přejít na obsah přejít na navigaci

Linux E X P R E S, Let's Encrypt: cesta k šifrování všech webů

Let's Encrypt: cesta k šifrování všech webů

Let's Encrypt

Nová certifikační autorita Let's Encrypt má za cíl výrazně usnadnit nasazování TLS na servery. Doménové certifikáty budou zdarma a projekt nabídne i software pro snadnou, automatizovanou práci s certifikáty.


Dnes ještě není úplně běžné šifrovat komunikaci například s internetovými obchody a dalšími službami, přestože se posílají například přihlašovací údaje k těmto službám a hrozí tedy jejich zneužití. Již v minulosti se odehrály různé pokusy o posílení TLS komunikace, kupříkladu Google oznámil upřednostnění webů s šifrovaným přístupem ve výsledcích vyhledávání.

Nasazování TLS na servery má výrazně pomoci nová certifikační autorita Let's Encrypt. Bude ji provozovat nezisková organizace Internet Security Research Group (ISRG), v jejíž správní radě zasedají zástupci Mozilly, Akamai, Cisco, University of Michigan, Stanford Law School a CoreOS; pozorovatelský status má EFF. Sponzory projektu jsou Mozilla, Akamai, Cisco, EFF a IdenTrust. Plné spuštění se plánuje na druhé čtvrtletí roku 2015.

Namísto dosavadní praxe, kdy je potřeba pro každý certifikát absolvovat relativně složitý technický a administrativní proces, má být v podání Let's Encrypt vše velmi jednoduché. Doménové certifikáty budou zdarma a projekt poskytne software pro jejich snadnou správu. Celý proces vydávání certifikátů, ověřování vlastnictví domény, instalace certifikátů a jejich obnovování bude automatizovaný. Protokol, na němž bude proces založen, bude otevřený a bude ho ho moci využít i kdokoli další.

Nahoru

Příspěvky

Tomáš Crhonek Let's Encrypt: cesta k šifrování všech webů
Tomáš Crhonek 20. 11. 2014, 14:04:18
Odpovědět  Odkaz 
Pokračování diskuse z G+, kdo ji nečetl, tady je copy paste:

TC: "aby CA byla alespoň trochu důvěryhodná, tak musí vědět komu ty crt vydává. Tohle zatím vypadá na totéž jako openssl req -x509 -new .... jen s tím rozdílem, že to FF bude by default akceptovat (no dobře, nepoučení uživatelé budou méně nadávat)."

LJ: "Předpokládám, že pro ověřování vlastnictví domény to bude fungovat tak, jak to dnes běžně dělají některé CA (některé umějí jen mailové ověření, ale těch je čím dál méně). Tedy že CA vygeneruje nějaký soubor, ten se umístí do kořenového adresáře webu a CA si ho při ověřování stáhne a zkontroluje jeho obsah. Ale to je jen můj odhad"

TC: "Ale soubor do kořenového adresáře webu lze vložit na různé weby ;-) a asi by nebylo dobré, kdyby tito útočníci ještě získali platný SSL CRT."

LJ: "Nerozumím. Příslušný nástroj odešle (šifrovaným kanálem) CSR autoritě. Dostane soubor, který má uložit do kořene webu příslušné domény a dostane název tohoto souboru. Nástroj ho tam umístí a požádá CA o ověření. CA si (na základě údajů v DNS) sáhne na server pro soubor a ověří jeho obsah. Pokud souhlasí, podepíše certifikát a vrátí ho tomu nástroji - ten ho nainstaluje (spolu se soukromým klíčem) a je hotovo. Existují samozřejmě další varianty, jak to udělat, ale principiálně se neliší. Jinak pokud budeme pokračovat v diskusi, navrhuji se přesunout pod článek, ať to vidí i čtenáři (mohlo by to pro ně být zajímavé)."
Tomáš Crhonek Re: Let's Encrypt: cesta k šifrování všech webů
Tomáš Crhonek 20. 11. 2014, 14:10:36
Odpovědět  Odkaz 
To LJ:

Bylo-li by to takto jak píšeš, tedy že ten nástroj je nutné spustit na serveru s takovými právy, aby se jednak dostal do document rootu webu a dokonce i na úložiště soukromých klíčů pro webserver, tak ta utilitka na normálně zabezpečeném systému neudělá vůbec nic.

Já předpokládám, že aby byla alespoň k něčemu, tak bude mít možnost nechat onen soubor na web umístit ručně a stejně tak vygenerovaný certifikát uloží do pracovního adresáře a nechá ssl crt a klíč nainstalovat administrátora ručně.

Pokud by se to dělalo tak jak píšeš (1 utilitka má přístup na server kamkoliv - minimálně tedy k úložišti soukromým klíčům a rootu webu), tak by to znamenalo naučit uživatele dalším nebezpečným praktikám (buď spouště nástroje zbytečně jako root nebo mít přístupné adresáře, které by měly být pouze s právy roota - a to i pro čtení).
Lukáš Jelínek Re: Re: Let's Encrypt: cesta k šifrování všech webů
Lukáš Jelínek 20. 11. 2014, 14:48:08
Odpovědět  Odkaz 
Nevím, jak přesně to mají v plánu implementovat. Ale jednak to bude nástroj už z principu věci primárně administrátorský (tedy ne pro běžné uživatele), jednak i ty další problémy jsou řešitelné.

1) Pokud utilitu spustí uživatel, má jistě přístup do kořenu svého webu.

2) Pokud utilitu spustí administrátor, v podstatě ani přístup do kořene webu mít nemusí (i když v případě práce pod rootem má). Stačí, když si může zmodifikovat konfiguraci webserveru (Apache, Nginx atd.) a tam dočasně vypublikovat soubor umístěný jinde (např. přes alias).

3) Soukromý klíč může být uložen v adresáři, který je pod kontrolou uživatele (off-topic: stejně jako nešifrované HTTP by to chtělo vymýtit i nešifrovaný FTP, dosud zhusta používaný pro přenos souborů na web).

4) Jinou možností je separace práv - utilita může být složena z několika menších utilit, které běží pod různými uživateli a tedy s různými právy. Například ení důvod, aby ta část, která komunikuje s CA, měla jakákoli větší práva - může běžet i v chrootu.

Já spíš spatřuji implementační problémy ohledně konfigurace webserveru. Lze používat různé softwary (i když nejpoužívanější na Linuxu jsou s převahou dva), různé způsoby konfigurace (hlavně pro virtual hosts) atd. S tímhle se popasovat, to opravdu nebude legrace. Leda by to plug&play jen pro default konfiguraci na Debianu a všechny ostatní případy už by znamenaly ručně konfigurovat nebo dávat utilitě parametry, případně obojí.
Tomáš Crhonek Re: Re: Re: Let's Encrypt: cesta k šifrování všech webů
Tomáš Crhonek 20. 11. 2014, 15:40:56
Odpovědět  Odkaz 
"Já spíš spatřuji implementační problémy ohledně konfigurace webserveru."

Souhlas, jen v hlavě jsem si spočítal kolik různých způsobů konfigurace vhostů spravuji a napočítal jsem 6. Pouze pro Apache.

Aby ta utilitka fungovala dostatečně automaticky (což je asi podmínka, pokud to má být pro adminy ze "široké veřejnosti", pro normálního admina nemůže být ssl překážkou), tak by musela umět parsrovat konfiguraci několika nejpoužívanějších webserverů a vyrovnat se z hromadou různých možných stavů. A to už je opravdu ořech.

Parsery se samozřejmě dají dostat přímo z oněch webserverů (je to opensource), ale i tak.

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz

Lukáš Jelínek

Lukáš Jelínek

Dlouholetý člen autorského týmu LinuxEXPRESu a OpenOffice.cz. Vystudoval FEL ČVUT v oboru Výpočetní technika. Žije v Kutné Hoře, podniká v oblasti IT a zároveň pracuje v týmu projektu Turris. Ve volném čase rád fotografuje, natáčí a stříhá video, občas se věnuje powerkitingu a na prahu čtyřicítky začal hrát tenis.


  • Distribuce: Debian, Kubuntu, Linux Mint
  • Grafické prostředí: KDE

| proč linux | blog



Public Relations

Bezpečné zálohování a spolehlivá obnova dat jsou odpovědí na všudypřítomnou hrozbu ransomwaru

VeeamUž to tak vypadá, že ransomware ze světa nezmizí, a organizace se tomu musí přizpůsobit, aby dokázaly tuto hrozbu přežít a zajistit odolnost svého podnikání vůči jejím dopadům. Na ransom­ware se musíme přestat dívat jako na náhodnou událost, ale vnímat ji jako stále přítomnou hrozbu, kdy už není otázka, zda a kdy, ale jak často nás zasáhne.

Pokračování ...



Public Relations

Jak se chránit před zranitelnostmi? MSP službou!

ZebraPočet softwarových zranitelností neustále roste – zatímco v roce 2021 bylo dle informací katalogu CVE zjištěno celkem 20 171 zranitelností, vloni došlo k dalšímu nárůstu na rekordních 25 277 případů. Navíc také roste jejich závažnost, a i v roce 2022 se zvýšil počet tzv. kritických zranitelností. Mezi nimi například proslulý Log4J.

Pokračování ...



Public Relations

Průkopnická automatizovaná obrana pohyblivých cílů

SophosS tím, jak se prostředí kybernetických hrozeb stává stále složitějším, bezpečnostní týmy čelí rapidnímu nárůstu počtu hrozeb. Mnoho organizací se potýká s vysokým počtem výstrah a falešně pozitivních hlášení, což vede k neustálému úsilí o jejich vyřešení a zbytečnému zatěžování zdrojů a snižování účinnosti zabezpečení.

Pokračování ...