsinstans som drives av Internet Security Research Group (ISRG), en US 501(c)(3) nonprofit finansiert av sponsorer inkludert Mozilla, EFF, Cisco, Akamai og mange andre. Dens oppgave er å gjøre kryptering av Internett-trafikk universelt tilgjengelig – og med ethvert rimelig mål lyktes det.

Tallene

Let's Encrypts skala er svimlende:

Aktive sertifikater: ~430 millioner fra slutten av 1020000000000000000000000000000000 ~325 millioner
Sertifikater utstedt levetid: ~6 milliarder siden lansering
Driftskostnad: under $5 millioner per år
Ansatte: omtrent 25 ansatte

For hver kontekst, la oss kombinerer sertifikater og CA-sertifikater, er mer enn CA-sertifikater. år.

ACME-protokollen

Den tekniske nyvinningen som gjorde Let's Encrypt mulig er ACME (Automatic Certificate Management Environment), en protokoll for helautomatisk sertifikatutstedelse. Standardisert som RFC 8555 i 2019, definerer ACME hvordan en klient ber om et sertifikat, beviser kontroll over domenet og laster ned det utstedte sertifikatet – alt uten menneskelig involvering.

Flyten:

Client oppretter en konto hos CA (engangs-registrert til én gang, registrert) pair).
Client ber om et sertifikat for ett eller flere domener.
CA svarer med challenges — bevis som klienten må fullføre for å demonstrere kontroll over hvert domene.
Client fullfører utfordringene og ikke gyldige CAPLXPLZ14. sertifikatet.
Client laster det ned og distribuerer det.

Hele prosessen tar 10–60 sekunder.

De tre utfordringstypene

HTZ-50XX legg en spesifikk fil til klienten: http://example.com/.well-known/acme-challenge/. CA henter den og validerer innholdet. Krever kontroll av webserveren på port 80.
DNS-01: Klient legger til en TXT-post med en spesifikk verdi på _acme-challenge.example.com. CA spør etter DNS og validerer. Nødvendig for jokertegnsertifikater og nyttig når port 80 ikke er tilgjengelig.
TLS-ALPN-01: Client serverer et spesifikt sertifikat under et TLS-håndtrykk på port 443 med acme-tls/1 ALPN-protokollen. CA initierer en TLS-tilkobling og validerer. Nyttig når porter 80 og DNS er begrenset.

Vanlige klientverktøy

certbot — EFFs referanseklient, brede plugin-økosystem, Python-basert, standard for de fleste servere admins.
acme.sh — rent shell-script, minimale avhengigheter, fungerer på rutere og innebygde systemer.
Caddy — webserver med innebygd ACME; ingen sertifikatadministrasjon er nødvendig, bare konfigurer domenet.
Traefik, nginx-ingress, AWS ACM, Cloudflare — mange plattformer integrerer ACME naturlig slik at brukere aldri ser sertifikater i det hele tatt. utsteder 90-dagers sertifikater, med klienter som vanligvis fornyer ved 60-dagersgrensen. Kort levetid:
LBegrens skade fra kompromitterte private nøkler
Tving fornyelsesautomatisering, noe som betyr at fornyelser faktisk skjer etter planen
Gjør tilbakekall mindre viktig (et kompromittert sertifikat utløper uansett snart)
X0 trenden til industrien kortere levetid generelt – store nettlesere begrenser nå kommersielle sertifikater til 397 dager, og forslag om 90-dagers eller 47-dagers kommersielle sertifikater er under diskusjon.
Hva Let's Encrypt ikke gjør
Extended Validation. Let's Encrypt utfører kun domenevalidering. Hvis du vil ha et EV-sertifikat med organisasjonens juridiske navn, trenger du et kommersielle CA.
Code-signeringssertifikater. Ulike trust-butikker, forskjellige prosedyrer.
S/MIME-e-postsertifikater. Også annerledes — Let's Encrypt gjør bare TLS.
Telefonstøtte. Kun selvbetjening; fellesskapsfora for hjelp. Økonomien med gratis ville ikke fungert ellers.
Virkningen
Før Let's Encrypt, var HTTPS-adopsjon svevet rundt 30 % av sideinnlastingene. I 2020 hadde den passert 80 %. I dag er den godt over 95 %. Nettlesere markerer nå HTTP-nettsteder som ikke sikre nettopp fordi kostnadene ved å flytte til HTTPS falt til null. Det store flertallet av nye nettsteder, blogger, sideprosjekter og interne verktøy som leveres med HTTPS i dag, gjør det fordi Let's Encrypt gjorde det til den minste motstands vei.
Oppdraget er ikke helt fullført – noen eldre tjenester bruker fortsatt HTTP, noen regioner og ISP-er ettersleper – men Internett er et målbart sikrere sted fordi en nonprofit24X-sertifikat bør være gratis.

Ofte stilte spørsmål

Er Let's Encrypt virkelig helt gratis?: Ja, for sertifikatene. ISRG aksepterer donasjoner og bedriftssponsing for å finansiere driften. Det er ingen nivåer, ingen mersalg og ingen avgifter for noen funksjon. Kostnaden bæres av sponsorer og givere, så det bredere Internett får HTTPS uten marginale kostnader.
Er Let's Encrypt-sertifikater like sikre som betalte?: Kryptografien er identisk - hver CA i det offentlige rotprogrammet bruker de samme TLS-standardene. Let's Encrypt sine sertifikater aksepteres av alle moderne nettlesere. Forskjellene er i valideringsnivå (kun DV) og driftsstøtte, ikke i sikkerhetsstyrke.
Hvor ofte må jeg fornye?: Hver 60. dag i praksis – klienter fornyer når sertifikatet har 30 dager igjen av gyldighet. Hele poenget med ACME er at dette er automatisert, så fornyelse skjer uten at du merker det. Hvis klienten din går i stykker, vil du motta utløps-e-poster fra Let's Encrypt med 20 dager på å fikse det.
Kan en nettside lyve om å være sikker med Let's Encrypt?: Et phishing-nettsted kan absolutt få et Let's Encrypt-sertifikat for sitt eget domene – hver CA utsteder til alle som kan bevise domenekontroll. Sertifikatet beviser at nettstedet er det URL-en sier det er, ikke at nettstedet er pålitelig. Domenevalidering har alltid betydd dette, og rimeligheten til Let's Encrypt endret ikke det.
Hva skjer hvis Let's Encrypts CA-nøkkel er kompromittert?: En planlagt respons inkluderer generering av nye røtter offline (ISRG har flere røtter og mellomprodukter), utstedelse av sertifikater på nytt under den nye kjeden, og koordinering med nettlesere for å legge til nye røtter og mistillit til gamle. ISRG har gjort øvingskjøringer av dette scenariet. En reell hendelse vil fortsatt være massivt forstyrrende, men kan gjenopprettes innen uker, ikke år.