Некоммерческий удостоверяющий центр Let’s Encrypt сформировал корневой сертификат

6 июня 2015 года

Развиваемый под эгидой организации Linux Foundation проект Let’s Encrypt, нацеленный на создание простого, общедоступного и контролируемого сообществом удостоверяющего центра, объявил о создании корневого и промежуточного сертификатов, а также сертификатов, которые будут использоваться для формирования цифровых подписей для других сертификатов. Запуск сервиса запланирован на середину 2015 года, более точно дата старта будет объявлена в течение нескольких недель. В настоящее время открытые ключи для корневого (Архивная копия от 10 июня 2015 на Wayback Machine) и промежуточных (Архивная копия от 10 июня 2015 на Wayback Machine) сертификатов (Архивная копия от 10 июня 2015 на Wayback Machine) уже доступны для загрузки.

Для подписи пользовательских сертификатов будут применяться промежуточные сертификаты, которые кроме подписи корневым сертификатом Let's Encrypt также перекрёстно подписаны организацией IdenTrust. С одной стороны такой подход позволяет обезопасить корневой сертификат и напрямую его не использовать, разместив в offline-хранилище. С другой стороны, перекрёстное утверждение даст возможность принимать сертификаты Let's Encrypt в уже выпущенных браузерах до того, как информация о корневом сертификате Let's Encrypt будет добавлена браузерами в список заслуживающих доверия сертификатов. В настоящее время сгенерированы только RSA-ключи, в дальнейшем планируется создание и ключей ECDSA. Для хранения сертификатов задействован аппаратный HSM-модуль, отвечающий всем требованиям по защите ключей в удостоверяющих центрах.

Проект Let's Encrypt основан при участии Electronic Frontier Foundation (EFF), Mozilla, Cisco, Akamai, Automattic, Identrust и Мичиганского университета, которые объединили свои усилия в области повышения безопасности Сети через повсеместное внедрение HTTPS. Для достижения данной цели планируется снять барьеры при получении SSL-сертификатов, сделав процедуру бесплатной, предельно простой и лишённой бюрократических проволочек при проверке владельца. Все операции по генерации и отзыву сертификатов будут проводиться публично и будут доступны для независимого инспектирования сообществом.

Для прохождения верификации перед получением сертификата достаточно (Архивная копия от 17 января 2016 на Wayback Machine) будет продемонстрировать контроль над доменом через создание специальной записи на DNS-сервере или путём размещения файла с ключом на web-сервере. Все операции будут автоматизированы, на web-сервере можно будет запустить специальный скрипт, который сам выполнит обратную проверку и на выходе предоставит готовые сертификаты и инструкцию по их подключению. Операции по получению, настройке и обновлению сертификатов будут проводиться с использованием протокола ACME, которому планируется придать статус открытого стандарта (RFC). Для тестирования доступны инструментарий для серверов на базе Apache, компоненты удостоверяющего центра, а также клиентские и серверные модули для Node.js