Vamos a cifrar

Vamos a cifrar
vamos a cifrar la ilustración
Creación 18 de noviembre de 2014
Fundadores Electronic Frontier Foundation , Mozilla Foundation y University of Michigan
Eslogan Cifre toda la web
La oficina central San Francisco Estados Unidos
 
Actividad Criptografía
Productos X.509
Sociedad matriz Grupo de investigación de seguridad de Internet ( en )
Eficaz 8 (2016)
Sitio web letsencrypt.org
lencr.org
Presupuesto 3.600.000 dólares estadounidenses (2019)

Let's Encrypt (abreviado LE ) es una autoridad de certificación lanzada el3 de diciembre de 2015(Versión pública beta). Esta autoridad proporciona certificados X.509 gratuitos para el protocolo criptográfico TLS utilizando un proceso automatizado para que suceda el complejo proceso actual que implica la creación manual, validación, firma, instalación de certificados y renovación de los sitios web de seguridad. Enseptiembre de 2016, se han emitido más de 10 millones de certificados.

En febrero de 2017, Let's encrypt fue utilizado por el 13,70% del total de dominios franceses registrados.

En diciembre de 2019, Let's encrypt proporciona el 54,67% de los certificados TLS.

Presentación

El proyecto tiene como objetivo generalizar el uso de conexiones seguras en Internet. Al eliminar la necesidad de pago, configuración del servidor web, correos electrónicos de validación y administración de caducidad de certificados, el proyecto está diseñado para reducir significativamente la complejidad de configurar y mantener el cifrado TLS. En un servidor GNU / Linux , se supone que ejecutar solo dos comandos es suficiente para configurar el cifrado HTTPS, la adquisición y la instalación de certificados, y esto en unas pocas decenas de segundos.

Para este propósito, hay un paquete disponible directamente desde los repositorios de Debian. Sin embargo, el paquete está disponible en GitHub .

Partes interesadas

Let's Encrypt es un servicio proporcionado por Internet Security Research Group (ISRG). Los patrocinadores principales son Electronic Frontier Foundation (EFF), Mozilla Foundation , Akamai , Cisco Systems , PlanetHoster y OVHcloud . Otros socios, como IdenTrust CA, University of Michigan (UM), Stanford Law School, Linux Foundation , Free Company , así como Stephen Kent de Raytheon / BBN Technologies y Alex Polvi de CoreOS también están involucrados en el proyecto.

Tecnología

Let's Encrypt posee un certificado raíz RSA almacenado en un módulo de seguridad de hardware que no se usa directamente. Este certificado está destinado a ser reemplazado posteriormente por un certificado ECDSA que se utilizará para firmar dos certificados intermedios firmados por la autoridad certificadora IdenTrust  (in) . Uno de ellos servirá para firmar los certificados emitidos, el otro como certificado de respaldo en caso de algún problema con el primero. Los certificados Let's Encrypt normalmente se pueden validar y aceptar de forma predeterminada, ya que el certificado IdenTrust estará preinstalado en los navegadores de Internet más populares. A largo plazo, se espera que los certificados Let's Encrypt estén preinstalados directamente en las aplicaciones.

El protocolo de desafío-respuesta que se utiliza para automatizar los registros de esta nueva autoridad de certificación se denomina Entorno de gestión de certificados automatizado ( ACME ). Implica varias solicitudes al servidor web en el dominio cubierto por el certificado. Dependiendo de las respuestas, se asegura el control de los registrantes sobre el dominio (validación del dominio). Para lograr esto, el cliente de software ACME implementa un servidor TLS especial en el servidor del sistema que recibe solicitudes especiales del servidor de la autoridad certificadora ACME utilizando la extensión del protocolo TLS “Indicación de nombre de servidor”. Este proceso solo se acepta para el primer certificado emitido para un dominio (Trust On First Use, TOFU). Después de eso, se utiliza una forma alternativa de validación a través de un certificado existente. Por lo tanto, si se pierde el control sobre un certificado existente, se debe adquirir un certificado a través de un tercero para poder obtener otro certificado Let's Encrypt.

Los procesos de validación se realizan varias veces en rutas de red independientes. La verificación de las entradas de DNS se realiza desde múltiples puntos geográficos para hacer que los ataques de suplantación de DNS sean más difíciles de realizar.

Las interacciones ACME se basan en el intercambio de documentos JSON a través de conexiones HTTPS. Hay un borrador de la especificación disponible en GitHub y se ha enviado una versión al Grupo de trabajo de ingeniería de Internet como una propuesta para un estándar de Internet.

Implementación de software

La autoridad de certificación consiste en un software llamado Boulder, escrito en Go , que implementa la parte del servidor del protocolo ACME. Este software gratuito se publica bajo la licencia pública de Mozilla versión 2. También proporciona una interfaz de programación RESTful accesible a través de un canal cifrado TLS.

Un programa de gestión de certificados en Python y bajo licencia llamado Apache se certbot​instala en el cliente (el servidor web de un registrante). Este programa solicita el certificado, realiza el proceso de validación del dominio, instala el certificado, configura el cifrado HTTPS en el servidor HTTP y luego renueva el certificado. Después de la instalación, ejecutar un solo comando es suficiente para instalar un certificado válido. También se pueden habilitar opciones adicionales, como el engrapado OCSP o HTTP Strict Transport Security . La configuración automática inicialmente solo se realiza con Apache y Nginx .

Historia y eventos

Las raíces de este proyecto se encuentran en un proyecto llevado a cabo por Electronic Frontier Foundation en cooperación con la Universidad de Michigan y un proyecto independiente de Mozilla que se combinó en Let's Encrypt. En 2014, se fundó la organización matriz, el ISRG. El lanzamiento de Let's Encrypt se anunció el18 de noviembre de 2014.

La 28 de de enero de, el año 2015, el protocolo ACME se presentó oficialmente al IETF para su estandarización. La9 de abril de, el año 2015, el ISRG y la Fundación Linux anunciaron su colaboración. Los certificados raíz e intermedios se generaron a principios de junio.

La Junio ​​16, se anunció la fecha final de lanzamiento del servicio. El primer certificado se esperaba en la semana de27 de julio de 2015, seguido de un período de distribución parcial para garantizar la seguridad y elasticidad del servicio. La disponibilidad general del servicio se esperaba alrededor de la semana de14 de septiembre de 2015, si todo salió según lo planeado. La7 de agosto de 2015, el calendario de lanzamiento se modificó para permitir más tiempo para garantizar la seguridad y estabilidad del sistema, posponiendo el primer certificado distribuido a la semana de 7 de septiembre de 2015.

La 14 de septiembre de 2015, Let's Encrypt distribuye su primer certificado para el dominio helloworld.letsencrypt.org . El mismo día, el ISRG envía su certificado raíz a Mozilla , Microsoft , Google y Apple . La19 de octubre de 2015, se realizó una firma cruzada con IdenTrust y los certificados ahora son reconocidos y validados por todos los navegadores web. En la semana de16 de noviembre de 2015, el servicio se ha puesto a disposición del público.

Referencias

(fr) Este artículo está tomado parcial o totalmente del artículo de Wikipedia en inglés titulado Let's Encrypt  " ( consulte la lista de autores ) .
  1. "  https://letsencrypt.org/2016/09/20/what-it-costs-to-run-lets-encrypt.html  "
  2. "  https://letsencrypt.org/2018/12/31/looking-forward-to-2019.html  "
  3. (en) Sean Michael Kerner, cifremos los objetivos del esfuerzo para mejorar la seguridad de Internet  " en eweek.com ,18 de noviembre de 2014(consultado el 26 de septiembre de 2015 )
  4. "  Hemos emitido más de 10 millones de certificados.  » , En Twitter ,9 de septiembre de 2016(consultado el 11 de septiembre de 2016 )
  5. "  Estadísticas de la Internet francesa. udomo.fr  ” , en www.udomo.fr (consultado el 12 de febrero de 2017 )
  6. (en) "  Censys  " en Censys (consultado el 11 de diciembre de 2019 )
  7. (de) Fabian A. Scherschel, Vamos a cifrar  : Mozilla und die EFF mischen den CA-Markt auf  " , en heise.de ,19 de noviembre de 2014(consultado el 26 de septiembre de 2015 ) .
  8. Debian Site Manager, [email protected] , “  Debian - Detalles del paquete Certbot en Stretch  ” , en packages.debian.org (consultado el 27 de octubre de 2017 )
  9. "  Getting Started - Let's Encrypt - Free SSL / TLS Certificates  " , en letsencrypt.org (consultado el 5 de junio de 2016 )
  10. "  Patrocinadores actuales - Let's Encrypt - Certificados SSL / TLS gratuitos  " , en letsencrypt.org (consultado el 28 de julio de 2016 )
  11. (in) EFF, Mozilla respalda una nueva autoridad de certificación que ofrecerá certificados SSL gratuitos  : el nuevo sistema de CA encripte y su objetivo es fomentar la adopción generalizada de SSL / TLS en Internet  " en arnnet.com.au (consultado el 26 de septiembre de 2015 ) .
  12. (en) Jakub Warmuz "  letsencrypt / Boulder: LICENSE.txt  " en github.com ,29 de enero de 2015(consultado el 26 de septiembre de 2015 ) .
  13. (en) Peter Eckersley, cifremos Enters Private Beta  " en el sitio web de Electronic Frontier Foundation ,20 de octubre de 2015(consultado el 22 de octubre de 2015 ) .
  14. Vincent Hermann, "  Certificados SSL gratuitos: Encriptemos progresando bien, Beta pública el próximo mes  " , en nextinpact.com ,22 de octubre de 2015(consultado el 22 de octubre de 2015 ) .

Apéndices

Artículos relacionados

enlaces externos