Już od 2014 roku bezpieczne szyfrowanie stron internetowych jest dla Google czynnikiem rankingowym. Niezbędna certyfikacja domeny jest kosztowna, a przede wszystkim czasochłonna. Dzięki Let’s Encrypt istnieje teraz urząd certyfikacji, który wydaje certyfikaty dla zaszyfrowanych stron internetowych w większości automatycznie, a co najważniejsze bezpłatnie.
Let’s Encrypt to inicjatywa mająca na celu pełne szyfrowanie całej sieci WWW. Usługa jest oferowana przez organizację non-profit Internet Security Research Group (ISRP), która jest wspierana przez sponsorów, takich jak Mozilla, Akamai, Cisco, Google Chrome, Facebook, IdenTrust lub organizacja pozarządowa Electronic Frontier Foundation (EFF).
CO ROBI HTTPS?
Mówiąc metaforycznie, do DNA internetu należy zdolność wszystkich („podłączonych”) urządzeń do komunikowania się ze sobą. Urządzenia (komputer, smartfon itp.) wykorzystują do tego wyznaczone protokoły. Sieć WWW opiera się na protokole HyperText Transfer Protocol, w skrócie HTTP. Witryny internetowe są w zasadzie dokumentami hipertekstowymi, które są dostarczane z serwera internetowego do zainteresowanego użytkownika (przez przeglądarkę).
Jeśli witryna nie jest zaszyfrowana, osoby trzecie mogą przeglądać i manipulować danymi wymienianymi między użytkownikiem końcowym a serwerem sieciowym w postaci zwykłego tekstu, uzyskując dostęp do sieci LAN lub WLAN – co jest możliwe na różne sposoby.
W protokole HTTPS wymieniane dokumenty są szyfrowane, dzięki czemu tylko komputer (a dokładniej przeglądarka) użytkownika oraz serwer WWW, na którym znajduje się strona internetowa, może odczytać te informacje. Do tego szyfrowania wykorzystywane są protokoły TLS, znane również pod poprzednią nazwą SSL (secure sockets layer). Samo szyfrowanie TLS/SSL nie wystarcza jednak do bezpiecznej wymiany danych, ponieważ teoretycznie dostęp do nich mogą mieć również osoby nieupoważnione.
W związku z tym wymagana jest trzecia, niezależna instytucja, potwierdzająca faktyczne zaufanie do wyświetlanej strony internetowej. (Staje się to jasne, gdy wyobrażamy sobie możliwe nadużycie: na przykład replikowana strona może udawać faktyczną witrynę banku lub sklepu XY w celu uzyskania poufnych danych). Ta niezależna instytucja to tzw. urząd certyfikacji (CA). Let’s Encrypt to dokładnie to: urząd certyfikacji, który nadaje domenom certyfikaty HTTPS (certyfikaty x.509).
Użytkownik zauważa szyfrowane połączenie po prostu przez wypisany tag HTTPS w wierszu adresu oraz symbol klucza podświetlony na zielono, który można kliknąć, a następnie podaje informacje o urzędzie certyfikacji.
JAK TESTUJE LET’S ENCRYPT, CZY DOMENA JEST BEZPIECZNA?
Właściciele witryn, którzy chcą uzyskać certyfikat HTTPS od Let’s Encrypt, muszą zarejestrować się w urzędzie certyfikacji na swoim serwerze i zażądać podpisanego certyfikatu dla domeny.
Let’s Encrypt następnie przydziela serwerowi WWW zadanie, które musi rozwiązać. Jeśli informacja zwrotna jest zgodna z Let’s Encrypt, postrzega to jako potwierdzenie, że serwer sieciowy faktycznie kontroluje domenę i zarządza nią. Domena jest weryfikowana, gdy tylko klucz prywatny serwera WWW zostanie utworzony z czynnikiem inicjującym (Nonce) urzędu certyfikacji i zostanie podpisany. Certyfikat ten można od teraz sprawdzać przy każdym wywołaniu połączenia HTTPS za pomocą podpisanego klucza Let’s Encrypt i identyfikować serwer WWW.
DLACZEGO CERTYFIKATY HTTPS FIRMY LET’S ENCRYPT SĄ OGRANICZONE CZASOWO?
Jak każdy inny certyfikat SSL/TLS, certyfikaty Let’s Encrypt są ograniczone czasowo. Tak samo jest z dostawcami komercyjnymi, ale u nich, w zależności od rodzaju certyfikatu, czas zwykle waha się od jednego do pięciu lat. Let’s Encrypt chciałby osiągnąć dwie rzeczy w tym skróconym okresie czasu:
- Aby szybciej walczyć z wszelkimi nadużyciami
- Zwiększenie nacisku na automatyzację procesu certyfikacji
W tej chwili certyfikat należy zainicjować ręcznie. Jak tylko wszystkie procesy uruchomią się automatycznie, termin ma zostać skrócony nawet do 30 dni. Odnowienie certyfikatu odbywa się wtedy oczywiście automatycznie.