Let’s Encrypt chce převést celý web na HTTPS. Zadarmo a automaticky
Co vnímají laici jen jako magickou značku HTTPS na začátku webové adresy, je pro mnohé administrátory požehnání a prokletí v jednom. Na jednu stranu jsou SSL protokoly a certifikáty nesmírně užitečné – zajišťují šifrovanou komunikaci na internetu a bezpečný přenos informací skrz síť. Na stranu druhou jsou ale konkrétně certifikáty pro mnoho administrátorů mnohdy otravnou částí jejich práce. Získat požehnání certifikační autority může být drahé a v některých případech i zdlouhavé. A není to záležitost, kterou vyřídí jednou – certifikáty je potřeba pravidelně obnovovat. Už v jednom z minulých článků jsme však psali, že je rozhodně dobrý nápad SSL certifikáty používat. Co teď? Jednou z variant, která se nabízí administrátorům serverů odrazovaných klasickými postupy, je Let’s Encrypt. Jedná se o otevřenou certifikační autoritu, která vydává certifikáty zdarma a dokáže to dělat i automaticky. Jak to funguje?
- 11. 07. 2016
- 7 min čtení
Let’s Encrypt funguje jako odpověď na problém SSL certifikátů vydávaných konvenčními kořenovými certifikačními autoritami. Jejich obstarání, placení a nastavení je totiž často pro firmy přehnaně komplikované. Nechtějí se proto těmito komplikacemi zabývat příliš často. V důsledku toho je velká většina klasických SSL certifikátů vystavována na vcelku dlouhou dobu – třeba i na tři roky.
Jsme tady noví, co je to HTTPS?
Zkratka HTTPS označuje protokol pro bezpečný přenos informací internetem, který postupně vytlačuje starší HTTP. Pro šifrování informací se používají SSL protokoly a certifikáty, o kterých jsme už psali dříve. Protokol HTTPS zamezuje odposlouchání hesel nebo převzetí některé ze stran v komunikaci mezi serverem a klientem (kterým může být třeba internetový prohlížeč) třetí stranou – jedná se tedy o ochranu proti některým způsobům útoků po síti. Není to samozřejmě všelék – stále je nutná obezřetnost a jisté bezpečnostní návyky, aby byl člověk v bezpečí i před dalšími formami útoků.
Znamená to sice méně práce, ale také o něco sníženou úroveň bezpečnosti. Odcizený certifikát je platný dlouho a otevírá tak dveře různým druhům útoků.
Toto paradigma staví Let’s Encrypt na hlavu díky automatizaci.
Lenost, tahoun pokroku
Získat doménový certifikát od Let’s Encrypt je snadné a hlavně automatické. U klasické doménové validace chtějí certifikační autority vědět, že žadatel o certifikát je opravdu vlastníkem domény – ověří si to tak, že nechají na ukázku žadatele provést s doménou nějakou drobnou změnu.
Nástroj od Let’s Encrypt naproti tomu ověření zvládne sám. Celý proces je záležitostí okamžiku. Na server si stáhnete open source klienta a jedním příkazem nainstalujete certifikát. Následuje několik drobných kroků jako vyplnění e-mailové adresy a odsouhlasení podmínek užívání. Klient se ještě zeptá, zda chcete všechen internetový provoz nutit jít přes HTTPS.
A je to. Server má nyní 2048bitový RSA certifikát protokolu TLS 1.2 s SHA-256. Jinými slovy – k serveru se nyní návštěvníci připojí pouze přes HTTPS.
Kromě toho je ale možné celý proces kompletně automatizovat – k příkazu je možné přidat parametry, které vyplní e-mail, odsouhlasí podmínky a tak dále za vás. Klidně také můžete prvotní instalaci provést ručně, pokud si chcete být naprosto jisti, že je vše nastaveno správně.
Zároveň je Let’s Encrypt pádným argumentem pro přijetí HTTPS pro ty, kteří na něj dosud nepřešli. Adoptovat bezpečnější formu přenosu informací po síti je nyní tak jednoduché, že už prakticky neexistuje argument, proč to neudělat.
Jak pracujeme s Let’s Encrypt certifikáty my v Masteru?
Jednou z doplňkových služeb, které k serverům nabízíme, byly a jsou i komerční SSL certifikáty. Z dostupných autorit jsme před několika lety vybrali jedinou ryze evropskou certifikační autoritu uznávanou po celém světě, CA Certum společnosti Unizeto. S příchodem Let’s Encrypt certifikátů jsme služby rozšířili i o tento typ certifikátu. Jak s nimi pracujeme a jaké jsou výhody pro zákazníky?
V prvé řadě je na místě zmínit, že devadesátidenní Let’s Encrypt certifikáty poskytujeme pouze zákazníkům se servery v naší správě. Takové zákazníky a jejich servery někdy nazýváme anglickým výrazem „managed“. Celý proces od nasazení, přes správu a obnovu certifikátu umíme díky vlastnímu skriptu automatizovat a výrazně tak ušetřit (sobě čas a vám peníze).
Vyvinuli jsme si vlastní skript, který kontroluje platnost certifikátu a po dosažení doby platnosti dochází k jeho automatické obnově pro konkrétní doménu. Skript je spouštěn jednou denně a na případnou neúspěšnou obnovu jsme okamžitě upozorněni.
Provozujete desítky či dokonce stovky webů? Pak si jistě umíte představit, jak náročná je údržba platných certifikátů. Díky Let’s Ecrypt dokážeme našim zákazníkům ušetřit výdaje za hodiny administrace navíc, které mohou využít na jiné úkony.
Proč ještě některé servery běží pouze na HTTP?
Přestože se HTTPS doporučuje už opravdu dlouho, některé servery na bezpečnější formát stále ještě nepřešly. Někoho odrazovaly ceny certifikátů, jiné zase daň ve formě trochu pomalejšího přenosu. Někteří vlastníci serverů si také možná stále neuvědomují důležitost bezpečnosti – těch už je však snad minimum. Na HTTP ale pořád běží třeba servery některých médií – v zahraničí například Ars Technica, Guardian či AnandTech, v Česku prakticky všechna větší média. V mnoha případech za to mohou reklamy – některé reklamní agentury zatím neposílají své reklamy přes bezpečné spojení. Avšak HTTPS vyžaduje, aby ho využíval všechen obsah na stránce, tedy i reklamy. Pro média by jakýkoliv výpadek příjmů z reklam často znamenal velkou ránu, nemohou si proto dovolit přejít na HTTPS dříve, než to udělá většina poskytovatelů reklam. Ano, reklamy nejsou pouze otravné, ale také nebezpečné.
Krátkodobý certifikát – je to slabina nebo výhoda?
Let’s Encrypt vystavuje certifikáty pouze na 90 dní, avšak díky bezproblémové automatizaci celého procesu je používání takových krátkodobých certifikátů zcela reálné.
Podle ředitele obecně prospěšné společnosti ISRG, která za Let’s Encrypt stojí, Joshe Aase, je dokonce používání takto omezených certifikátů žádoucí. „Má to dvě hlavní výhody – zaprvé to snižuje míru škody, která může nastat kvůli kompromitování klíče nebo chybnému vydání. Ukradené klíče nebo nesprávně udělené certifikáty platí po kratší dobu. A zadruhé krátká trvanlivost certifikátů nabádá k využití automatizace, což je podle nás absolutně zásadní pro co nejjednodušší použití,“ vysvětlil Aas. Devadesátidenní certifikáty podle něj navíc nejsou ničím neobvyklým – až 29 % TLS transakcí zachycených telemetrií Firefoxu využívá takovou délku platnosti. „A pokud chceme na HTTPS převést celý Web, nemůžeme čekat, že budou administrátoři obnovovat certifikáty ručně,“ dodal ještě k automatizaci Aas.
Víte, že...?
Našim zákazníkům managed serverů jako doplňkovou službu poskytujeme komerční SSL certifikáty i devadesátidenní certifikáty Let‘s Encrypt. Celý proces od nasazení, přes správu a obnovu certifikátu umíme díky vlastnímu skriptu automatizovat a výrazně tak ušetřit váš čas i peníze.
Za projektem stojí velká jména, nehrozí mu brzký zánik
Let’s Encrypt otevírá dveře masové adopci SSL protokolů, což má potenciál udělat internet bezpečnějším místem. Uvědomují si to i velké firmy – Let’s Encrypt a obecně prospěšný ISRG mají podporu řady velkých firem z IT oblasti. Mezi jejich sponzory patří například Mozilla, EFF, Cisco, Google, Facebook a mnoho dalších.
S takovými velkými jmény za zády není třeba se bát, že projekt a potažmo certifikační autorita Let’s Encrypt v nejbližší době přestane fungovat. Naopak existuje potenciál pro snížení vlivu klasických certifikačních autorit. Pravděpodobně ale stále budou mít své místo na trhu, zejména jako poskytovatelé rozšířených certifikátů, které vyžadují podrobnější kontrolu žadatele o certifikát. Let’s Encrypt zatím poskytuje jen doménovou validaci, instituce toužící po EV certifikátech a zelených proužcích se jménem v adresovém políčku prohlížeče se tak musí poohlédnout jinde. A nenabízí ani takzvané wildcard certifikáty – tedy certifikáty platné pro jakékoliv subdomény pod zaregistrovanou doménou – pokud je tedy z nějakého důvodu potřebujete (a nestačí vám třeba možnost přiřadit si k certifikátu více jmen subjektu SAN), Let’s Encrypt vám stačit nebude. Pro všechny ostatní je však zajímavou a legitimní volbou, jak mohou zabezpečit své servery. Jak se zdá, stále více administrátorů si to uvědomuje – Let’s Encrypt vydalo svůj miliontý certifikát po pouhých šestnácti měsících provozu.
