přejít na obsah přejít na navigaci

Linux E X P R E S, Let's Encrypt: cesta k šifrování všech webů

Anonym: přihlásit | registrovat

Let's Encrypt: cesta k šifrování všech webů

Let's Encrypt

Nová certifikační autorita Let's Encrypt má za cíl výrazně usnadnit nasazování TLS na servery. Doménové certifikáty budou zdarma a projekt nabídne i software pro snadnou, automatizovanou práci s certifikáty.

Wednesday, 19. November 2014 | Autor Lukáš Jelínek | 4 | známka 1.00
certifikát, jelínek, šifrování, tls

Dnes ještě není úplně běžné šifrovat komunikaci například s internetovými obchody a dalšími službami, přestože se posílají například přihlašovací údaje k těmto službám a hrozí tedy jejich zneužití. Již v minulosti se odehrály různé pokusy o posílení TLS komunikace, kupříkladu Google oznámil upřednostnění webů s šifrovaným přístupem ve výsledcích vyhledávání.

Nasazování TLS na servery má výrazně pomoci nová certifikační autorita Let's Encrypt. Bude ji provozovat nezisková organizace Internet Security Research Group (ISRG), v jejíž správní radě zasedají zástupci Mozilly, Akamai, Cisco, University of Michigan, Stanford Law School a CoreOS; pozorovatelský status má EFF. Sponzory projektu jsou Mozilla, Akamai, Cisco, EFF a IdenTrust. Plné spuštění se plánuje na druhé čtvrtletí roku 2015.

Namísto dosavadní praxe, kdy je potřeba pro každý certifikát absolvovat relativně složitý technický a administrativní proces, má být v podání Let's Encrypt vše velmi jednoduché. Doménové certifikáty budou zdarma a projekt poskytne software pro jejich snadnou správu. Celý proces vydávání certifikátů, ověřování vlastnictví domény, instalace certifikátů a jejich obnovování bude automatizovaný. Protokol, na němž bude proces založen, bude otevřený a bude ho ho moci využít i kdokoli další.

Příspěvky

Tomáš Crhonek

Let's Encrypt: cesta k šifrování všech webů
Tomáš Crhonek 20. 11. 2014, 14:04:18
Odpovědět Odkaz

Pokračování diskuse z G+, kdo ji nečetl, tady je copy paste:

TC: "aby CA byla alespoň trochu důvěryhodná, tak musí vědět komu ty crt vydává. Tohle zatím vypadá na totéž jako openssl req -x509 -new .... jen s tím rozdílem, že to FF bude by default akceptovat (no dobře, nepoučení uživatelé budou méně nadávat)."

LJ: "Předpokládám, že pro ověřování vlastnictví domény to bude fungovat tak, jak to dnes běžně dělají některé CA (některé umějí jen mailové ověření, ale těch je čím dál méně). Tedy že CA vygeneruje nějaký soubor, ten se umístí do kořenového adresáře webu a CA si ho při ověřování stáhne a zkontroluje jeho obsah. Ale to je jen můj odhad"

TC: "Ale soubor do kořenového adresáře webu lze vložit na různé weby ;-) a asi by nebylo dobré, kdyby tito útočníci ještě získali platný SSL CRT."

LJ: "Nerozumím. Příslušný nástroj odešle (šifrovaným kanálem) CSR autoritě. Dostane soubor, který má uložit do kořene webu příslušné domény a dostane název tohoto souboru. Nástroj ho tam umístí a požádá CA o ověření. CA si (na základě údajů v DNS) sáhne na server pro soubor a ověří jeho obsah. Pokud souhlasí, podepíše certifikát a vrátí ho tomu nástroji - ten ho nainstaluje (spolu se soukromým klíčem) a je hotovo. Existují samozřejmě další varianty, jak to udělat, ale principiálně se neliší. Jinak pokud budeme pokračovat v diskusi, navrhuji se přesunout pod článek, ať to vidí i čtenáři (mohlo by to pro ně být zajímavé)."

Tomáš Crhonek

Re: Let's Encrypt: cesta k šifrování všech webů
Tomáš Crhonek 20. 11. 2014, 14:10:36
Odpovědět Odkaz

To LJ:

Bylo-li by to takto jak píšeš, tedy že ten nástroj je nutné spustit na serveru s takovými právy, aby se jednak dostal do document rootu webu a dokonce i na úložiště soukromých klíčů pro webserver, tak ta utilitka na normálně zabezpečeném systému neudělá vůbec nic.

Já předpokládám, že aby byla alespoň k něčemu, tak bude mít možnost nechat onen soubor na web umístit ručně a stejně tak vygenerovaný certifikát uloží do pracovního adresáře a nechá ssl crt a klíč nainstalovat administrátora ručně.

Pokud by se to dělalo tak jak píšeš (1 utilitka má přístup na server kamkoliv - minimálně tedy k úložišti soukromým klíčům a rootu webu), tak by to znamenalo naučit uživatele dalším nebezpečným praktikám (buď spouště nástroje zbytečně jako root nebo mít přístupné adresáře, které by měly být pouze s právy roota - a to i pro čtení).

Lukáš Jelínek

Re: Re: Let's Encrypt: cesta k šifrování všech webů
Lukáš Jelínek 20. 11. 2014, 14:48:08
Odpovědět Odkaz

Nevím, jak přesně to mají v plánu implementovat. Ale jednak to bude nástroj už z principu věci primárně administrátorský (tedy ne pro běžné uživatele), jednak i ty další problémy jsou řešitelné.

1) Pokud utilitu spustí uživatel, má jistě přístup do kořenu svého webu.

2) Pokud utilitu spustí administrátor, v podstatě ani přístup do kořene webu mít nemusí (i když v případě práce pod rootem má). Stačí, když si může zmodifikovat konfiguraci webserveru (Apache, Nginx atd.) a tam dočasně vypublikovat soubor umístěný jinde (např. přes alias).

3) Soukromý klíč může být uložen v adresáři, který je pod kontrolou uživatele (off-topic: stejně jako nešifrované HTTP by to chtělo vymýtit i nešifrovaný FTP, dosud zhusta používaný pro přenos souborů na web).

4) Jinou možností je separace práv - utilita může být složena z několika menších utilit, které běží pod různými uživateli a tedy s různými právy. Například ení důvod, aby ta část, která komunikuje s CA, měla jakákoli větší práva - může běžet i v chrootu.

Já spíš spatřuji implementační problémy ohledně konfigurace webserveru. Lze používat různé softwary (i když nejpoužívanější na Linuxu jsou s převahou dva), různé způsoby konfigurace (hlavně pro virtual hosts) atd. S tímhle se popasovat, to opravdu nebude legrace. Leda by to plug&play jen pro default konfiguraci na Debianu a všechny ostatní případy už by znamenaly ručně konfigurovat nebo dávat utilitě parametry, případně obojí.

Tomáš Crhonek

Re: Re: Re: Let's Encrypt: cesta k šifrování všech webů
Tomáš Crhonek 20. 11. 2014, 15:40:56
Odpovědět Odkaz

"Já spíš spatřuji implementační problémy ohledně konfigurace webserveru."

Souhlas, jen v hlavě jsem si spočítal kolik různých způsobů konfigurace vhostů spravuji a napočítal jsem 6. Pouze pro Apache.

Aby ta utilitka fungovala dostatečně automaticky (což je asi podmínka, pokud to má být pro adminy ze "široké veřejnosti", pro normálního admina nemůže být ssl překážkou), tak by musela umět parsrovat konfiguraci několika nejpoužívanějších webserverů a vyrovnat se z hromadou různých možných stavů. A to už je opravdu ořech.

Parsery se samozřejmě dají dostat přímo z oněch webserverů (je to opensource), ale i tak.

Odpovědět

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu

Top články z OpenOffice.cz

Novinky v LibreOffice 7.5 Community – Writer, Calc

Nové příručky pro LibreOffice

Novinky v LibreOffice 7.5 Community – obecné změny, Impress, Draw, Math

Příručky k LibreOffice - aktualizace

LibreOffice 7.4.4 Community opravuje 114 chyb

Thunderbird 102 přináší změny ve vzhledu a vyšší efektivitu

Vydán Apache OpenOffice 4.1.13

Novinky v LibreOffice 7.3 - Calc, Impress, podpora OOXML

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.

Distribuce: Debian, Kubuntu, Linux Mint
Grafické prostředí:

profil autora | proč linux | blog

Tagy

jelínek tls ssl šifrování certifikát