Let's Encrypt

botond küldte be 2018. 12. 02., v - 15:25 időpontban

A Let's Encrypt egy ingyenes, automatizált és nyitott tanúsítvány hatóság (Certificate Authority), amely a nyilvánosság javát szolgálja. Ez az Internet Security Research Group (ISRG) által nyújtott szolgáltatás.

A szervezet ingyenesen ad bárkinek SSL/TLS tanúsítványokat, hogy engedélyezhessék a HTTPS használatát weboldalaikon. Mindezt azért teszik, mert szeretnék biztonságosabbá tenni az internetet.

Alapelveik:

  • Ingyenes: Bárki, akinek van domain neve, használhatja a Let's Encrypt-et, hogy megbízható tanúsítványt szerezzen nulla költséggel.
  • Automatikus: A webszerveren futó szoftver kapcsolatba lép a Let's Encrypttel, hogy a háttérben beszerezze a megfelelő tanúsítványt, konfigurálja azt, és gondoskodjon az automatikus megújításáról is.
  • Biztonságos: Let's Encrypt a TLS biztonság legjobb gyakorlatainak előmozdításának platformjaként szolgál mind a kiállító hatóság oldalán, mind pedig a webhelyek üzemeltetői számára a szerverek megfelelő védelmében.
  • Átlátható: Minden kiadott vagy visszavont tanúsítványt nyilvánosan rögzítenek és bárki számára hozzáférhetővé teszik.
  • Nyitott: Az automatikus kiadási és megújítási protokoll nyílt szabványként jelenik meg, amelyet mások is felhasználhatnak.
  • Együttműködő: Mint az alapul szolgáló internetes protokollok is, a Let's Encrypt közös erőfeszítés a közösség előnyére, bármely szervezet irányításán túl.

 

 

Működése

A Let's Encrypt és az ACME (Automated Certificate Management Environment) protokoll célja, hogy lehetővé tegyék a HTTPS kiszolgáló beállítását és a böngészők számára megbízható tanúsítvány beszerzését emberi beavatkozás nélkül. Ezt a tanúsítvány kezelő ügynök futtatásával érheti el a webszerveren.

A folyamat két lépésből áll. Először a szerveren futó ügynök program igazolja a tanúsítvány kiállítónak, hogy a szerver felügyelete alá tartozik a kérdéses domain. Ezután a program kérheti vagy megújíthatja vagy visszavonhatja a domainhez tartozó tanúsítványokat.

A domain név kezelésének ellenőrzését kétféleképpen tudja megtenni:

  • Létre tud hozni egy DNS rekordot a domain név alatt, vagy
  • HTTP erőforrás rendelkezésre bocsátása a "well-known" URI címen a domain név alatt

Amennyiben a domain név ellenőrzése sikeresen megtörtént, a kiállító elküldi a tanúsítványt a szervernek.

 

A Let's Encrypt kizárólag csak domain hitelesített tanúsítványt állít ki, OV (Organization validation) illetve EV (Extended validation) SSL tanúsítványokat nem. Wildcard SSL-ek kibocsájtását pedig 2018 márciusától végzik.

Az SSL típusok magyarázatát lásd a HTTPS szócikknél.