В 2015 году Mozilla и EFF начнут выдавать бесплатные SSL-сертификаты

Никаких самоподписанных сертификатов уже со следующего лета

^[1]Вчера фонд EFF объявил ^[2] о запуске совместного с Mozilla, Cisco, Akamai, IdenTrust и Мичиганским университетом проекта Let's Encrypt ^[3]. Призыв «давайте шифровать» подкреплён реальными действиями: новый центр сертификации будет выдавать бесплатные сертификаты всем желающим.

Протокол HTTP обладает рядом недостатков. Он не даёт никакой защиты от прослушки государственными структурами, интернет-провайдерами, работодателями и преступниками, что позволяет следить за пользователем и воровать его личные данные, включая пароли. Посредством атаки MitM можно легко вырезать отдельные части страниц в целях цензуры или вводить в код вредоносные объекты.

HTTPS использует шифрование передаваемых данных, это тот же HTTP, но по шифрованному посредством SSL или TLS каналу. Он далеко не идеален: с момента последней публикации крупной уязвимости SSL (Poodle ^[4]) прошло всего 2 месяца. Но даже это гораздо лучше, чем ничего.

Если мы хотим значительно улучшить безопасность Интернета, то всем нам следует использовать шифрование соединения с сайтами. Однако на пути встаёт сложность, запутанность и монополизм рэкета в пользу центров сертификации.

Конечно, для работы сертификатов нужно обеспечивать их подтверждение, что требует некоторых технических затрат, но очень часто цены неоправданно высоки. Предупреждение о самоподписанности сертификата шифрования говорит не только о том, что у администратора не было 200 долларов в год на нормальный SSL-сертификат, это также значит, что невозможно установить, прослушивается ли соединение или нет.

Стоимость сертификатов и сложность настройки серверов для работы с шифрованием являются основными причинами, по которым большинство сайтов продолжает функционировать только по HTTP. В целях борьбы с этими проблемами Фонд электронных рубежей совместно с рядом компаний запускает проект Let's Encrypt. Начало работы запланировано на лето 2015 года.

Согласно проведённым исследованиям, как правило, даже опытному веб-мастеру нужно не только купить сертификат, но и потратить от 1 до 3 часов, чтобы настроить шифрование. Let's Encrypt ставит своей целью сократить это время до 20—30 секунд. В ролике ниже представлена работа версии для тестирования программного набора проекта ^[5].

Let's Encrypt работает на основе множества новых технологий для управления автоматизированным подтверждением доменов и выпуском сертификатов. Был разработан протокол под названием ACME ^[6] для установления связи между веб-сервером и центром сертификации с использованием поддержки новых и более сильных форм валидации доменных имён.

О поддержке wildcard-сертификатов пока ничего не сообщается, но ничто не помешает настроить отдельные сертификаты для каждого из поддоменов.

Управлять новым проектом будет некоммерческая организация Internet Security Research Group (ISRG). Изначально в проекте принимали участие EFF, Mozilla и Мичиганский университет, а Cisco, Akamai и IdenTrust присоединились в качестве партнёров лишь ближе к запуску.

Похожим проектом является бесплатный SSL от Cloudflare ^[7], включённый по умолчанию у всех клиентов CDN-провайдера. У него есть свои недостатки: вне зависимости от наличия шифрования между тремя точками (сервер с сайтом, сервер Cloudflare, пользователь) через Cloudflare всегда проходит нешифрованный трафик. Кроме того, реализация бесплатного шифрования не поддерживается рядом старых операционных систем и браузеров.

Бесплатность другого центра выдачи сертификатов StartSSL ^[8] — это по большей степени маркетинговый ход.

Ещё есть бесплатный сервис CAcert.org ^[9], но его root-сертификат не включён в большинство браузеров из-за невообразимо дорогого процесса аудита и ряда других причин, поэтому сложная и интересная структура проекта практически бесполезна. Но, наверное, громкость имён вовлечённых в Let's Encrypt компаний и серьёзность их намерений позволят избежать подобных проблем.

Сайт проекта: LetsEncrypt.org ^[3].

Автор: FakeFactFelis

Источник ^[10]