Co vnímají laici jen jako magickou značku HTTPS na začátku webové adresy, je pro mnohé administrátory požehnání a prokletí v jednom.

Na jednu stranu jsou SSL protokoly a certifikáty nesmírně užitečné – zajišťují šifrovanou komunikaci na internetu a bezpečný přenos informací skrz síť. Na stranu druhou jsou ale konkrétně certifikáty pro mnoho administrátorů mnohdy otravnou částí jejich práce. Získat požehnání certifikační autority může být drahé a v některých případech i zdlouhavé. A není to záležitost, kterou vyřídí jednou – certifikáty je potřeba pravidelně obnovovat.

Už v jednom z minulých článků jsme však psali, že je rozhodně dobrý nápad SSL certifikáty používat. Co teď?

Jednou z variant, která se nabízí administrátorům serverů odrazovaných klasickými postupy, je Let’s Encrypt. Jedná se o otevřenou certifikační autoritu, která vydává certifikáty zdarma a dokáže to dělat i automaticky.

Jak to funguje?

Let’s Encrypt funguje jako odpověď na problém SSL certifikátů vydávaných konvenčními kořenovými certifikačními autoritami. Jejich obstarání, placení a nastavení je totiž často pro firmy přehnaně komplikované. Nechtějí se proto těmito komplikacemi zabývat příliš často. V důsledku toho je velká většina klasických SSL certifikátů vystavována na vcelku dlouhou dobu – třeba i na tři roky.

Znamená to sice méně práce, ale také o něco sníženou úroveň bezpečnosti. Odcizený certifikát je platný dlouho a otevírá tak dveře různým druhům útoků.

Toto paradigma staví Let’s Encrypt na hlavu díky automatizaci.

Lenost, tahoun pokroku

Získat doménový certifikát od Let’s Encrypt je snadné a hlavně automatické. U klasické doménové validace chtějí certifikační autority vědět, že žadatel o certifikát je opravdu vlastníkem domény – ověří si to tak, že nechají na ukázku žadatele provést s doménou nějakou drobnou změnu.

Nástroj od Let’s Encrypt naproti tomu ověření zvládne sám. Celý proces je záležitostí okamžiku. Na server si stáhnete open source klienta a jedním příkazem nainstalujete certifikát. Následuje několik drobných kroků jako vyplnění e-mailové adresy a odsouhlasení podmínek užívání. Klient se ještě zeptá, zda chcete všechen internetový provoz nutit jít přes HTTPS.

A je to. Server má nyní 2048bitový RSA certifikát protokolu TLS 1.2 s SHA-256. Jinými slovy – k serveru se nyní návštěvníci připojí pouze přes HTTPS.

Kromě toho je ale možné celý proces kompletně automatizovat – k příkazu je možné přidat parametry, které vyplní e-mail, odsouhlasí podmínky a tak dále za vás. Klidně také můžete prvotní instalaci provést ručně, pokud si chcete být naprosto jisti, že je vše nastaveno správně.

Zároveň je Let’s Encrypt pádným argumentem pro přijetí HTTPS pro ty, kteří na něj dosud nepřešli. Adoptovat bezpečnější formu přenosu informací po síti je nyní tak jednoduché, že už prakticky neexistuje argument, proč to neudělat.

Krátkodobý certifikát – je to slabina nebo výhoda?

Let’s Encrypt vystavuje certifikáty pouze na 90 dní, avšak díky bezproblémové automatizaci celého procesu je používání takových krátkodobých certifikátů zcela reálné.

Podle ředitele obecně prospěšné společnosti ISRG, která za Let’s Encrypt stojí, Joshe Aase, je dokonce používání takto omezených certifikátů žádoucí. „Má to dvě hlavní výhody – zaprvé to snižuje míru škody, která může nastat kvůli kompromitování klíče nebo chybnému vydání. Ukradené klíče nebo nesprávně udělené certifikáty platí po kratší dobu. A zadruhé krátká trvanlivost certifikátů nabádá k využití automatizace, což je podle nás absolutně zásadní pro co nejjednodušší použití,“ vysvětlil Aas. Devadesátidenní certifikáty podle něj navíc nejsou ničím neobvyklým – až 29 % TLS transakcí zachycených telemetrií Firefoxu využívá takovou délku platnosti. „A pokud chceme na HTTPS převést celý Web, nemůžeme čekat, že budou administrátoři obnovovat certifikáty ručně,“ dodal ještě k automatizaci Aas.

Za projektem stojí velká jména, nehrozí mu brzký zánik

Let’s Encrypt otevírá dveře masové adopci SSL protokolů, což má potenciál udělat internet bezpečnějším místem. Uvědomují si to i velké firmy – Let’s Encrypt a obecně prospěšný ISRG mají podporu řady velkých firem z IT oblasti. Mezi jejich sponzory patří například Mozilla, EFF, Cisco, Google, Facebook a mnoho dalších.

S takovými velkými jmény za zády není třeba se bát, že projekt a potažmo certifikační autorita Let’s Encrypt v nejbližší době přestane fungovat. Naopak existuje potenciál pro snížení vlivu klasických certifikačních autorit. Pravděpodobně ale stále budou mít své místo na trhu, zejména jako poskytovatelé rozšířených certifikátů, které vyžadují podrobnější kontrolu žadatele o certifikát. Let’s Encrypt zatím poskytuje jen doménovou validaci, instituce toužící po EV certifikátech a zelených proužcích se jménem v adresovém políčku prohlížeče se tak musí poohlédnout jinde. A nenabízí ani takzvané wildcard certifikáty – tedy certifikáty platné pro jakékoliv subdomény pod zaregistrovanou doménou – pokud je tedy z nějakého důvodu potřebujete (a nestačí vám třeba možnost přiřadit si k certifikátu více jmen subjektu SAN), Let’s Encrypt vám stačit nebude. Pro všechny ostatní je však zajímavou a legitimní volbou, jak mohou zabezpečit své servery. Jak se zdá, stále více administrátorů si to uvědomuje – Let’s Encrypt vydalo svůj miliontý certifikát po pouhých šestnácti měsících provozu.

Leave a Reply