Let’s Encrypt is a new Certificate Authority

Let’s Encrypt is a new Certificate Authority: It’s free, automated, and open.

Arriving Mid-2015

7 Likes

Wow! this should be good :smiley:

1 Like

credeam ca s-au lansat, chestia aia cu mid 2015 e de un an :smiley:

Toate bune și frumoase, dar îmi poate spune cineva de ce-ar fi certificatele ăstora mai grozave decât cele self-signed atâta timp cât oricine care are acces la server (cel pe care-i găzduit domeniul) poate genera un certificat?
Nu mă refer la chestii de genul “browser-ul nu va afișa un avertisment” ci tocmai opusul: dacă browser-ul acceptă certificatele astea, de ce nu le-ar accepta fără să “mârâie” și pe cele generate de mine atâta timp cât nu e vreo mare diferență între cele generate de lets-encrypt și openssl genrsa? Sau e?..

Certificatele sunt generate de anumite organizații (CA), considerate de încredere. Fiecare browser vine cu o listă a acestor organizații care generează certificate digitale astfel încât să poată stabili în momentul în care un server se autentifică folosind un certificat digital dacă acel certificat digital este la rândul lui de încredere sau nu. Ce înseamnă „de încredere” ? Înseamnă că în momentul folosirii acelui certificat organizația care l-a generat poate garanta că serverul respectiv este cine spune că este. Dacă ajungi pe un site unde se folosește un certificat auto semnat, într-adevăr, conexiunea cu acel site este criptată, însă nu poate garanta nimeni că ai de a face cu cine apare definit în cadrul certificatului. În orice moment eu pot genera un certificat în care să trec orice date doresc, putând astfel impersona pe oricine doresc. Ăsta e rolul certificatelor digitale „de încredere”, să asigure identitatea celui cu care vrei să comunici, să poți fi sigur că este într-adevăr cine spune că este și nu altcineva.

Toată lumea știe că un certificat SSL costă. Ba chiar cele mai bune dintre acestea, EV (Extended Validation) - cele care apar în browser colorate în verde - costă și mai mult, asta pentru că înainte a fi generate sunt făcute verificări pentru a stabili identitatea aplicanților, cum ar fi verificări din punct de vedere legal sau că domeniul pentru care se vrea certificatul digital aparține într-adevăr aplicantului.

Această nouă autoritate de certificare tocmai asta încearcă să rezolve. Să dea șansa tuturor să poată folosi certificate digitale fără a fi nevoiți să plătească pentru ele (evident, ne referim aici doar la primele tipuri de certificate, nu și la cele superioare). În momentul de față acesta este impedimentul principal pentru care nu sunt utilizate la scară largă, costul.

Dacă vor reuși însă sau nu să îndeplinească ce și-au propus rămâne să vedem.

3 Likes

Exact explicația asta ziceam că nu vreau s-o aud, pentru c-o știu, dar apreciez efortul. :smile:

Atâta timp cât singurul lucru pe care-l faci pentru a genera un certificat este să dai în consolă comanda lets-encrypt some-domain.tld, cum poate fi acel certificat “mai de încredere” decât unul auto-semnat? Organizația “Let’s Encrypt” nu mai face verificările asupra identității pe care le face o alta care te taxează pentru certificat…

(Echivalentul lui “gândesc cu voce tare”:slight_smile:
Dacă tot vor să facă certificatele accesibile tuturor, atunci n-ar fi mai bun un singur serviciu de genul unui registrar unde oricine să-și poată înregistra certificatul auto-semnat și să fie singurul loc în care browserele să verifice validitatea unui certificat?
Sau să funcționeze ca un serviciu oferit de companiile de hosting, distribuit, asemănător DNS-ului?

1 Like

Acum am înțeles care era nedumerirea de fapt. Bineînțeles că se face și în cazul de față validarea domeniului. Te invit să citești explicațiile unde sunt detaliate etapele acestui proces aici https://letsencrypt.org/howitworks/technology/. E explicat destul de clar, cu imagini și exemple, nu cred că e cazul să mai repet și eu ce scrie acolo.

1 Like

We’ve decided to push our launch schedule back a bit to give us time to further improve our systems. Our new schedule is:

First certificate: Week of September 7, 2015
General availability: Week of November 16, 2015

E cineva nerăbdător să încerce? :smiley:

A intrat în public beta! https://letsencrypt.org/2015/12/03/entering-public-beta.html

Și despre cum se instalează:

https://letsencrypt.readthedocs.org/en/latest/

2 Likes

Am scris despre cum este integrat in Webmin Virtualmin: https://blog.valentinvaleanu.ro/certificate-letsencrypt-pentru-webmin-virtualmin

Testez de vreo saptamana, n-au fost probleme pana acum. Daca vor mari perioada la 1 an va fi perfect.

1 Like

Am scris și eu cum se instalează pentru Discourse (în docker).

Nu cred că vor mări perioada, au scris aici de ce.

2 Likes

Motivele sunt foarte intemeiate.

1 Like

Pe aceeași tema:
https://www.netlify.com/blog/2016/01/15/free-ssl-on-custom-domains

Până acum, certificatele emise de Letsencrypt nu erau compatibile cu Windows XP (și niște versiuni mai vechi de Android). Se pare că s-a rezolvat problema:

(tl;dr: certificatele trebuiesc re-emise)

3 Likes

4 posts were split to a new topic: Oferiți support pentru sistemele de operare mai vechi?

Am inceput sa folosesc si eu LetsEncrypt. Clientul oficial mai are nevoie de munca pana cand o sa ofere o experienta ok. Are o gramada de dependinte si ar trebui sa il folosesti direct in productie.
Sunt cateva librarii 3rd party, ceva mai light (care nu cer nici privilegii de root), dar tinand cont ca protocolul ACME e inca in beta si mai apar modificari nu am incercat sa folosesc (chiar daca merg acum nu am nici o garantie ca vor fi actualizate peste 3 - 6 luni).
Pe viitor cochetez cu o implementare LetsEncrypt client in Go (cu un binar ai putea cere si reinoi certificate cam pe orice sistem). Sa vedem daca necesitatea invinge lenea. :slight_smile:

1 Like

Mirat un pic ca sarcina grea de a face roata mai rotunda cu client LE scris in Go, care sa fie portabil si usor de folosit am cautat continuare. Initial am gasit cateva librari, destul de promitatore, dar in cele in urma am gasit Lego si pare foarte promitator (am aflat ca ACME suporta si DNS challlenges cu ocazia asta).
Il testez cu prima ocazie si revin cu feedback.

Am utilizat Let’s Encrypt pe un forum mare cu http/2 la inceput, dupa am trecut pe startcom free ssl. Problema e ca Let’s Encrypt nu era suportat de Windows XP, versiuni mai vechi de avast si mai multe telefoane destul de recente populare in Romania. (sub 5 ani vechime)

Am facut o analiza cu google analytics si am vazut ca am pierdut in jur de 1000 de vizitatori din cauza lipsei suportului pentru Windows XP. In plus eroarea care apare ii sugereaza unui om fara experienta ca site-ul tau e virusat si nu mai intra in vecii vecilor pe el.

Cand imi expira certificatul SSL de la startcom o sa trec inapoi pe Let’s Encrypt deoarece e mai practic de innoit.

1 Like

În caz că e util cuiva: aici e un tutorial detaliat pe tema Let’s Encript.

1 Like