Hamısı üçün HTTPS: Şifrələmə verilmiş bir milyard sertifikata çatır


Böyütmək / Şifrələnmiş rabitə dörd qısa ildə "yalnız vacibdirsə" -dən "inanılmaz dərəcədə tənbəl olmursunuzsa" -dan getdi və Şifrələmə bunun üçün çoxlu sayda kreditə layiqdir.

Gəlin Şifrələyək, İnternet Təhlükəsizliyi Araşdırma Qrupunun pulsuz sertifikat imzalama səlahiyyəti, ilk sertifikatını dörd il əvvəl biraz əvvəl vermişdi. Bu gün milyardıncısını çıxardı.

ISRG-nin Gəlin Şifrələməyimiz üçün məqsədi İnterneti 100% şifrələmə sürətinə çatdırmaqdır. 2015-ci ildə Şifrələməyə başladıqda, fikir olduqca yayılmışdı – o zaman bütün Veb trafikinin üçdə birindən çoxu şifrələnmişdi, qalanları düz mətn HTTP idi. HTTPS qəbulunda əhəmiyyətli maneələr var idi – bir şey üçün bu pula başa gəldi. Ancaq daha əhəmiyyətlisi, bunun hər ikisi məhdud təchizatı olan xeyli vaxt və insan zəhməti tələb edir.

Gəlin Şifrələyərək xidmətlərini pulsuz təklif edərək pul maneəsini həll edək. Daha da əhəmiyyətlisi, onlara daxil olmaq üçün sabit bir protokol yaratmaqla Elektron Sərhəd Fonduna sertifikat əldə etmə, quraşdırmaq, istifadə etmək üçün veb-serverləri konfiqurasiya edən avtomatlaşdıran açıq mənbə, pulsuz istifadə vasitəsi olan Certbot qurmaq və təmin etmək imkanı verdi. , və avtomatik olaraq yeniləyir.

HTTPS-ni ənənəvi şəkildə idarə etmək

2015-ci ildə şifrələməyə başladıqda, domen təsdiqləyən sertifikatlar bir qədər dollara sahib ola bilərdi9/ il – ancaq onları qorumaq üçün vaxt və səy fərqli bir hekayə idi. Satın alınması lazım olan bir sertifikat, bir neçə formada doldurulmaq üçün lazım olan məlumatlar, sonra ucuz domen təsdiqləyən sertifikatlar verilməmişdən əvvəl saatlarla gözləmək olar.

Sertifikat verildikdən sonra onu (və açarını və istənilən zəncirvari sertifikatı) yükləmək lazımdır, sonra serverə köçürüldü, sonra doğru qovluğa yerləşdirildi və nəhayət Veb server SSL üçün yenidən quruldu.

Geniş istifadə edilən Apache Veb serverində, konfiqurasiyanın SSL hissəsi – tək! – Bu kimi bir şey görünə bilər:

     SSLEngine on
     SSLCertificateFile         /etc/apache2/certs/sitename.crt
     SSLCertificateChainFile    /etc/apache2/certs/sitename.ca-bundle
     SSLCertificateKeyFile      /etc/apache2/certs/sitename.key
     SSLCACertificatePath       /etc/ssl/certs/

     # intermediate configuration, tweak to your needs
     SSLProtocol all -SSLv3
     SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
     SSLHonorCipherOrder on
     SSLCompression off

     # OCSP Stapling, only in httpd 2.3.3 and later
     #SSLUseStapling on
     #SSLStaplingResponderTimeout 5
     #SSLStaplingReturnResponderErrors off

     # HSTS (mod_headers is required) (15768000 seconds = 6 months)
     Header always set Strict-Transport-Security "max-age=15768000"

Bu konfiqurasiyanın heç biri sizin üçün edilməyib. Gerçək dünyada bir konfiqurasiya dəsti təklif etdiyini iddia edən ilk saytdan kəsmə və yapışdırmaq yolu ilə yüklənmə konfiqurasiyasının çox qorxulu bir miqdarı edildi.

Təcrübəsiz bir administrator kopyalamaq və yapışdırmaq üçün bir şey axtararkən səhv etdiyini bilsə və ya daha təcrübəli bir idarəçi səliqəli olarsa və standartların dəyişdirildiyini görməzsə – pis protokol və şifrə dəlilləri şəklindəki etibarsızlıq asanlıqla sürünə bilər.

Hər üç ildən bir, hər şeyi yenidən etməlisiniz – bəlkə yalnız sertifikat və açarın yerini dəyişmək, bəlkə də yeni aralıq zəncirvari sertifikatları dəyişdirmək və ya əlavə etmək.

Bütün şey səmimi bir qarışıqlıq idi (və belədir) və nadir hallarda tətbiq olunan prosedur rəvan getməsə asanlıqla iş vaxtı yarana bilər.

Gəlin Şifrələyək və Certbot ilə HTTPS-ni idarə edirik

Həm xərcləri aradan qaldırmaqda, həm də sabit, etibarlı bir protokol qurmaqda, Gəlin Şifrələyərək avtomatlaşdırmada əhəmiyyətli maneələri də aradan qaldırdıq. EFF, sertifikatı əldə etməyi, quraşdırmağı və yeniləməyi idarə etməyin ən populyar üsullarından biri olan Certbot ilə son istifadəçilərə və idarəçilərə o avtomatlaşdırma təmin etməyə başladı.

Bir Ubuntu 18.04 və ya daha yeni bir sistemdə, EFF-nin Certbot və müxtəlif plaginləri əsas sistem depolarında mövcuddur. İki mərmi əmrləri ilə quraşdırıla bilər – biri, bir az əymək və nöqtəli vergül istifadə etmək istəsəniz:

    [email protected]:~# apt update ; apt install -y python3-certbot-apache
  • Apache brauzerini istifadə edirsinizsə, certbot –apache-i işə salın. Nginx? certbot –nginx. Bu belədir.

    Cim Salter

  • Bütün konfiqurasiya edilmiş veb saytlar bir menyuda görünəcək və Yeniləmə üçün Encrypt ilə istifadə etmək üçün hər hansı birini və ya hamısını seçə bilərsiniz.

    Cim Salter

  • Veb-serverlərimdə HTTP-ni HTTPS-ə yönləndirmək üçün əl yazma konfiqurasiyasından istifadə edirdim. Çətin deyildi, amma yorucu idi və həmişə belə olmadı. Certbot sizin üçün bunu edəcək.

    Cim Salter

  • Bu belədir. Bitirdiniz və saytlarınız indi HTTPS üçün düzgün qurulmuşdur.

    Cim Salter

Bununla, tək komanda Certbotu aktivləşdirir. Sadə bir mətn menyusu sistemi ilə əlaqəli olduğunuzda, hər hansı bir saytınız üçün sertifikatlar alır, Veb serverinizi sizin üçün (düzgün!) Konfiqurasiya edir və sertifikatları aşağı olduqda avtomatik olaraq yeniləmək üçün bir cron işi əlavə edir. İstifadə müddəti 30 gün əvvəl. Bütün şey beş dəqiqə altında yaxşı davam edir.

Əlavə bir əlaqə olaraq, Certbot hətta HTTP sorğularını sizin üçün HTTPS-ə yönləndirmək üçün avtomatik olaraq veb serverinizi konfiqurasiya etməyi təklif edir, lakin tələb etmir. Sadəcə bu asandır.

Məxfilik və təhlükəsizliyin miqyasında təmin edilməsi

2017-ci ilin iyun ayında Gəlin Şifrələyin iki yaşı vardı və on milyonuncu sertifikatına xidmət etdi. Veb 40% HTTPS-dən ABŞ-da 64% HTTPS-ə keçdi və Gəlin Şifrələyin 46 milyon veb saytına xidmət göstərdi.

Bu gün Gəlin Şifrələyin milyardıncı sertifikatı verildi, 192 milyon veb sayt xidmət göstərir və ABŞ-ın İnternet hissəsi 91 faiz şifrələnmişdir. Layihə bunu 2017-ci ildə etdiyi təxminən eyni heyət və büdcə üzərində idarə edir – 11 işçi heyətindən və bir dollara keçdi2.61 milyon büdcədən sonra 13 tam işçi heyəti və bir dollar3.35 milyon büdcə bu gün.

Bunun heç biri avtomatlaşdırma və açıq standartlara dair öhdəlik olmadan mümkün deyildir. EFF'nin Certbot'un şifrələmə şəhadətnamələrini yerləşdirməsini və yeniləməsini nə qədər asan etdiyini düşündük, ancaq bu töhfə yalnız Şifrələyin öz diqqətini açıq ACME protokolunu standartlaşdırmağa yönəltdiyinə görə mümkündür.

Sabit, bacarıqlı bir protokol qurmaq və yayımlamaqdan əlavə, İnternet Mühəndisliyi Task Force (IETF) ilə təqdim etmək və təsdiqləmək üçün RFC 8555 ilə nəticələnən işi Şifrələyək.

Nəticələr

Artıq veb saytlardan istifadəçilərə etibarlı, sona doğru şifrələnmiş (və təsdiqlənmiş!) Rabitə təmin etməmək üçün çox bəhanə yoxdur. Gəlin Şifrələyək, onun ACME protokolu və istifadəsini asanlaşdırmaq üçün meydana çıxan müştərilərin legionu da daxil olmaqla Certbot ilə məhdudlaşmayan HTTPS konfiqurasiyasını və yerləşdirilməsini asanlaşdırdı.