Добавить в корзинуПозвонить
Найти в Дзене
Админ Чебурнета
59 подписчиков

Let's Encrypt. Как бесплатный сертификат заставил весь интернет перейти на HTTPS

3 мин
Привет, коллеги. В прошлый раз мы говорили про центры сертификации - цифровых богов, чьи печати вшиты в наши браузеры. И там прозвучало имя - Let's Encrypt. Это не просто еще один CA. Это - революция, которая за несколько лет сделала шифрование нормой, а не роскошью. Сегодня разберем, как он устроен и почему его до сих пор не «прикрыли». Эпоха до Let's Encrypt: HTTPS как VIP-зона Раньше, чтобы получить SSL-сертификат, вам нужно было: Итог: у маленького блога, пет-проекта или даже у среднего сайта-визитки часто не было HTTPS. Зачем платить и усложнять, если тут нет оплат? А зря. Без шифрования можно было не только подсмотреть пароль, но и подменить ваш сайт в публичной Wi-Fi-сети, всунув в него рекламу или вирусы. Революция: Let's Encrypt и философия «HTTPS для всех» В 2016 году появляется некоммерческий проект Let's Encrypt от организации Internet Security Research Group (ISRG). Их миссия - сделать сеть безопаснее по умолчанию. Их принципы: Они выдают обычные доменные сертификаты (DV

Привет, коллеги. В прошлый раз мы говорили про центры сертификации - цифровых богов, чьи печати вшиты в наши браузеры. И там прозвучало имя - Let's Encrypt. Это не просто еще один CA. Это - революция, которая за несколько лет сделала шифрование нормой, а не роскошью. Сегодня разберем, как он устроен и почему его до сих пор не «прикрыли».

Эпоха до Let's Encrypt: HTTPS как VIP-зона

Раньше, чтобы получить SSL-сертификат, вам нужно было:

  1. Заплатить. Годовой абонемент мог стоить от пары тысяч до сотен тысяч рублей.
  2. Доказать, что вы - вы. Для бизнеса - прислать скан документов, пройти проверку по телефону. Процесс занимал от нескольких часов до дней.
  3. Вручную возиться. Сгенерировать запрос (CSR), куда-то его вставить, дождаться выпуска, затем руками установить сертификат на сервер и настроить веб-обертку (типа nginx/apache). А через 1-2 года - повторить всё сначала.

Итог: у маленького блога, пет-проекта или даже у среднего сайта-визитки часто не было HTTPS. Зачем платить и усложнять, если тут нет оплат? А зря. Без шифрования можно было не только подсмотреть пароль, но и подменить ваш сайт в публичной Wi-Fi-сети, всунув в него рекламу или вирусы.

Революция: Let's Encrypt и философия «HTTPS для всех»

В 2016 году появляется некоммерческий проект Let's Encrypt от организации Internet Security Research Group (ISRG). Их миссия - сделать сеть безопаснее по умолчанию. Их принципы:

  • Бесплатно.
  • Автоматически.
  • Открыто и прозрачно.

Они выдают обычные доменные сертификаты (DV - Domain Validation). Не для компаний (OV/EV), а просто подтверждающие, что вы управляете доменом. Для 95% сайтов этого достаточно.

Как это работает технически? Магия протокола ACME

Вся фишка в автоматизации через открытый протокол ACME (Automatic Certificate Management Environment). Вот как это выглядит на пальцах:

  1. Вы ставите на свой сервер спец-клиент - самый популярный это certbot.
  2. Клиент говорит Let's Encrypt: «Эй, я управляю доменом vasya-blog.ru, хочу для него сертификат».
  3. Let's Encrypt отвечает: «Докажи. Создай по этому адресу специальный файл с таким-то криптографическим кодом» (или измени DNS-запись).
  4. Ваш клиент это делает и говорит: «Готово, проверяй».
  5. Let's Encrypt проверяет, что файл по адресу vasya-blog.ru/.well-known/... действительно существует и содержит нужный код. Если все ок - выпускает сертификат и отдает его вашему клиенту.
  6. Клиент сам устанавливает сертификат в нужное место и перезагружает веб-сервер. ВСЁ.

Весь процесс занимает секунды и не требует участия человека. А главное - клиент умеет автоматически обновлять сертификаты. Let's Encrypt выдает их всего на 90 дней (это заставляет автоматизировать процесс и делает сеть безопаснее в случае утечки ключей). Клиент просто раз в два месяца тихо делает то же самое и обновляет сертификат. Set it and forget it.

Критика и ответы: «Раз бесплатный - значит ненадежный?»

  • «Это ненадежно!» Напротив. Короткий срок жизни и обязательная автоматизация - это более безопасная модель, чем забытый на три года сертификат у кого-то на жестком диске.
  • «Они скомпрометируют систему!» Let's Encrypt - это промежуточный CA, чей корневой сертификат подписан другим доверенным центром (IdenTrust). Их инфраструктура соответствует высочайшим стандартам, а код - открыт.
  • «Они могут отслеживать кто какие сайты создает!» Они видят только факт запроса на домен, который и так публичен. И они публикуют все выданные сертификаты в логах прозрачности (CT).
-2

Итог: Мир после революции

Благодаря Let's Encrypt:

  • Доля трафика HTTPS в сети выросла с ~40% в 2016 до более чем 95% сегодня.
  • Браузеры (Chrome, Firefox) начали помечать сайты без HTTPS как «Небезопасные».
  • Без шифрования стало стыдно. Это теперь базовая гигиена, как мытье рук.

Они сделали безопасность доступной и необратимой. И это, пожалуй, один из самых успешных и благородных IT-проектов последнего десятилетия.

P.S. Если хотите технических деталей - в следующий раз можем разобрать TLS 1.3 и его улучшения. Или написать практический гайд - как поднять свой первый сервер с HTTPS за 10 минут с помощью certbot. Лайк - определит тему.

А вы уже ставили сертификат от Let's Encrypt? Или может, помните те времена, когда платили за SSL? Делитесь в комментах.