Let’s Encrypt (бесплатные HTTPS-сертификаты для всех) вышел в стадию публичной беты

Проект Let’s Encrypt объявил о начале публичного бета-тестирования. Теоретически, теперь любой желающий сможет бесплатно получить HTTPS-сертификат для любых подконтрольных доменов. Сертификаты от Let’s Encrypt принимаются большинством современных браузеров (за счет перекрестной подписи от IdenTrust, присутствующего в списках доверенных сертификатов).

Пока не очень понятно, как это всё работает на практике. Похоже, что для выпуска сертификата нужно использовать специальное ПО, которое работает в разных режимах. В том числе ПО может быть установлено на веб-сервере, где, работая с привилегиями root, может полностью автоматизировать получение, обновление и подключение сертификата к веб-серверу Apache. Есть и ручной режим.

Сертификаты выпускаются на короткий срок (кажется, 90 дней). Это сделано по двум причинам: (1) чтобы снизить рискм при утечках (2) чтобы заставить сисадминов автоматизировать процесс выпуска и замены сертификатов.

Let’s Encrypt — проект Internet Security Research Group, которая является public benefit organization (что бы это ни значило). Основными спонсорами проекта являются Electronic Frontier Foundation (EFF), Mozilla Foundation, Akamai и Cisco Systems. Партнерами являются удостоверяющий центр IdenTrust, Университет Мичигана, Stanford Law School и Linux Foundation.

Добавить 10 комментариев

  • Ответить
    Алексей Иванов ООО "ЛидерТелеком"

    > Сертификаты выпускаются на короткий срок (кажется, 90 дней).
    Почти все центры сертификации выдавали и выдают уже десятки лет бесплатно SSL-сертификаты на 90 дней. По сути Let’s Encrypt — это PR-ход.

  • Ответить

    У меня уже есть несколько их сертификатов еще с закрытой беты.
    Получение сертификата сделано достаточно удобно. Автоматизировать тоже несложно.
    В ArchLinux уже есть в репозитории нужный клиент.
    В Debian experimental тоже (при желании оттуда его можно пересобрать под обычные Debian/Ubuntu), хотя это скорее вопрос временный и думаю, что скоро появятся готовые пакеты подо все популярные ОС.

    Единственное — для получения сертификата сервер обязательно должен смотреть наружу, что не всегда удобно (особенно если сертификат нужен для интранет-ресурса).

  • Ответить

    > PR ход
    Все кто дают бесплатные на 90 дней как раз пытаются привлечь клиентов к своим платным услугам.
    Здесь же наоборот, технические требования: изначально планировали выдавать на месяц + 2 недели для решения технических проблем если таковые возникнут. Но «догнали» до 90 дней чтоб народ не смущать.

  • Ответить

    Я не пользовался WoSign, но пользовался startssl. И там множество ограничений: платный отзыв, максимум один домен и запрет использования сертификатов для коммерческих целей.

    Здесь же полностью свободный CA. Хотите 100500 доменов в сертификате — пожалуйста, надо отозвать — отлично, хотите использовать в своем интернет-магазине — да без проблем.

  • Ответить
    Алексей Иванов ООО "ЛидерТелеком"

    DV-сертификаты (с проверкой по организации) обесценятся окончательно. OV (с проверкой по организации, но она видна только внутри самого сертификата) едва отличимы от DV.

    Приходит время EV (с зеленой адресной строкой и названием компании). Они и раньше были эффективнее DV&OV с точки зрения маркетинга, а теперь у каждого сайта будет стоять DV. У фишингового или у реального — все одинаковые) От фишинга спасет только EV.