21 октября 2015 в 02:46

Let's Encrypt объявил о кросс-сертификации от IdenTrust


На сайте проекта Let's Encrypt появилась информация, что 19 октября 2015 удостоверяющие центры «Let's Encrypt Authority X1» и «Let's Encrypt Authority X2» получили кросс-подписи от IdenTrust. Теперь сертификаты выпущенные Let's Encrypt стали доверенными для всех основных браузеров. Проверить это можно, зайдя на страницу, защищенную первым сертификатом Let's Encrypt: helloworld.letsencrypt.org. Если ваш браузер не выдает предупреждения, значит, считает сертификат этого домена доверенным.

о кросс-сертификатах
Кросс-сертификат — сертификат УЦ у которого значения полей «Субъект» и «Издатель» различаются. Говоря проще, если сертификат УЦ не является самоподписанным, то это кросс-сертификат. Кросс-сертификация необходима для построения иерархической и распределенной моделей доверия. В иерархической модели доверия самоподписанным является только корневой УЦ. Он подписывает сертификаты УЦ следующего уровня иерархии, те — еще на уровень ниже, и так далее. Распределенная модель доверия подразумевает, что все УЦ имеют самоподписанные сертификаты и дополнительно взаимно кросс-сертифицируются со всеми остальными УЦ входящими в список этого распределенного доверия.

Корневой УЦ «Let's Encrypt — ISRG Root X1» будет добавлен в доверенные центры сертификации браузеров позже, однако достижение соответствующих договоренностей не умаляет значимость произведенной кросс-сертификации. Ведь браузеры пользователей должны обновиться, чтобы обновить свои списки доверия. Без этого пользователи какое-то время еще получали бы предупреждения о недоверенном сертификате при посещении всех сайтов защищенных сертификатами Let's Encrypt.

«Let's Encrypt Authority X1» – основной, а «Let's Encrypt Authority X2» – резервный УЦ, на случай катастрофы и невозможности использования X1. Таким образом была предусмотрена отказоустойчивость выпускающего УЦ.
Закрытые ключи корневого и выпускающих УЦ хранятся на HSM, что гарантирует высокий уровень защиты от кражи ключей или несанкционированного доступа к ним.
об HSM
HSM или Hardware Security Module или Аппаратный Модуль Безопасности, представляет собой устройство, защищенное от постороннего вмешательства, как аппаратного, так и программного. При обнаружении попытки несанкционированного доступа, HSM может необратимо уничтожить данные, хранящиеся на нем. Внутри HSM генерируется и хранится ключевая пара и осуществляются все необходимые криптографические операции. Например, подпись сертификата конечного пользователя производится непосредственно внутри HSM по соответствующей команде, полученной от УЦ. Для доступа к настройкам или, например, запуска HSM требуется одновременная аутентификация нескольких сотрудников — хранителей ключей. Существуют как локально устанавливаемые модули HSM с интерфейсами USB или PCI-X, так и сетевые HSM c Ethernet интерфейсом.

Let's Encrypt поддерживает технологию Certificate Transparency, поэтому все выпущенные сертификаты можно посмотреть по логу CT. Из лога видно, что сертификаты выдаются пока сроком на 3 месяца.
о Certificate Transparency
Технология Certificate Transparency призвана сделать «прозрачным» выпуск сертификатов Удостоверяющими Центрами. Для этого информация обо всех выпущенных сертификатах попадает в лог файл. Этот лог доступен только на добавление информации и криптографически защищен от постороннего вмешательства или удаления отдельных записей. Информация о выпускаемом сертификате попадает в лог до фактического выпуска сертификата. Таким образом предотвращается возможность выпустить сертификат не оставив никаких следов.

Полноценный запуск проекта назначен на неделю с 16 ноября. Полагаю, ребята из Let's Encrypt должны хорошенько подготовиться к потенциально большой нагрузке в первые часы и дни после запуска.
Николай Корабельников @nmk2002
карма
13,5
рейтинг 0,1
Информационная безопасность
Самое читаемое Разработка

Комментарии (35)

  • 0
    Блин. У меня startssl 18 ноября заканчивается. Получил уже на год от wosign, но эти сертификаты выглядят интереснее. У китайцев пинг печальный.
    • 0
      comodo даёт на месяц халявный
      • 0
        У меня не критичный проект — домашний owncloud. Я бы подождал, но у меня он теперь хранилище данных лаборатории. Буду думать, спасибо)
      • +1
        На 90 дней и можно выпустить ещё один для того же домена через SSL.com (входит в цепочку Comodo):
        www.comodo.com/e-commerce/ssl-certificates/free-ssl-certificate.php
        www.ssl.com/certificates/free
    • +2
      Думаю, OCSP Stapling может тут помочь.

      Браузер не будет делать накладной запрос к CA, чтобы узнать, не отозван ли серт веб-сервера — вместо этого твой веб-сервер (если в нём поддерживается OSCP Stapling) периодически делает такие запросы к CA, а на этапе TLS-рукопожатия отдаёт браузеру подписанный выдавшим сертификат центром сертификации ответ о том, не отозван ли серт.

      Как настроить — www.digicert.com/enabling-ocsp-stapling.htm
      • 0
        Как это поможет, если срок сертификата истек?
        • 0
          Это я к утверждению, что
          У китайцев пинг печальный.
          • +2
            Спасибо. По сути медленно только в первый раз. У меня стоит уже эта опция. Попробовал заказать перевыпуск сертификата у StartSSL. Написал саппорту. зарегистрировал новый аккаунт. Странная хрень, что нельзя никаким образом перевыпустить сертификат для авторизации на сайте.
  • +4
    О, в отличие от StartSSL и в Java от Oracle поддерживается.
    • 0
      В смысле, как сертификат может не поддерживаться «джавой от оракл»
      • +4
        У Java своё хранилище корневых сертификатов.
        CAшный сертификат от StartSSL не включён в список доверенных.
  • 0
    открылись бы уже, наконец, сколько можно :) хочу сертификат на каждое устройство.
  • +9
    Скоро: Астрологи обявили недели https, нагрузка на DPI и СОРМ увеличена в двое
    • 0
      Понимаю, что шутка — но по факту, основной траффик сейчас и так уже идёт по https, а пара (возможно, пара десятков) тысяч хомяков, перейдущих на https тут погоды не сделают, на мой взгляд. Поправьте, если не прав.
      • 0
        не правы, все хостинг провайдеры начнут предлагать https от них как бонус — а значит все мелкие ресурсы автоматически перейдут на HTTPS + имеются крупные ресурсы которые до сих пор сидят без HTTPS.

        Ну и еще не надо забывать инициативу от мозилы — они предлагали выпилить возможость передавать формы с паролем через http
        • 0
          Лично мне кажется, что даже все вместе взятые хостинг-провайдеры не смогут создать конкуренцию по траффику тому же вконтактику и гуглу. Хотя, я могу быть не прав.
      • +4
        Провайдер поделился статистикой — примерно 80% трафика от серфинга домашних пользователей пока на http.
        • 0
          Это уже поконкретнее инфа, спасибо.
        • 0
          Из которых 50-60% наверное, трафик к видео-, аудио- и прочему медиаконтенту, который просто невыгодно выкладывать по https
      • 0
        Пройдитесь по интернет-магазинам российским (крупным). Подсчитайте )
        • 0
          Меня уже убедили, что нешифрованного трафика пока большинство =)
  • –4
    Ошибка при установлении защищённого соединения

    При соединении с helloworld.letsencrypt.org произошла ошибка. Неверный сертификат подписи OCSP в OCSP-ответе. (Код ошибки: sec_error_ocsp_invalid_signing_cert)

    фф28 убунта. а жаль
    • 0
      Странно. Kubuntu 12.04, Firefox. Все хорошо.
    • +11
      Очевидно же, что вам нужно обновить браузер. Текущая версия Firefox — 41.
      • 0
        Хотя возможен еще вариант, что у вас время убежало. Но тогда бы подобные ошибки были бы у вас постоянно.
    • +14
      Церковь Необновления благодарит тебя, брат. Призываем тебя, отключи богомерзкие яваскрипт и css, во имя Великого Хаоса.
      Раминь.
      • 0
        А как попасть в ваш монастырь?
        image
        • 0
          Для этого надо пройти многолетнее послушание на должности сисадмина. Желательно в государственной конторе.
          • +4
            Выслал вам своё резюме почтой РФ
            • +1
              фф28 убунта. а жаль

              К тому времени, когда ваше письмо дойдёт через Почту России до адресата, в вашем текущем браузере может окончиться срок действия всех установленных в него сертификатов либо вообще настанет конец времён.
  • +2
    Какой резон IdenTrust'у делать это? Let's encrypt же натурально уничтожает бизнес по продаже SSL сертификатов.
    • 0
      Let's Encrypt ведь выдает только DV сертификаты, EV и прочая ынтерпрайзная фигня останется платной у старых регистраторов, не?
      • 0
        Кстати, в итоге бизнес-сертификаты могут подорожать, компенсируя снижение прибыли.
    • 0
      Если насилие неизбежно, то лучше расслабиться и получать удовольствие.
    • 0
      Они же не выдавали им сертификат. Они его подписали. Не подписали бы они — подписал бы кто-нибудь другой.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.