Let's Encrypt объявил о кросс-сертификации от IdenTrust


    На сайте проекта Let's Encrypt появилась информация, что 19 октября 2015 удостоверяющие центры «Let's Encrypt Authority X1» и «Let's Encrypt Authority X2» получили кросс-подписи от IdenTrust. Теперь сертификаты выпущенные Let's Encrypt стали доверенными для всех основных браузеров. Проверить это можно, зайдя на страницу, защищенную первым сертификатом Let's Encrypt: helloworld.letsencrypt.org. Если ваш браузер не выдает предупреждения, значит, считает сертификат этого домена доверенным.

    о кросс-сертификатах
    Кросс-сертификат — сертификат УЦ у которого значения полей «Субъект» и «Издатель» различаются. Говоря проще, если сертификат УЦ не является самоподписанным, то это кросс-сертификат. Кросс-сертификация необходима для построения иерархической и распределенной моделей доверия. В иерархической модели доверия самоподписанным является только корневой УЦ. Он подписывает сертификаты УЦ следующего уровня иерархии, те — еще на уровень ниже, и так далее. Распределенная модель доверия подразумевает, что все УЦ имеют самоподписанные сертификаты и дополнительно взаимно кросс-сертифицируются со всеми остальными УЦ входящими в список этого распределенного доверия.

    Корневой УЦ «Let's Encrypt — ISRG Root X1» будет добавлен в доверенные центры сертификации браузеров позже, однако достижение соответствующих договоренностей не умаляет значимость произведенной кросс-сертификации. Ведь браузеры пользователей должны обновиться, чтобы обновить свои списки доверия. Без этого пользователи какое-то время еще получали бы предупреждения о недоверенном сертификате при посещении всех сайтов защищенных сертификатами Let's Encrypt.

    «Let's Encrypt Authority X1» – основной, а «Let's Encrypt Authority X2» – резервный УЦ, на случай катастрофы и невозможности использования X1. Таким образом была предусмотрена отказоустойчивость выпускающего УЦ.
    Закрытые ключи корневого и выпускающих УЦ хранятся на HSM, что гарантирует высокий уровень защиты от кражи ключей или несанкционированного доступа к ним.
    об HSM
    HSM или Hardware Security Module или Аппаратный Модуль Безопасности, представляет собой устройство, защищенное от постороннего вмешательства, как аппаратного, так и программного. При обнаружении попытки несанкционированного доступа, HSM может необратимо уничтожить данные, хранящиеся на нем. Внутри HSM генерируется и хранится ключевая пара и осуществляются все необходимые криптографические операции. Например, подпись сертификата конечного пользователя производится непосредственно внутри HSM по соответствующей команде, полученной от УЦ. Для доступа к настройкам или, например, запуска HSM требуется одновременная аутентификация нескольких сотрудников — хранителей ключей. Существуют как локально устанавливаемые модули HSM с интерфейсами USB или PCI-X, так и сетевые HSM c Ethernet интерфейсом.

    Let's Encrypt поддерживает технологию Certificate Transparency, поэтому все выпущенные сертификаты можно посмотреть по логу CT. Из лога видно, что сертификаты выдаются пока сроком на 3 месяца.
    о Certificate Transparency
    Технология Certificate Transparency призвана сделать «прозрачным» выпуск сертификатов Удостоверяющими Центрами. Для этого информация обо всех выпущенных сертификатах попадает в лог файл. Этот лог доступен только на добавление информации и криптографически защищен от постороннего вмешательства или удаления отдельных записей. Информация о выпускаемом сертификате попадает в лог до фактического выпуска сертификата. Таким образом предотвращается возможность выпустить сертификат не оставив никаких следов.

    Полноценный запуск проекта назначен на неделю с 16 ноября. Полагаю, ребята из Let's Encrypt должны хорошенько подготовиться к потенциально большой нагрузке в первые часы и дни после запуска.
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 35
    • 0
      Блин. У меня startssl 18 ноября заканчивается. Получил уже на год от wosign, но эти сертификаты выглядят интереснее. У китайцев пинг печальный.
      • 0
        comodo даёт на месяц халявный
      • +2
        Думаю, OCSP Stapling может тут помочь.

        Браузер не будет делать накладной запрос к CA, чтобы узнать, не отозван ли серт веб-сервера — вместо этого твой веб-сервер (если в нём поддерживается OSCP Stapling) периодически делает такие запросы к CA, а на этапе TLS-рукопожатия отдаёт браузеру подписанный выдавшим сертификат центром сертификации ответ о том, не отозван ли серт.

        Как настроить — www.digicert.com/enabling-ocsp-stapling.htm
        • 0
          Как это поможет, если срок сертификата истек?
          • 0
            Это я к утверждению, что
            У китайцев пинг печальный.
            • +2
              Спасибо. По сути медленно только в первый раз. У меня стоит уже эта опция. Попробовал заказать перевыпуск сертификата у StartSSL. Написал саппорту. зарегистрировал новый аккаунт. Странная хрень, что нельзя никаким образом перевыпустить сертификат для авторизации на сайте.
      • +4
        О, в отличие от StartSSL и в Java от Oracle поддерживается.
        • 0
          В смысле, как сертификат может не поддерживаться «джавой от оракл»
          • +4
            У Java своё хранилище корневых сертификатов.
            CAшный сертификат от StartSSL не включён в список доверенных.
        • 0
          открылись бы уже, наконец, сколько можно :) хочу сертификат на каждое устройство.
          • +9
            Скоро: Астрологи обявили недели https, нагрузка на DPI и СОРМ увеличена в двое
            • 0
              Понимаю, что шутка — но по факту, основной траффик сейчас и так уже идёт по https, а пара (возможно, пара десятков) тысяч хомяков, перейдущих на https тут погоды не сделают, на мой взгляд. Поправьте, если не прав.
              • 0
                не правы, все хостинг провайдеры начнут предлагать https от них как бонус — а значит все мелкие ресурсы автоматически перейдут на HTTPS + имеются крупные ресурсы которые до сих пор сидят без HTTPS.

                Ну и еще не надо забывать инициативу от мозилы — они предлагали выпилить возможость передавать формы с паролем через http
                • 0
                  Лично мне кажется, что даже все вместе взятые хостинг-провайдеры не смогут создать конкуренцию по траффику тому же вконтактику и гуглу. Хотя, я могу быть не прав.
                • +4
                  Провайдер поделился статистикой — примерно 80% трафика от серфинга домашних пользователей пока на http.
                  • 0
                    Это уже поконкретнее инфа, спасибо.
                    • 0
                      Из которых 50-60% наверное, трафик к видео-, аудио- и прочему медиаконтенту, который просто невыгодно выкладывать по https
                    • 0
                      Пройдитесь по интернет-магазинам российским (крупным). Подсчитайте )
                      • 0
                        Меня уже убедили, что нешифрованного трафика пока большинство =)
                  • –4
                    Ошибка при установлении защищённого соединения

                    При соединении с helloworld.letsencrypt.org произошла ошибка. Неверный сертификат подписи OCSP в OCSP-ответе. (Код ошибки: sec_error_ocsp_invalid_signing_cert)

                    фф28 убунта. а жаль
                    • 0
                      Странно. Kubuntu 12.04, Firefox. Все хорошо.
                      • +11
                        Очевидно же, что вам нужно обновить браузер. Текущая версия Firefox — 41.
                        • 0
                          Хотя возможен еще вариант, что у вас время убежало. Но тогда бы подобные ошибки были бы у вас постоянно.
                        • +14
                          Церковь Необновления благодарит тебя, брат. Призываем тебя, отключи богомерзкие яваскрипт и css, во имя Великого Хаоса.
                          Раминь.
                          • 0
                            А как попасть в ваш монастырь?
                            image
                            • 0
                              Для этого надо пройти многолетнее послушание на должности сисадмина. Желательно в государственной конторе.
                              • +4
                                Выслал вам своё резюме почтой РФ
                                • +1
                                  фф28 убунта. а жаль

                                  К тому времени, когда ваше письмо дойдёт через Почту России до адресата, в вашем текущем браузере может окончиться срок действия всех установленных в него сертификатов либо вообще настанет конец времён.
                        • +2
                          Какой резон IdenTrust'у делать это? Let's encrypt же натурально уничтожает бизнес по продаже SSL сертификатов.
                          • 0
                            Let's Encrypt ведь выдает только DV сертификаты, EV и прочая ынтерпрайзная фигня останется платной у старых регистраторов, не?
                            • 0
                              Кстати, в итоге бизнес-сертификаты могут подорожать, компенсируя снижение прибыли.
                            • 0
                              Если насилие неизбежно, то лучше расслабиться и получать удовольствие.
                              • 0
                                Они же не выдавали им сертификат. Они его подписали. Не подписали бы они — подписал бы кто-нибудь другой.

                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.