Let's encrypt!

[beldmit]

Что я думаю про проект Let's encrypt?

Ну, прежде всего, он вполне в рамках уже обозначившихся тенденций. Недавно обнародована http://www.internetsociety.org/news/internet-society-commends-internet-architecture-board-recommendation-encryption-default позиция ISOC по шифрованию всего и вся, появились инициативы по шифрованию DNS-трафика и т.п.

Удобный протокол и отсутствие ограничений на использование сертификатов (для некоммерческих целей сертификат получить можно уже довольно давно) сильно перепашет рынок. Участники проекта много денег зарабатывают и так, так что проект скорее всего обойдется недорого. Браузеры новый УЦ добавят. Предлагаемая автоматизация сильно упрощает жизнь. Если еще и WildCard-овые сертификаты так можно будет добывать, то для традиционных УЦ останется только ниша сертификатов с проверкой бумаг.

Проблемы я вижу во внедрении в риаллайф. Для тех, кто сам себе хостер (VPS, выделенный сервер...) это проблемы решает полностью. Несколько хуже жизнь устроена у тех, кто живет на традиционном хостинге - с кучей доменов на одном IP и прочими радостями. Потому что хостеру нафиг не сдалось увеличение нагрузки на его железо "просто так". У тех, у кого TLS по делу, и средний чек больше. С облачным хостингом тоже не уверен, что все будет гладко, хотя CloudFlare уже предлагает Universal SSL.

Осталось дождаться 2-го квартала 2015, когда это все заработает по полной.

Comments

[vitus_wagner]

Я подумал, что сразу, еще до второго квартала 2015 года, появится php-эксплойт, позволяющий получить сертификат на домент на секретный ключ, находящийся в распоряжении злоумышленника. Уж больно хорошо у них автоматизировано.

[beldmit.livejournal.com]

Да, я видел. Тут или владелец осилил протокол (заявку, кстати, все равно создавать), но держит хостинг так, что юзерский код может добраться до ключей, что мне странно, либо живет на массовом хостинге, где все сравнительно грамотно.

А под Revocation у них все заточено вроде.

[vitus_wagner]

Шнайер пишет, что владельцу протокол осиливать не надо

apt-get install lets-encrypt && lets-encrypt имя-домена

а оно дальше само.. Если это действительно так ....

[abbra]

Wild card-ы будут, в коде прототипа заложена поддержка оплаты всяких специализированных "типов сертификатов", так что за * скорее всего будут брать деньги, но и для остального хорошо.

https://github.com/letsencrypt/lets-encrypt-preview/blob/master/letsencrypt/client/payment_challenge.py

Я подумываю добавить поддержку автоматического заказа подписи для частного CA root в FreeIPA, когда они заработают, чтобы совсем все просто было.

[beldmit.livejournal.com]

На самом деле при сложности управления на уровне команды apt-get wildcard-ы становятся уже не очень нужны.

[abbra]

Там не столько wildcards нужны, сколько поддержка CA bit. Если они будут давать, пусть и за деньги, подписывать CA root, то будет хорошо.

А еще нужно в certmonger добавить их протокол для ведения сертификатов, вот. Это будет полезнее, потому что certmonger умеет отслеживать и автоматически обновлять имеющиеся сертификаты.

[beldmit.livejournal.com]

Так кажется, там автообновление и так предусмотрено.

А зачем CA при таком подходе?

[abbra]

Во FreeIPA интегрированный CA -- для каждого узла, который заводится в системе, автоматически выпускаются сертификаты, они используются службами на узлах, ведутся и ротируются certmonger. Если у тебя сотни и тысячи узлов внутри организации, то тебе нет смысла на внешний CA напрямую завязываться.

Во многих организациях сертификаты выпускают для всех систем, которые логинятся в внутреннюю сеть, например.

[beldmit.livejournal.com]

Понятно.

[vitus_wagner]

А для клиентских сертификатов.