Развиваемый под эгидой организации Linux Foundation проект Let’s Encrypt (https://letsencrypt.org/), нацеленный на создание простого, общедоступного и контролируемого сообществом удостоверяющего центра, объявил (https://letsencrypt.org/2015/06/04/isrg-ca-certs.html) о создании корневого и промежуточного (https://en.wikipedia.org/wiki/Intermediate_certificate_autho... сертификатов, а также сертификатов, которые будут использоваться для формирования цифровых подписей для других сертификатов. Запуск сервиса запланирован на середину 2015 года, более точно дата старта будет объявлена в течение нескольких недель. В настоящее время открытые ключи для корневого (https://letsencrypt.org/isrgrootx1.txt) и промежуточных (https://letsencrypt.org/letsencryptauthorityx1.txt) сертификатов (https://letsencrypt.org/letsencryptauthorityx2.txt) уже доступны для загрузки.
Для подписи пользовательских сертификатов будут применяться промежуточные сертификаты, которые кроме подписи корневым сертификатом Let's Encrypt также перекрёстно подписаны организацией IdenTrust. С одной стороны такой подход позволяет обезопасить корневой сертификат и напрямую его не использовать, разместив в offline-хранилище. С другой стороны, перекрёстное утверждение даст возможность принимать сертификаты Let's Encrypt в уже выпущенных браузерах до того, как информация о корневом сертификате Let's Encrypt будет добавлена браузерами в список заслуживающих доверия сертификатов. В настоящее время сгенерированы только RSA-ключи, в дальнейшем планируется создание и ключей ECDSA. Для хранения сертификатов задействован аппаратный HSM-модуль, отвечающий всем требованиям по защите ключей в удостоверяющих центрах.
<center><a href="https://letsencrypt.org/images/isrg-keys.png"><img src="https://www.opennet.ru/opennews/pics_base/0_1433569678.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border=0></a></center>
Проект Let's Encrypt основан при участии Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, Automattic, Identrust и Мичиганского университета, которые объединили свои усилия в области повышения безопасности Сети через повсеместное внедрение HTTPS. Для достижения данной цели планируется снять барьеры при получении SSL-сертификатов, сделав процедуру бесплатной, предельно простой (https://letsencrypt.org/howitworks/) и лишённой бюрократических проволочек при проверке владельца. Все операции по генерации и отзыву сертификатов будут проводиться публично и будут доступны для независимого инспектирования сообществом.
<center><a href="https://letsencrypt.org/images/howitworks_authorization.png&... src="https://www.opennet.ru/opennews/pics_base/0_1416327607.png" style="border-style: solid; border-color: #606060; border-width: 1px;max-width:100%;" title="" border="0"></a></center>
Для прохождения верификации перед получением сертификата достаточно (https://letsencrypt.org/howitworks/technology/) будет продемонстрировать контроль над доменом через создание специальной записи на DNS-сервере или путём размещения файла с ключом на web-сервере. Все операции будут автоматизированы, на web-сервере можно будет запустить специальный скрипт, который сам выполнит обратную проверку и на выходе предоставит готовые сертификаты и инструкцию по их подключению. Операции по получению, настройке и обновлению сертификатов будут проводиться с использованием протокола ACME (https://github.com/letsencrypt/acme-spec), которому планируется придать статус открытого стандарта (RFC). Для тестирования доступны инструментарий (https://github.com/letsencrypt/lets-encrypt-preview) для серверов на базе Apache, компоненты (https://github.com/letsencrypt/boulder) удостоверяющего центра, а также клиентские и серверные модули (https://github.com/letsencrypt/node-acme) для Node.js
URL: https://letsencrypt.org/2015/06/04/isrg-ca-certs.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=42379