Let's Encrypt je certifikační autorita, která vydává certifikát standardu X.509. Jedná se o automatizovanou službu, která na základě jednoduchého ověření poskytne zdarma žadateli certifikát, který lze uplatnit pro zabezpečení stránky a přenos prostřednictvím protokolu HTTPS (a stejně tak i pro další typy komunikace využívající TLS).
Let's Encrypt sdružuje celou řadu firem, vůdčími jsou Mozilla Foundation, Univerzita v Michiganu a nadace Electronic Frontier. Služba byla spuštěna 12. dubna 2016.
Na tento den padlo 55. výročí letu prvního kosmonauta světa a 35. výročí prvního letu raketoplánu. Zřejmě je příliš odvážné předpokládat, že toto datum nebylo zvoleno náhodou, leč je to krásná shoda. 12. dubna tak došlo k revoluci nejen v kosmonautice, a to dvakrát, ale i v oblasti internetu a přenosu dat.
Proč šifrovat
Důvodů k zabezpečení webové stránky šifrovaným protokolem je celá řada a Tomáš Hála je připomněl na loňské konferenci Linux Days. Tak například, pokud se uživatel připojuje na nezabezpečený web přes Wi-Fi, je možné odposlechnout přihlašovací údaje.
Tomáš Hála při své přednášce na konferenci Internet a Technologie 16
Zároveň je možné do takové stránky například právě při připojení přes Wi-Fi implantovat zákeřný kód, reklamu apod. Naopak zabezpečenou stránku (pokud využívá HSTS) je velmi obtížné vypnout, vyřadit z provozu, jak se o to snažila ruská administrativa v případě určitých hesel na Wikipedii. Šifrovaný web zkrátka přináší lepší zabezpečení jak pro majitele stránky, tak i čtenáře.
Jak šifrovat
V současné době není šifrování webových stránek zdaleka takový problém jako v minulosti. Tomáš Hála připomíná, že Active24 přijalo doktrínu, že bude certifikát vydávat nejen na požádání, ale automaticky. To se týká nových uživatelů, ale i těch stávajících, kteří již používají self-signed certifikát dodaný Active24. U těch dochází k náhradě za certifikát Let's Encrypt. Tato služba není zpoplatněna.
Podle T. Hály bude počet vydaných certifikátů dosahovat výše desítek tisíc. Active24 dělá maximum pro to, aby uživatel certifikát získal, ale bez záruky. Firma hodlá certifikáty rovněž obnovovat. Jako klient pro komunikaci s autoritou se nepoužívá oficiální klient od autority Let's Encrypt, ale acme.sh, který je podle T. Hály méně „brutální“, méně náročný.
Tato „hračka“ umožňuje odposlouchávat a měnit přenášená nešifrovaná data (zdroj: prezentace Tomáše Hály)
Rozhovor s Danielem Dubravcem
K tématu nasazení Let's Encrypt jsme hovořili také s Danielem Dubravcem (rozhovor zprostředkoval pan Sárközi), jenž řešil nasazení Let's Encrypt po technické stránce ve firmě WEDOS.
Jak se Wedos díval na Let's Encrypt ze začátku a jak teď?
Většina lidí u Wedos jsou fanoušci nových technologií, takže jsme vše pečlivě sledovali.
Velice nám také vyhovuje, že nám lidé nebudou posílat své klíče nešifrovanými emaily a vše se bude generovat na serverech. Z pohledu zvýšení bezpečnosti je to velké plus.
Jak složitá byla jeho implementace z pohledu firmy Wedos na začátku?
Problém u implementace spočíval nejvíce v nedostatku času. Technici i vývojáři jsou u nás stále zcela vytíženi a proto hned, jak se ukázala volná chvilka, byl Let's Encrypt nasazen. Samozřejmě probíhalo rozsáhlé testování.
Na jaké problémy jste při implementaci narazili, jaké s ním řešíte právě teď?
Od začátku se potýkáme především s problémy, kdy zákazníci často neznají technické základy k této technologii a vidí jen https:// zadarmo. Bohužel si pak nechávají podepisovat i každou testovací doménu, nasazují https:// na rozdělané nezabezpečené weby a kolikrát i narazí na limit přímo od vývojářů Let's Encrypt, kdy je maximum 100 podepsaných domén na jednom webhostingu.
Není to ale jediný limit, na který jsme narazili. Nicméně to jsou spíše unikátní případy. Dá se říct, že momentálně jedinou nevýhodou je zvýšená zátěž procesorů u webserverů, které mají nyní spoustu šifrování navíc. S tím jsme však počítali.
Probíhalo u vás nějaké speciální školení spojení s Lets Encrypt, kolik lidí se jej zúčastnilo?
Detailní informace dostali kolegové na zákaznické podpoře přes interní komunikaci, ale jak jsem zmiňoval výše, tak většina techniků tuto technologii sleduje již od bety a nějaké speciální školení tedy nebylo nutné. Navíc má Let's Encrypt vše velmi pěkně popsáno na svém oficiálním webu.
Setkali jste se už s nějakým zneužitím?
Ač nad námi „visí“ děsivá představa phishingových webů se SSL certifikátem, zatím jsme se setkali se zneužitím pouze v případě napadených open source CMS (WordPress, Joomla). V tomto případě dojde k napadení nejčastěji skrze neaktualizovanou nebo kradenou komponentu, kde útočník následně na webu „schová“ phishingovou stránku a spamem rozesílá odkazy na zakoupené spamové databáze.
Podobné napadení není nic nového, ale nyní pokud měl ten web SSL certifikát, tak to vypadá jako bezpečný web a tito „rybáři“ poté mají větší šanci na úspěch.
Přečtěte si komentář Lukáše Jelínka na téma „Let's Encrypt a ochrana proti phishingu“.
Děkujeme za rozhovor.
Video z přednášky Tomáše Hály
