Let’s Encrypt 計(jì)劃在2018年1月推出免費(fèi)通配HTTPS證書,讓W(xué)eb安全更簡單,開銷更低廉。
Let’s Encrypt 是成立于2014年的公益數(shù)字證書認(rèn)證機(jī)構(gòu)(CA),旨在強(qiáng)化并加速在線安全,一直以來都通過自動(dòng)化的過程頒發(fā)免費(fèi) X.509 (TLS/SSL) 證書,讓網(wǎng)站可通過加密HTTPS而非未受保護(hù)的HTTP協(xié)議訪問。
自成立以來,Let’s Encrypt 已讓極不安全的Web變得沒那么危險(xiǎn)了。
在博客文章中,喬西·奧斯,作為合作伙伴運(yùn)營 Let’s Encrypt 的互聯(lián)網(wǎng)安全研究小組(ISRG)執(zhí)行理事,稱該CA通過其免費(fèi)自動(dòng)化域驗(yàn)證(DV)認(rèn)證API,保護(hù)了4700萬域名的安全。
2015年12月 Let’s Encrypt 的服務(wù)上線以來,Web頁面載入加密率從40%上升到了58%,對(duì)Web安全作出了巨大貢獻(xiàn)。
Let’s Encrypt 在加速HTTPS采納上成績斐然,但其他組織也有所貢獻(xiàn)。比如,亞馬遜也為AWS客戶提供免費(fèi)證書。
從改變Web安全形態(tài)的意義上講,Let’s Encrypt 的側(cè)面影響也是很有價(jià)值的。在 Let’s Encrypt 之前,HTTPS難以部署,開銷昂貴。如今,再?zèng)]有借口不采用HTTPS。
Let’s Encrypt 提供 DV SSL 證書,而不是需要CA驗(yàn)證申請(qǐng)公司的公司驗(yàn)證(OV)或擴(kuò)展驗(yàn)證(EV)證書。
我們大規(guī)模運(yùn)營,而只要涉及任何形式的人工檢查,就不可能規(guī)模化。
DV證書覆蓋某個(gè)特定Web域名(example.com),僅此而已。通配DV證書覆蓋域名及其下子域名(*.example.com),例如 api.example.com 或 bad.example.com。
域名及子域名使用單一證書及加密密鑰組合,相對(duì)每個(gè)具體域名都有各自證書,在管理上要方便很多。但通配證書也不是每個(gè)場景都適用的。
對(duì)于集中托管的域名,通配證書非常有用;多個(gè)不同地方托管子域名,通配域名就是個(gè)錯(cuò)誤選擇了。
在多個(gè)位置保障私鑰安全,必然比只需在一個(gè)地方維護(hù)其安全要困難,風(fēng)險(xiǎn)更大。
通配證書應(yīng)能使 Let’s Encrypt 的服務(wù)對(duì)管理多個(gè)子域名的大公司更具吸引力。而免費(fèi)的事實(shí)也將有所幫助——有些公司以每年數(shù)百美元的價(jià)格售賣通配證書。
這些高價(jià)售賣通配證書的公司會(huì)怎么看待 Let’s Encrypt 還不好說。
Let’s Encrypt 的證書每隔90天就要更新一次,但更新過程可通過腳本或服務(wù)自動(dòng)化進(jìn)行。
通配證書的到來,與 Let’s Encrypt ACME v2 協(xié)議的推出同步。ACME v2 將成為互聯(lián)網(wǎng)工程任務(wù)組(IETF)標(biāo)準(zhǔn),以便其他CA可與 Let’s Encrypt 系統(tǒng)更便捷地互操作。
京公網(wǎng)安備 11010502049343號(hào)