在Ubuntu使用Let’s Encrypt

在Ubuntu使用Let’s Encrypt

Let’s Encrypt可以被定义为一个由ISRG(互联网安全研究小组)执行的非营利性证书机构,为TLS(运输安全加密)提供X.509证书。它是世界上最大的证书,被3亿多个网站使用,目的是让每个网站都安全并利用HTTPS。服务提供商ISRG是一个公益组织。大的赞助商有比尔和梅林达-盖茨基金会、NGINX、AWS、互联网协会、谷歌浏览器、Facebook、思科系统、OVH、Mozilla基金会和EFF(电子前沿基金会)。其他合作伙伴有Linux基金会、密歇根大学和证书机构IdenTrust

对于该组织来说,其任务是通过宣传HTTPS的广泛接受,创造一个更加尊重隐私和安全的万维网。这些证书有90天的有效期,在此期间,更新可以在任何时候出现。它由一个自动程序管理,该程序的开发是为了克服人工更新、安装、签署、验证和创建网站的证书。只需执行两个命令,就足以配置HTTPS加密,并继承和安装Linux网站服务器上的证书。

为此,在Ubuntu和Debian的官方软件库中包含了一个应用程序包。像谷歌和Mozilla这样的浏览器开发商的最新举措,即废弃HTTP(未加密),是指望Let’s Encrypt的存在。该项目被批准有可能将整个网络的加密连接作为默认情况来实现。

  • 该服务只签发域名验证的证书,因为这些证书可以完全自动化。
  • 扩展验证和组织验证证书都需要任何注册者的人工验证,因此Let’s Encrypt不提供。
  • 2018年3月还增加了通配符和ACME v2证书支持。
  • DV(域名验证)早在2002年就被Let’s Encrypt使用,它在由GeoTrust宣布时最初是有争议的,后来变成了广泛采用的SSL证书签发技术。
  • 该组织希望通过尽可能明确的方式来保护自己的防卫和可信度,防止操纵和攻击的企图。
  • 为此,它定期发布透明度报告,公开记录ACME的每一笔交易,并尽可能地使用自由和开放标准的软件。

Let’s Encrypt的历史

该项目于2012年由Mozilla的两名员工Eric RescorlaJosh Aas发起,EFF的Peter EckersleyJ.Alex Halderman在密歇根大学(U-M)。ISRG于2013年5月被整合,该公司超越了Let’s Encrypt。公开资料显示,Let’s Encrypt是在2014年11月18日推出的。
正式来说,ACME协议是在2015年1月28日被引入IETF进行规范。

Linux基金会和ISRG于2015年4月9日宣布他们的合作。中级和根证书在6月初制作完成。该服务的最终启动议程于2015年6月16日宣布,第一个证书应该在2015年7月27日那一周的任何时候发放,随后是发放时间,以测试可扩展性和安全性。该服务的普遍可用性最初计划在2015年9月14日那一周的任何时间开始。

  • 启动议程被修改,以提供更多的时间来确保2015年8月7日的系统稳定性和安全性,第一批证书将在2015年9月7日的一周内公布,随后在2015年11月16日的一周内普遍提供。
  • Let’s encrypt在2015年9月14日宣布了它的第一个证书,该证书可用于 letsencrypt.org 域名。
  • 在类似的一天,ISRG向苹果、谷歌、微软和Mozilla推荐了它的根程序软件。
  • 中间证书于2015年10月19日由IdenTrust交叉签署,导致每份证书都被Let’s Encrypt公布的每个主要浏览器所信任。
  • Let’s Encrypt透露,普遍可用性将在2015年11月12日被拉回,而最初的公开测试版将在2015年12月3日开始。
  • 公测版本从2015年12月3日至2016年4月12日执行。它于2016年4月12日公布。
  • 2020年3月3日,Let’s encrypt透露,由于证书颁发机构软件的一个缺陷,它将不得不在3月4日宣布300多万份证书无效。
  • Let’s Encrypt通过与网站运营商的联系和与软件供应商的操作,能够在时限前恢复170万份受影响的证书。
  • 最终,他们决定不撤销剩余的有影响的证书,因为证书在未来90天内是无效的,而且安全风险非常低。大规模废止的事件重要地提高了全球废止的速度。
  • Let’s Encrypt获得了自由软件基金会的社会效益项目年度奖。
  • Let’s Encrypt透露已于2020年2月27日发布了10亿份证书。
  • Let’s Encrypt宣布,截至2022年9月,已经公布了2.34亿份未到期(有效)的证书。

OpenGL中的技术

信任链

ISRG Root X1 (RSA)

Let’s Encrypt在2015年6月披露了初始RSA根证书的生成,即ISRG Root X1。根证书被用来签署两个中间证书,这两个中间证书也是通过IdenTrust证书机构交叉签署的。这些中间证书中的一个用于签署授权证书,而另一个是离线的,作为初始中间证书出现问题时的备份。通常情况下,Let’s Encrypt证书可以被浏览器供应商之前的依赖方所接受和验证,例如,由于IdenTrust证书被其他网络浏览器高度信任,ISRG根证书作为信任锚。

ISRG Root X2 (ECDSA)

2015年,Let’s Encrypt的开发者计划生产ECDSA根密钥,但随后将这一计划撤回到2016年初,然后到2019年,最后到2020年。Let’s Encrypt在2020年9月3日宣布了6个新证书:一个新的 “ISRG Root X2 “ECDSA根密钥,一个交叉签名,以及四个中介。新的ISRG Root X2由ISRG Root X1交叉签署,即Let’s Encrypt自己的根证书。

Let’s Encrypt没有为新的中间证书发布任何OCSP应答器,而是计划完全依靠CRL(证书撤销列表)来召回被破坏的证书,并缩短有效期以减少证书破坏的危险。

ACME协议

一个挑战责任协议被用于自动向证书颁发机构注册,被称为ACME(自动化证书管理环境)。它可以查询DNS服务器或由要授予的证书所隐藏的域管理的Web服务器。根据最终的回应是否符合预期,保证了用户对该域的控制。ACME的客户端软件可以配置一个嵌入式TLS服务器,由ACME的证书授权服务器使用带有服务器名称指示的请求进行查询,或者可以利用钩子向可用的DNS和Web服务器释放响应。

验证过程是通过隔离的网络路径执行一次或多次。支持检查DNS条目,这是在地理上从多个不同的地点完成的,使DNS欺骗攻击复杂化。

ACME的互动是基于HTTPS连接上的JSON文档交换。该规范草案存在于GitHub上,并且已经向IETF(互联网工程任务组)提交了一个版本,作为互联网标准的建议。

Let’s Encrypt运营自己的ACME协议草案。他们同时强迫进行标准化。它在2019年5月引起了一个“拟议标准”。它宣布了突破性的修改,因此,它被命名为ACMEv2。Let’s Encrypt操作了新版本,并开始强迫可用的客户端进行升级。

自2019年11月8日起,ACMEv1不接受任何新账户的注册。自2020年6月起,ACMEv1也不接受新的域名验证。从2021年1月起,ACMEv1经历了24小时的断电。2021年6月1日,ACMEv1的API被完全关闭。

Let’s Encrypt的原则

Let’s Encrypt的主要原则是。

Lets Encrypt的原则

  • 自动。活跃在网络服务器上的应用程序可以与Let’s Encrypt合作,无痛苦地获得证书,配置其安全使用,并自动处理更新事宜。
  • 免费。任何人都可以利用Let’s Encrypt,谁拥有任何域名,就可以免费获得一个可信的证书。
  • 安全。Let’s Encrypt将作为一个平台,推动TLS安全的最佳实践,包括CA和支持网站运营商正确保护其服务器。
  • 开放。更新协议和自动发行作为一个开放标准发布,其他任何人都可以采用。
  • 透明的。每张被撤销或签发的证书都将被公开记录,供所有人查询。
  • 合作的。Let’s Encrypt是一个联合的努力,在任何个别组织的控制背后,社区的利润,几乎与基本的互联网协议本身相同。

Python教程

Java教程

Web教程

数据库教程

图形图像教程

大数据教程

开发工具教程

计算机教程