Важнейшим инструментом обеспечения большей безопасности пользователей в Интернете является шифрование, хотя его не всегда легко было настроить и применять. В связи с этим несколько компаний и организаций (среди них Mozilla, Cisco, Akamai, Electronic Frontier Foundation, IdenTrust и исследователи из Мичиганского университета) вместе с группой Internet Security Research Group (ISRG) объявили об инициативе Let’s Encrypt.
Цель инициативы — упростить получение надлежащего сертификата Secure Sockets Layer/Transfer Layer Security (SSL/TLS), установка которого защищает веб-сервер и его посетителей. Let’s Encrypt предусматривает создание бесплатно выдающего сертификаты органа на базе сайта letsencrypt.org, который будет не только предоставлять сертификат, но и проверять его целостность и аутентичность. Хотя об инициативе Let’s Encrypt уже объявлено, бесплатный сервис Certificate Authority будет недоступен до начала 2015 г.
Сегодня администраторы серверов могут использовать свои собственные, ими же подписанные сертификаты SSL/TLS, которые генерируются бесплатно. Их главный недостаток в том, что они, к сожалению, дают нулевую гарантию аутентичности, сказал Стивен Лудин, главный архитектор компании Akamai и член правления ISRG.
«Браузер будет и/или должен выдавать предупреждение, побуждающее пользователя не доверять сайту, поскольку нет способа определить, действительно ли сайт, на который вы заходите, является тем, за кого себя выдает, — пояснил Лудин корреспонденту eWeek. — В случае с ISRG и Let’s Encrypt сгенерированные сертификаты являются легитимными и будут сразу пользоваться доверием значительной доли браузеров».
Чтобы браузер доверял центру сертификации, тот должен быть включен в корневую цепочку доверия браузера.
Let’s Encrypt планирует подать заявки на включение во все основные корневые программы, включая программу Mozilla, как и любой другой центр сертификации, сказал исполнительный директор ISRG Джош Аас. «Мы не ожидаем каких-то проблем с нашими заявками, поскольку планируем полностью соответствовать предъявляемым требованиям, включая основополагающие», — заявил Аас корреспонденту eWeek.
Есть несколько видов сертификатов SSL/TLS, выпускаемых обычно центрами сертификации. Аас пояснил, что Let’s Encrypt планирует выпускать исключительно сертификаты, подтверждающие домен (domain-validated), поскольку только процесс их выпуска может быть полностью автоматизирован.
С точки зрения фонда Electronic Frontier Foundation (EFF), деятельность Let’s Encrypt хорошо согласуется с многолетними усилиями по расширению использования шифрования в Интернете. Директор технических проектов EFF Питер Экерсли пояснил корреспонденту eWeek, что в 2009 г. его организация начала долгосрочную кампанию за шифрование в Интернете и стала подталкивать компании, включая Google, Facebook, Twitter, Wikipedia, Craigslist и других владельцев крупных веб-сайтов, к применению HTTPS и к использованию этого протокола по умолчанию. Кроме того, EFF выпустил инструменты, в том числе HTTPS Everywhere — расширение браузера, помогающее пользователям убедиться, что они используют защищенные версии посещаемых сайтов.
«Мы также запустили несколько проектов, включая SSL Observatory и оценочный лист для продвижения HSTS (HTTP Strict Transport Security), чтобы гарантировать, что HTTPS действительно обеспечивает ту безопасность, какую должен, — сказал Экерсли. — Долгосрочной целью нашей компании неизменно была смена используемого по умолчанию веб-протокола, чтобы навигация в Интернете всегда была защищена от слежки, цензуры и кражи учетных записей».
Экерсли добавил, что по мнению EFF, отсутствие бесплатного автоматизированного центра сертификации препятствует широкому применению HTTPS. Поэтому EFF стал сотрудничать с исследователями из Мичиганского университета, чтобы создать такой центр.
«Когда мы узнали, что Mozilla действует в том же направлении, то объединили наши усилия, а затем с Cisco, Akamai и Identrust и создали Let’s Encrypt», — сказал Экерсли.
Генеральный директор компании CoreOS Алекс Полви тоже участвует в этой работе и входит сейчас в совет директоров ISRG.
С точки зрения компании Akamai, участие в Let’s Encrypt позволит лишить оправданий тех, кто не перешел на TLS, сказал Лудин. Он добавил, что согласно его ожиданиям, ISRG добьется успеха и стает основным провайдером весьма уважаемых и недорогих сертификатов TLS.
Экерсли из EFF тоже настроен оптимистично по поводу эффекта, который будет иметь Let’s Encrypt. «Мы считаем, что начав выпуск сертификатов в 2015 г., мы сможем в короткие сроки защитить миллионы веб-сайтов».
Цель Let’s Encrypt заключается в том, чтобы во всех операционных системах и платформах хостинга появилась простая команда или единственная кнопка для использования шифрования, сказал Экерсли.
«Мы намерены интенсивно работать с теми, кто создает ваши операционные системы, и с теми, кто предоставляет услуги веб-хостинга, чтобы интегрировать этот автоматически защищенный канал связи, — сказал Экерсли. — Всем веб-сайтам, испытывающим трудности с HTTPS, и всем пользователям Интернета, удрученным отсутствием безопасности и защиты персональных данных, мы направляем простое сообщение: помощь близка»