Заместитель главного редактора
68,1
рейтинг
19 ноября 2014 в 08:28

В 2015 году Mozilla и EFF начнут выдавать бесплатные SSL-сертификаты

Никаких самоподписанных сертификатов уже со следующего лета


Вчера фонд EFF объявил о запуске совместного с Mozilla, Cisco, Akamai, IdenTrust и Мичиганским университетом проекта Let's Encrypt. Призыв «давайте шифровать» подкреплён реальными действиями: новый центр сертификации будет выдавать бесплатные сертификаты всем желающим.

Протокол HTTP обладает рядом недостатков. Он не даёт никакой защиты от прослушки государственными структурами, интернет-провайдерами, работодателями и преступниками, что позволяет следить за пользователем и воровать его личные данные, включая пароли. Посредством атаки MitM можно легко вырезать отдельные части страниц в целях цензуры или вводить в код вредоносные объекты.

HTTPS использует шифрование передаваемых данных, это тот же HTTP, но по шифрованному посредством SSL или TLS каналу. Он далеко не идеален: с момента последней публикации крупной уязвимости SSL (Poodle) прошло всего 2 месяца. Но даже это гораздо лучше, чем ничего.

Если мы хотим значительно улучшить безопасность Интернета, то всем нам следует использовать шифрование соединения с сайтами. Однако на пути встаёт сложность, запутанность и монополизм рэкета в пользу центров сертификации.

Конечно, для работы сертификатов нужно обеспечивать их подтверждение, что требует некоторых технических затрат, но очень часто цены неоправданно высоки. Предупреждение о самоподписанности сертификата шифрования говорит не только о том, что у администратора не было 200 долларов в год на нормальный SSL-сертификат, это также значит, что невозможно установить, прослушивается ли соединение или нет.

Стоимость сертификатов и сложность настройки серверов для работы с шифрованием являются основными причинами, по которым большинство сайтов продолжает функционировать только по HTTP. В целях борьбы с этими проблемами Фонд электронных рубежей совместно с рядом компаний запускает проект Let's Encrypt. Начало работы запланировано на лето 2015 года.

Согласно проведённым исследованиям, как правило, даже опытному веб-мастеру нужно не только купить сертификат, но и потратить от 1 до 3 часов, чтобы настроить шифрование. Let's Encrypt ставит своей целью сократить это время до 20—30 секунд. В ролике ниже представлена работа версии для тестирования программного набора проекта.



Let's Encrypt работает на основе множества новых технологий для управления автоматизированным подтверждением доменов и выпуском сертификатов. Был разработан протокол под названием ACME для установления связи между веб-сервером и центром сертификации с использованием поддержки новых и более сильных форм валидации доменных имён.

О поддержке wildcard-сертификатов пока ничего не сообщается, но ничто не помешает настроить отдельные сертификаты для каждого из поддоменов.

Управлять новым проектом будет некоммерческая организация Internet Security Research Group (ISRG). Изначально в проекте принимали участие EFF, Mozilla и Мичиганский университет, а Cisco, Akamai и IdenTrust присоединились в качестве партнёров лишь ближе к запуску.

Похожим проектом является бесплатный SSL от Cloudflare, включённый по умолчанию у всех клиентов CDN-провайдера. У него есть свои недостатки: вне зависимости от наличия шифрования между тремя точками (сервер с сайтом, сервер Cloudflare, пользователь) через Cloudflare всегда проходит нешифрованный трафик. Кроме того, реализация бесплатного шифрования не поддерживается рядом старых операционных систем и браузеров.

Бесплатность другого центра выдачи сертификатов StartSSL — это по большей степени маркетинговый ход, у услуги есть ряд ограничений, к примеру, невозможность использовать сайт для финансовых операций и электронной коммерции.

Ещё есть бесплатный сервис CAcert.org, но его root-сертификат не включён в большинство браузеров из-за невообразимо дорогого процесса аудита и ряда других причин, поэтому сложная и интересная структура проекта практически бесполезна. Но, наверное, громкость имён вовлечённых в Let's Encrypt компаний и серьёзность их намерений позволят избежать подобных проблем.

Сайт проекта: LetsEncrypt.org.
@atomlib
карма
319,0
рейтинг 68,1
Заместитель главного редактора
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (10)

  • +7
    Хороший у StartSSL «маркетинговый ход» — уже несколько лет без проблем пользуюсь их бесплатными сертификатами, везде работают.
    • 0
      Перевыпуск вроде платный. Или Heartbleed не застал вас?
      • +1
        Перевыпуск бесплатный
      • +1
        Перевыпуск не платный.
        Отзыв платный. Выпускать можно сколько угодно новых сертификатов, не отзывая старых — тогда всё будет бесплатно.
  • +1
    А ReactOS Foundation уже сейчас бесплатно подписывает своей цифровой подписью opensource драйвера.
  • +1
    Ну, в таком виде CAcert на публичных сайтах точно не годится.
    А для админок самоподписанные просто в каталог ОС добавляются.

    А регистрацию в StartCom я зафейлил с потерей аккаунта, браузер не установил личный сертификат.

    Где бы взять сертификат за бесплатно и на год, а не на один или три месяца?
    • +1
      Напишите им в поддержку.
      • +2
        Я с того момента с самим основателем StartCom переписываюсь ;). Предложил мне регистрироваться заново, добавить к логину Google-почты символ + и что-нибудь ещё, чтобы не нужно было создавать другую почту.
  • +1
    у администратора не было 200 долларов в год на нормальный SSL-сертификат


    startssl за 60 евро в год и верификацию личности дает отличные сертификаты на любое количество доменов, принадлежащих одному лицу (или доменов со скрытым whois ;) ). В том числе и вайлдкарды.
    • 0
      Есть и минусы — их сертификатам не доверяет JRE и разные железки, вроде IronPort и Palo Alto.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.