Vamos a cifrar

Let's Encrypt  es una autoridad de certificación que proporciona certificados criptográficos X.509 gratuitos para cifrar datos HTTPS transmitidos a través de Internet y otros protocolos utilizados por servidores en Internet. El proceso de emisión de certificados está totalmente automatizado [3] [4] .

El servicio es proporcionado por la organización pública Internet Security Research Group (ISRG).

Tareas

El proyecto Let's Encrypt se creó para que la mayoría de los sitios de Internet pudieran cambiar a conexiones cifradas ( HTTPS ). A diferencia de las autoridades de certificación comerciales, este proyecto no requiere pago, reconfiguración de servidores web, uso de correo electrónico, procesamiento de certificados vencidos, lo que hace que el proceso de instalación y configuración del cifrado TLS sea mucho más simple [5] . Por ejemplo, en un servidor web típico basado en Linux , se requieren dos comandos para configurar el cifrado HTTPS , obtener e instalar un certificado en unos 20-30 segundos [6] [7] .

En los repositorios oficiales de la distribución Debian [8] se incluye un paquete con utilidades de autoconfiguración y certificado . Los desarrolladores de navegadores Mozilla y Google tienen la intención de eliminar gradualmente el soporte para HTTP sin cifrar al dejar de admitir nuevos estándares web para sitios http [9] [10] . El proyecto Let's Encrypt tiene el potencial de convertir gran parte de Internet en conexiones cifradas [11] .

La autoridad de certificación Let's Encrypt emite certificados validados por dominio con un período de validez de 90 días [12] . No hay planes para ofrecer Validación de organización y Certificados de validación extendida [13] .

A partir de agosto de 2021, Let's Encrypt tiene 1 930 558 certificados registrados y 2 527 642 dominios activos completamente definidos. Y el número de Certificados Let's Encrypt emitidos por día supera los 2,5 millones [14]

El proyecto publica mucha información para protegerse contra ataques e intentos de manipulación [15] . Se mantiene un registro público de todas las transacciones de ACME , se utilizan estándares abiertos y programas de código abierto [6] .

Miembros

El servicio Let's Encrypt es proporcionado por la organización pública Internet Security Research Group (ISRG).

Los principales patrocinadores del proyecto: Electronic Frontier Foundation ( EFF ), Mozilla Foundation , Akamai , Cisco Systems .

Los socios del proyecto son la autoridad certificadora IdenTrust , la Universidad de Michigan (UM), la Escuela de Derecho de Stanford , la Fundación Linux [16] ; Stephen Kent (de Raytheon / BBN Technologies ) y Alex Polvi (de CoreOS ) [6] .

Historia

El proyecto Let's Encrypt fue iniciado a fines de 2012 por dos empleados de Mozilla , Josh Aas y Eric Rescorla . El Grupo de Investigación de Seguridad de Internet se estableció en mayo de 2013 para administrar el proyecto. En junio de 2013, los proyectos de Electronic Frontier Foundation y la Universidad de Michigan se fusionaron en Let's Encrypt [17] .

El proyecto Let's Encrypt se anunció públicamente por primera vez el 18 de noviembre de 2014 [18] .

El 28 de enero de 2015, el protocolo ACME se presentó al IETF para su adopción como estándar de Internet [19] .

El 9 de abril de 2015, ISRG y Linux Foundation anunciaron una colaboración [16] .

A principios de junio de 2015, se creó un certificado raíz RSA para el proyecto Let's Encrypt [20] [21] . Al mismo tiempo, se crearon certificados intermedios [20] .

El 16 de junio de 2015 se anunciaron los planes para lanzar el servicio, los primeros certificados finales se emitieron a fines de julio de 2015 para pruebas de seguridad y escalabilidad. La amplia disponibilidad del servicio estaba prevista para mediados de septiembre de 2015 [22] . El 7 de agosto de 2015, se cambiaron los planes, el lanzamiento general del servicio se pospuso para mediados de noviembre [23] .

La firma de certificados intermedios de IdenTrust se planificó para el período en que Let's Encrypt estuvo ampliamente disponible [24] .

El 14 de septiembre de 2015 se publicó el primer certificado final para el dominio helloworld.letsencrypt.org . El mismo día, el ISRG envió la clave pública de su certificado raíz para que Mozilla , Microsoft , Google y Apple confiaran en él [25] .

El 12 de noviembre de 2015, Let's Encrypt reprogramó su lanzamiento beta amplio para el 3 de diciembre de 2015 [26] .

Let's Encrypt CA entró en versión beta el 3 de diciembre de 2015 [ 26] .

El 12 de abril de 2016, se anunció el final del período de prueba beta [27] .

El 28 de junio de 2017, Let's Encrypt anunció el lanzamiento del certificado número 100 millones [28] .

El 7 de diciembre de 2017 se anunció el inicio de las pruebas beta públicas de la emisión de certificados wildcard a partir del 4 de enero de 2018. La fecha prevista para el final del período de prueba es el 27 de febrero de 2018 [29] .

El 13 de marzo de 2018, Let's Encrypt comenzó a emitir certificados comodín, ahora todos pueden obtener un certificado SSL/TLS gratuito como *.example.com . [30] [31]

El 6 de agosto de 2018, Let's Encrypt declaró que, a fines de julio de 2018, todas las principales listas de certificados raíz confían en su certificado raíz ISRG Root X1 , incluidos Microsoft , Google , Apple , Mozilla , Oracle y Blackberry [32] [33] .

En el período de finales de 2015 - principios de 2016, se planeó generar un certificado raíz con una clave utilizando el algoritmo ECDSA , pero luego su fecha de lanzamiento se pospuso para 2018 [21] [34] [35] .

El 13 de marzo de 2018, el Centro de soporte al usuario de Let's Encrypt anunció la capacidad de crear un " certificado comodín " (certificados que incluyen una cantidad ilimitada de subdominios) [36] . Anteriormente se planeó lanzar esta funcionalidad el 27 de febrero de 2018 [37] .

En marzo de 2020, Let's Encrypt recibió el premio anual Free Software Award for Social Value de la Free Software Foundation [38] .

En septiembre de 2021, la transición de los certificados DST Root CA X3 a ISRG Root X1 [39] .

Tecnología

Desde 2015, la clave del certificado raíz estándar RSA se almacena en el almacenamiento de hardware HSM [ en ] Módulo de seguridad de hardware ), no conectado a redes informáticas [21] .  Este certificado raíz firmó dos certificados raíz intermedios [21] , que también fueron firmados por IdenTrust CA [24] . Uno de los certificados intermedios se utiliza para emitir certificados finales del sitio, el segundo se mantiene como respaldo en una tienda que no está conectada a Internet, en caso de que el primer certificado se vea comprometido [21] . Dado que el certificado raíz de autoridad de IdenTrust está preinstalado en la mayoría de los sistemas operativos y navegadores como un certificado raíz de confianza, los certificados emitidos por el proyecto Let's Encrypt son validados y aceptados por los clientes [20] a pesar de la ausencia del certificado raíz ISRG en la lista de certificados de confianza. .

Protocolo de autenticación del sitio

Para emitir automáticamente un certificado para el sitio final, se utiliza un protocolo de autenticación de clase desafío-respuesta (desafío-respuesta) denominado Entorno de administración de certificados automatizado (ACME). En este protocolo, se realizan una serie de solicitudes al servidor web que solicitó la firma de un certificado para confirmar el hecho de la propiedad del dominio ( validación de dominio ). Para recibir solicitudes, el cliente ACME configura un servidor TLS especial , que es sondeado por el servidor ACME mediante la Indicación del nombre del servidor ( Validación de dominio mediante la Indicación del nombre del servidor , DVSNI).

La validación se realiza varias veces utilizando diferentes rutas de red. Los registros DNS se consultan desde varias ubicaciones geográficamente dispersas para complicar los ataques de suplantación de DNS .

El protocolo ACME funciona intercambiando documentos JSON a través de conexiones HTTPS [40] . Se publicó un borrador del protocolo en GitHub [41] y se envió al Grupo de Trabajo de Ingeniería de Internet (IETF) como un borrador para un estándar de Internet [42] .

El protocolo ACME se describe en RFC 8555 .

Implementación de software

La CA utiliza el servidor de protocolo ACME "Boulder" escrito en el lenguaje de programación Go (disponible en código fuente bajo la Licencia Pública 2 de Mozilla ) [43] . El servidor proporciona un protocolo RESTful que funciona a través de un canal encriptado TLS.

El cliente del protocolo ACME, certbot(anteriormente letsencrypt) de código abierto bajo la licencia de Apache [44] , está escrito en Python . Este cliente se instala en el servidor de destino y se utiliza para solicitar un certificado, realizar una validación de dominio, instalar un certificado y configurar el cifrado HTTPS en un servidor web. Este cliente se utiliza para volver a emitir regularmente el certificado a medida que caduca [6] [45] . Después de instalar y aceptar la licencia, basta con ejecutar un comando para obtener un certificado. Además, se pueden habilitar las opciones de grapado OCSP y HTTP Strict Transport Security (HSTS, cambio forzado de HTTP a HTTPS) [40] . La configuración automática del servidor https está disponible de forma nativa para los servidores web Apache y nginx .

Véase también

• Firma electronica
• autoridad de certificación
• Certificado autofirmado
• Certificado digital

Notas

1. ↑ https://letsencrypt.org/contact/
2. ↑ https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html
3. ↑ Kerner, Sean Michael. El esfuerzo de Let's Encrypt tiene como objetivo mejorar la seguridad en Internet . eWeek.com . Quinstreet Enterprise (18 de noviembre de 2014). Recuperado: 27 febrero 2015. (indefinido)
4. ↑ Eckerley, Peter. Lanzamiento en 2015: una autoridad de certificación para cifrar toda la Web . Fundación Frontera Electrónica (18 de noviembre de 2014). Consultado el 27 de febrero de 2015. Archivado desde el original el 10 de mayo de 2018. (indefinido)
5. ↑ Liam Tung (ZDNet), 19 de noviembre de 2014: EFF, Mozilla lanzará cifrado de sitio web gratuito con un solo clic
6. ↑ 1 2 3 4 Fabian Scherschel (heise.de), 19 de noviembre de 2014: Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf
7. ↑ Rob Marvin (SD Times), 19 de noviembre de 2014: EFF quiere que HTTPS sea el protocolo predeterminado
8. ↑ Detalles del paquete certbot en tramo
9. ↑ Richard Barnes (Mozilla), 30 de abril de 2015: Obsolescencia de HTTP no seguro
10. ↑ The Chromium Projects - Marcar HTTP como no seguro
11. ↑ Glyn Moody, 25 de noviembre de 2014: La guerra que se avecina contra el cifrado, Tor y las VPN : es hora de defender su derecho a la privacidad en línea
12. ↑ Documentación de Let's Encrypt. Versión 0.2.0.dev0 Archivado el 29 de julio de 2017 en Wayback Machine / Let's Encrypt, 18 de diciembre de 2015 "Let's Encrypt CA emite certificados de corta duración (90 días)"
13. ↑ Steven J. Vaughan-Nichols (ZDNet), 9 de abril de 2015: la web de una vez por todas: The Let's Encrypt Project
14. ↑ Estadísticas de Let's Encrypt . https://letsencrypt.org/en . Consultado el 30 de septiembre de 2021. Archivado desde el original el 30 de septiembre de 2021. (Ruso)
15. ↑ Zeljka Zorz (Help Net Security), 6 de julio de 2015: Let's Encrypt CA publica informe de transparencia antes de su primer certificado
16. ↑ 1 2 Sean Michael Kerner (eweek.com), 9 de abril de 2015: Let's Encrypt se convierte en un proyecto colaborativo de la Fundación Linux
17. ↑ Vamos a cifrar | Boom Swagger Boom (enlace no disponible) . Fecha de acceso: 12 de diciembre de 2015. Archivado desde el original el 8 de diciembre de 2015. (indefinido) 
18. ↑ Joseph Tsidulko Let's Encrypt, una autoridad de certificación gratuita y automatizada, sale del modo sigiloso  ( 18 de noviembre de 2014). Consultado el 26 de agosto de 2015. Archivado el 12 de junio de 2018 en Wayback Machine .
19. ↑ Historia de draft-barnes-acme
20. ↑ 1 2 3 Reiko Kaps (heise.de), 5 de junio de 2015: Let's Encrypt: Meilenstein zu kostenlosen SSL-Zertifikaten für alle
21. ↑ 1 2 3 4 5 Aas, Josh Let's Encrypt Root and Intermediate Certificates (4 de junio de 2015). Fecha de acceso: 12 de diciembre de 2015. Archivado desde el original el 3 de diciembre de 2015. (indefinido)
22. ↑ Josh Aas. Calendario de lanzamiento de Let's Encrypt . letsencrypt.org . Ciframos (16 de junio de 2015). Consultado el 19 de junio de 2015. Archivado desde el original el 26 de mayo de 2018. (indefinido)
23. ↑ Calendario de lanzamiento actualizado de Let's Encrypt (7 de agosto de 2015). Consultado el 12 de diciembre de 2015. Archivado desde el original el 27 de septiembre de 2015. (indefinido)
24. ↑ 1 2 Reiko Kaps (heise.de), 17 de junio de 2015: SSL-Zertifizierungsstelle Lets Encrypt will Mitte septiembre de 2015 öffnen
25. ↑ Michael Mimoso. Primero, el certificado gratuito de Let's Encrypt se pone en marcha . Threatpost.com, Kaspersky Labs. Consultado el 16 de septiembre de 2015. Archivado desde el original el 12 de junio de 2018. (indefinido)
26. ↑ 1 2 Public Beta: 3 de diciembre de 2015 (12 de noviembre de 2015). Fecha de acceso: 12 de diciembre de 2015. Archivado desde el original el 7 de abril de 2018. (indefinido)
27. ↑ Let's Encrypt Leaves Beta (enlace descendente) (15 de abril de 2016). Consultado el 25 de enero de 2018. Archivado desde el original el 15 de abril de 2016. (indefinido) 
28. ↑ Hito .  100 Millones de Certificados Emitidos . Vamos a cifrar . Consultado el 25 de enero de 2018. Archivado desde el original el 12 de mayo de 2018.
29. ↑ Mirando hacia el 2018  . Vamos a cifrar. Consultado el 25 de enero de 2018. Archivado desde el original el 22 de enero de 2018.
30. ↑ La compatibilidad con ACME v2 y Wildcard Certificate está disponible  . Soporte de la comunidad Let's Encrypt . Consultado el 28 de junio de 2018. Archivado desde el original el 1 de junio de 2018.
31. ↑ Let's Encrypt comenzó a emitir certificados comodín  (ruso) . Archivado desde el original el 28 de junio de 2018. Consultado el 28 de junio de 2018.
32. ↑ Let's Encrypt Root Trusted By All Major Root Programs . Consultado el 9 de agosto de 2018. Archivado desde el original el 6 de agosto de 2018. (indefinido)
33. ↑ Todas las principales listas de certificados raíz ahora confían en Let's Encrypt . Consultado el 9 de agosto de 2018. Archivado desde el original el 9 de agosto de 2018. (indefinido)
34. ↑ Certificados . Vamos a cifrar . Archivado desde el original el 3 de diciembre de 2015. (indefinido)
35. ↑ Certificados . Vamos a cifrar . Archivado desde el original el 9 de octubre de 2017. (indefinido)
36. ↑ La compatibilidad con ACME v2 y Wildcard Certificate está disponible  . Soporte de la comunidad Let's Encrypt. Consultado el 16 de marzo de 2018. Archivado desde el original el 1 de junio de 2018.
37. ↑ Certificados comodín disponibles en enero de 2018 . Consultado el 9 de julio de 2017. Archivado desde el original el 8 de enero de 2021. (indefinido)
38. ↑ Let's Encrypt, Jim Meyering y Clarissa Lima Borges reciben los Premios de Software Libre 2019 de la FSF Archivado el 18 de julio de 2021 en la Wayback Machine Free Software Foundation, 2020
39. ↑ Vencimiento de DST Root CA X3  . https://letsencrypt.org/ (2021-5-7). Consultado el 30 de septiembre de 2021. Archivado desde el original el 30 de septiembre de 2021.
40. ↑ 1 2 Chris Brook (Threatpost), 18 de noviembre de 2014: EFF, Otros planean facilitar el cifrado de la web en 2015
41. ↑ Borrador de la especificación ACME . Fecha de acceso: 12 de diciembre de 2015. Archivado desde el original el 21 de noviembre de 2014. (indefinido)
42. ↑ R. Barnes, P. Eckersley, S. Schoen, A. Halderman, J. Kasten. Entorno de gestión automática de certificados (ACME) draft-barnes-acme-01 (28 de enero de 2015). Consultado el 12 de diciembre de 2015. Archivado desde el original el 28 de junio de 2020. (indefinido)
43. ↑ boulder/LICENSE.txt en master letsencrypt/boulder GitHub . Consultado el 12 de diciembre de 2015. Archivado desde el original el 19 de marzo de 2019. (indefinido)
44. ↑ letsencrypt/LICENSE.txt en master letsencrypt/letsencrypt GitHub
45. ↑ James Sanders (TechRepublic), 25 de noviembre de 2014: Iniciativa Let's Encrypt para proporcionar certificados de cifrado gratuitos

Literatura

• Richard Barnes, Jacob Hoffman-Andrews, James Kasten, Automatic Certificate Management Environment (ACME) Archivado el 28 de junio de 2020 en Wayback Machine // IETF , Active Internet-Drafts, 21 de julio de  2015

Enlaces

• letsencrypt.org - sitio web oficial de Let's Encrypt
• Vamos a cifrar proyectos en GitHub
• Conferencia de Seth Schoen's Libre Planet 2015 sobre Let's  Encrypt
• Introducción técnica , David Wong
• Charla de pde en Let's Encrypt , CCCamp 2015 
• Lista de certificados emitidos por Let's Encrypt Archivado el 8 de septiembre de 2018 en Wayback Machine . 

en redes sociales	Gorjeo Facebook
sitios temáticos	GitHub