Let’s Encrypt bezmaksas SSL/TLS sertificēšanas serviss

No nākamā 2015. gada vasaras Let’s Encrypt vērs vaļā savu sertificēšanas servisu un piedāvās bezmaksas SSL/TLS sertifikātus visiem, kas to vēlēsies.

Lets encrypt

Tā būs jauna bezpeļņas organizācija, kuras mērķis būs palīdzēt padarīt drošāku internetu.

The Let’s Encrypt CA will be operated by a new non-profit organization called the Internet Security Research Group (ISRG).

Vismaz tā viņi apgalvo.

Today EFF is pleased to announce Let’s Encrypt, a new certificate authority (CA) initiative that we have put together with Mozilla, Cisco, Akamai, IdenTrust, and researchers at the University of Michigan that aims to clear the remaining roadblocks to transition the Web from HTTP to HTTPS.

Ja šobrīd lielākā daļa mājaslapu neizmanto drošu kriptēto kanālu, lai nodrošinātu komunikāciju no servera līdz apmeklētājam un tādā veidā pakļauj riskam, ka kāds var pārķert lietotāju datus un izmantot tos nelietīgiem mērķiem. Piemēram, nozagt mājaslapas apmeklētāja lietotājvārdu un paroli, kuru pēc tam izmantotu saviem nolūkiem. Lielākā daļa mājaslapu īpašnieki iet uz šo risku, jo nevēlas maksāt naudu par SSL sertifikātiem.

The key principles behind Let’s Encrypt are:

  • Free: Anyone who owns a domain can get a certificate validated for that domain at zero cost.
  • Automatic: The entire enrollment process for certificates occurs painlessly during the server’s native installation or configuration process, while renewal occurs automatically in the background.
  • Secure: Let’s Encrypt will serve as a platform for implementing modern security techniques and best practices.
  • Transparent: All records of certificate issuance and revocation will be available to anyone who wishes to inspect them.
  • Open: The automated issuance and renewal protocol will be an open standard and as much of the software as possible will be open source.
  • Cooperative: Much like the underlying Internet protocols themselves, Let’s Encrypt is a joint effort to benefit the entire community, beyond the control of any one organization.

Šajā video var redzēt nelielu prezentāciju ar to, ko viņi plāno piedāvāt.

Ja vidēji servera administratoram būtu nepieciešamas pāris stundas, lai nokonfigurētu serveri ar SSL sertifikātiem, tad viņi piedāvās jau gatavus rīkus, kas šo operāciju paveiks dažu sekunžu laikā.

No tā, ko es sapratu, ka tas būs iekš Python rakstīts skripts, kas demonstrētajā video māk nokonfigurēt Apache web serveri.

Tā kā vēl ir vismaz pusgads laika, tad pieļauju, ka paspēs uzrakstīt arī rīku Nginx serverim un citiem.

Teikšu kā ir – man pagaidām vēl nav viss līdz galam skaidrs, kas un kā būs, bet esmu par to, lai atbalstītu šo kustību un tiktu pie bezmaksas SSL sertifikāta no jaunā sertifikātu servisa. Ja viņu sniegtie sertifikāti tiks atbalstīti globāli un integrēti pārlūkos, tad tas pamatīgi iedragās SSL sertifikātu tirgu. Šobrīd sertifikāts uz vienu domēnu vidēji maksā ap €50 gadā. Ja tu gribi noreģistrēt uz vairākiem apakšdomēniem vienam domēnam, tad sareizini šo skaitli vismaz ar 3.

Es pats arī uzliktu SSL sertifikātu, bet slinkums ņemties ar to visu pasākumu un kaut kā nevelk ķēpāties ar kreisajiem sertifikātu kantoriem, kas it kā piedāvā “bezmaksas sieru” papildus  saviem maksas pakalpojumiem.

Diskusija iekš Hacker News.

21 thoughts on “Let’s Encrypt bezmaksas SSL/TLS sertificēšanas serviss

    1. coolynx Raksta autors

      Ja to dari katru dienu, tad visticamāk, ka tā arī, bet, ja nekad neesi to darījis, tad kamēr izlasīsi visas pamācības, piereģistrēsies (nopirksi), sakonfigurēsi un notestēsi – laiciņš paies.

      Atbildēt
          1. Kristaps K.

            Izmaini kodā “http://” uz “//”, tad varēs. Citādi ar Chrome noklusēti šobrīd sanāk šitā – http://po.st/WtJMcd .

  1. petruha

    ssls.com RapidSSL sertifikātus var nopirkt <10$ gadā (atkarīgs no skaita un termiņa, uz kuru sertifikāti tiek pirkti), turklāt tur ir arī vēl lētāki varianti, bet tos neesmu mēģinājis.

    Atbildēt
  2. Vilx-

    Ja viss ir tik automatizēts, tad jāsāk uzmanīties no tā, cik viegli šo sistēmu būs apmuļķot un dabūt SSL sertifikātu ne-savam domēnam. Ja tas izdosies, tad gan būs ziepes…

    Atbildēt
  3. Jam

    Patiesībā iemesls tam ssla forsēšanai lapās ir tāds, ka google nolēma meklēšanas rezultātos zemāk radīt tās lapas, kurām nebūs ssl! Tipa veicināt drošību, bet nah podam, piemēram, vajag ssl tā arī nav skaidrs.. http://www.theregister.co.uk/2014/08/07/google_boosts_search_ranking_for_encrypted_websites/

    Atbildēt
    1. coolynx Raksta autors

      Es teiktu – tas bija patiesais motivators. Apmeklētāju drošība ir pie kājas, ja salīdzina ar vietu Google rezultātos un ieņēmumiem, ko tas dod. 😉

      Atbildēt
    2. Kristaps K.

      Vajag tāpēc, lai ļaunajiem onkuļiem un tantēm, kas mani potenciāli izspiego, būtu grūtāk noskaidrot, ka rakstu šobrīd šo komentāru šim konkrētajam pods.lv rakstam un tā saturu, nevis vienkārši slēdzos pie IP adreses X. https://www.thawte.com/about/news/?story=552783

      Atbildēt
  4. Kristaps K.

    StartSSL piedāvā bezmaksas sertifikātu vienam domēnam ar vienu apakšdomēnu. Vienīgi to var uzģenerēt tikai vienreiz, jo uzģenerētā likvidēšana jau ir par maksu. Es nolažojos, privātā atslēga bija iekopēta nesaglabātā teksta redaktora logā un tad kompis uzkārās un tagad vairs otrreiz neko par brīvu tur dabūt nevaru. Tāpēc arī kristaps.blogiem.lv joprojām bez HTTPS.

    Atbildēt
  5. noisex

    SSL cert uzstadisana uz HTTPD aiznem 1-2min. Pat ja genereju vel key un self-signed. Lielakais pisaks ir nopirkt to rapid/auth cert :). Domaju, ka patiesais iemesls tiesam ir google reitinga samazinasana neSSL lapam. Interesanti, ko par to doma Verisign, Comodo, Thawte u.c. liele tirgoni.

    Atbildēt
  6. ZBH

    Principā veči uztaisījuši automātisku alternatīvu šībrīža manuālajām lētajām metodēm identitātes apstiprināšanai. Protams, Verisign pertisikātu dārgā gala metodes ar iespēju ierasties pasta adresē un palūrēt, kas tur dzīvā, neir implementētas, un laikam vēl kādu labu laiku nedarīs, pat ne ar kvadrikopteriem 🙂
    Nu, lai nu viņiem izdodas uztaisīt cenu revolūciju vulgārajos pertisikātos. Labi, ka tur Mozilla piedalās.

    Atbildēt
  7. Bannijs Skrien

    Omg, šitais serviss ir apšarmojošs. certifikāta instalācija un apache/nginx aizņem 5 sekundes. burtiski. no komandrindas.

    Atbildēt

Atbildēt uz komentāru Kristaps K. Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *