В 2015 году Mozilla и EFF начнут выдавать бесплатные SSL-сертификаты

    Никаких самоподписанных сертификатов уже со следующего лета


    Вчера фонд EFF объявил о запуске совместного с Mozilla, Cisco, Akamai, IdenTrust и Мичиганским университетом проекта Let's Encrypt. Призыв «давайте шифровать» подкреплён реальными действиями: новый центр сертификации будет выдавать бесплатные сертификаты всем желающим.

    Протокол HTTP обладает рядом недостатков. Он не даёт никакой защиты от прослушки государственными структурами, интернет-провайдерами, работодателями и преступниками, что позволяет следить за пользователем и воровать его личные данные, включая пароли. Посредством атаки MitM можно легко вырезать отдельные части страниц в целях цензуры или вводить в код вредоносные объекты.

    HTTPS использует шифрование передаваемых данных, это тот же HTTP, но по шифрованному посредством SSL или TLS каналу. Он далеко не идеален: с момента последней публикации крупной уязвимости SSL (Poodle) прошло всего 2 месяца. Но даже это гораздо лучше, чем ничего.

    Если мы хотим значительно улучшить безопасность Интернета, то всем нам следует использовать шифрование соединения с сайтами. Однако на пути встаёт сложность, запутанность и монополизм рэкета в пользу центров сертификации.

    Конечно, для работы сертификатов нужно обеспечивать их подтверждение, что требует некоторых технических затрат, но очень часто цены неоправданно высоки. Предупреждение о самоподписанности сертификата шифрования говорит не только о том, что у администратора не было 200 долларов в год на нормальный SSL-сертификат, это также значит, что невозможно установить, прослушивается ли соединение или нет.

    Стоимость сертификатов и сложность настройки серверов для работы с шифрованием являются основными причинами, по которым большинство сайтов продолжает функционировать только по HTTP. В целях борьбы с этими проблемами Фонд электронных рубежей совместно с рядом компаний запускает проект Let's Encrypt. Начало работы запланировано на лето 2015 года.

    Согласно проведённым исследованиям, как правило, даже опытному веб-мастеру нужно не только купить сертификат, но и потратить от 1 до 3 часов, чтобы настроить шифрование. Let's Encrypt ставит своей целью сократить это время до 20—30 секунд. В ролике ниже представлена работа версии для тестирования программного набора проекта.



    Let's Encrypt работает на основе множества новых технологий для управления автоматизированным подтверждением доменов и выпуском сертификатов. Был разработан протокол под названием ACME для установления связи между веб-сервером и центром сертификации с использованием поддержки новых и более сильных форм валидации доменных имён.

    О поддержке wildcard-сертификатов пока ничего не сообщается, но ничто не помешает настроить отдельные сертификаты для каждого из поддоменов.

    Управлять новым проектом будет некоммерческая организация Internet Security Research Group (ISRG). Изначально в проекте принимали участие EFF, Mozilla и Мичиганский университет, а Cisco, Akamai и IdenTrust присоединились в качестве партнёров лишь ближе к запуску.

    Похожим проектом является бесплатный SSL от Cloudflare, включённый по умолчанию у всех клиентов CDN-провайдера. У него есть свои недостатки: вне зависимости от наличия шифрования между тремя точками (сервер с сайтом, сервер Cloudflare, пользователь) через Cloudflare всегда проходит нешифрованный трафик. Кроме того, реализация бесплатного шифрования не поддерживается рядом старых операционных систем и браузеров.

    Бесплатность другого центра выдачи сертификатов StartSSL — это по большей степени маркетинговый ход, у услуги есть ряд ограничений, к примеру, невозможность использовать сайт для финансовых операций и электронной коммерции.

    Ещё есть бесплатный сервис CAcert.org, но его root-сертификат не включён в большинство браузеров из-за невообразимо дорогого процесса аудита и ряда других причин, поэтому сложная и интересная структура проекта практически бесполезна. Но, наверное, громкость имён вовлечённых в Let's Encrypt компаний и серьёзность их намерений позволят избежать подобных проблем.

    Сайт проекта: LetsEncrypt.org.
    Поделиться публикацией
    Никаких подозрительных скриптов, только релевантные баннеры. Не релевантные? Пиши на: adv@tmtm.ru с темой «Полундра»

    Зачем оно вам?
    Реклама
    Комментарии 10
    • +7
      Хороший у StartSSL «маркетинговый ход» — уже несколько лет без проблем пользуюсь их бесплатными сертификатами, везде работают.
      • 0
        Перевыпуск вроде платный. Или Heartbleed не застал вас?
        • +1
          Перевыпуск бесплатный
          • +1
            Перевыпуск не платный.
            Отзыв платный. Выпускать можно сколько угодно новых сертификатов, не отзывая старых — тогда всё будет бесплатно.
        • +1
          А ReactOS Foundation уже сейчас бесплатно подписывает своей цифровой подписью opensource драйвера.
          • +1
            Ну, в таком виде CAcert на публичных сайтах точно не годится.
            А для админок самоподписанные просто в каталог ОС добавляются.

            А регистрацию в StartCom я зафейлил с потерей аккаунта, браузер не установил личный сертификат.

            Где бы взять сертификат за бесплатно и на год, а не на один или три месяца?
            • +1
              Напишите им в поддержку.
              • +2
                Я с того момента с самим основателем StartCom переписываюсь ;). Предложил мне регистрироваться заново, добавить к логину Google-почты символ + и что-нибудь ещё, чтобы не нужно было создавать другую почту.
            • +1
              у администратора не было 200 долларов в год на нормальный SSL-сертификат


              startssl за 60 евро в год и верификацию личности дает отличные сертификаты на любое количество доменов, принадлежащих одному лицу (или доменов со скрытым whois ;) ). В том числе и вайлдкарды.
              • 0
                Есть и минусы — их сертификатам не доверяет JRE и разные железки, вроде IronPort и Palo Alto.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.