Teraz, gdy coraz więcej hostingów na szczęście oferuje certyfikaty Let's Encrypt™, czyli darmowe SSL, czas przyjrzeć się bliżej inicjatywie stojącej za tym SSL dla każdego. Co dokładnie robi Let's Encrypt? Dlaczego certyfikaty są bezpłatne? Co już potrafi Let's Encrypt, a gdzie musi jeszcze nadrobić zaległości? Te i inne pytania omawiamy w tym artykule.
Szyfrowanie przesyłanych danych staje się coraz bardziej standardem w sieci. Na szczęście! Teraz, kiedy my również - około rok temu - zintegrowaliśmy Let's Encrypt, warto przyjrzeć się bliżej temu projektowi.
Let's Encrypt to stosunkowo młody urząd certyfikacji (beta wystartowała w 2015 roku) dla certyfikatów SSL - zwany również Certification Authority (CA). Inicjatywa ta stworzyła zautomatyzowany proces wydawania certyfikatów SSL. Pokazują one użytkownikom strony, że znajdują się na "prawdziwej" stronie internetowej, a ruch danych pomiędzy przeglądarką a serwerem jest szyfrowany.
Co to jest Let's Encrypt?
Kluczowe założenia Let's Encrypt to:
- Bezpłatnie: Każdy, kto posiada nazwę domeny, może korzystać z Let's Encrypt. Ponadto certyfikaty Let's Encrypt są bezpłatne.
- Automatycznie: Oprogramowanie działa na serwerze internetowym i może uzyskiwać certyfikaty z Let's Encrypt, być zabezpieczone do użytku i automatycznie odnawiać certyfikaty.
- Bezpieczeństwo: Let's Encrypt zapewnia platformę dla zaawansowanych zabezpieczeń TLS, zarówno po stronie CA, jak i firmy operacyjnej, aby pomóc im zabezpieczyć serwer.
- Przejrzystość: Wszystkie wystawione i odwołane certyfikaty Let's Encrypt są publicznie dostępne dla każdego.
- Otwarte: Protokół automatycznego wydawania i odnawiania jest opublikowany jako otwarty do adaptacji przez innych.
- Współpraca: Podobnie jak same protokoły internetowe, na których opiera się Let's Encrypt, jest to wspólne działanie, które przynosi korzyści całej społeczności.
Czym właściwie jest Let's Encrypt?
Tak, certyfikaty Let's Encrypt są naprawdę bezpłatne
Po pierwsze, najbardziej palące pytanie: czy Let's Encrypt jest naprawdę darmowe? Krótko mówiąc, to długa historia: Tak, ani certyfikaty, ani wymagane programy nie kosztują. Dla wielu osób pytanie to nie jest jednak oparte na motywach czysto ekonomicznych, ale raczej na pytaniu, dlaczego Let's Encrypt jest darmowy. Dlaczego więc produkt, za który inne organizacje wcześniej płaciły, nagle jest oferowany bezpłatnie?
Status non-profit i sponsorzy sprawiają, że Let's Encrypt jest bezpłatny
Let's Encrypt jest projektem non-profit i prawie nie musi opłacać pracowników. Ponadto, większość procesów jest zautomatyzowana. Eliminuje to duże obciążenie finansowe. Wymagany sprzęt jest również w dużej mierze pokrywany dzięki współpracy z Linux Foundation. Wszystkie pozostałe koszty pokrywane są przez sponsorów i darowizny.
Każdy może wpłacić dowolną kwotę na rzecz organizacji za pośrednictwem serwisu Paypal. Dla większych sum i organizacji stworzono system sponsoringu. Najdroższy pakiet kosztuje 350 000 dolarów, mniejsze firmy mogą liczyć na kwoty od 10 000 do 50 000 dolarów — w zależności od liczby zatrudnionych osób.
Jakie są cele Let's Encrypt?
Teraz nie tylko względy ekonomiczne odgrywają rolę w tym kontekście, ale także kwestia motywów organizatorów. Z jednej strony, istnieje altruistyczny argument: HTTPS powinien stać się standardem w Internecie, a wszyscy operatorzy stron internetowych na całym świecie powinni mieć możliwość łatwego i bezpłatnego dostosowania do niego swoich stron internetowych.
Nadszedł czas, aby szyfrowana komunikacja stała się domyślną w sieci, a Let's Encrypt ma zamiar to zrobić. - Let's Encrypt
Drugą ważną motywacją jest chęć stworzenia równości w sieci. W końcu obecność certyfikatu SSL stała się już kryterium rankingowym dla Google. A jeśli niektórych stron nie stać na certyfikaty lub nie mają do nich dostępu, to wyklucza to te strony - a tym samym niektóre osoby i ich projekty WordPress - z uczestnictwa w Internecie.
Dostarczamy certyfikaty bezpłatnie, ponieważ koszty wykluczają ludzi. Nasze certyfikaty są dostępne w każdym kraju na świecie, ponieważ bezpieczna sieć jest dla wszystkich. - Let's Encrypt
Idea sprawiedliwości i równości wydaje się więc być centralnym elementem działań Let's Encrypt.
Let's Encrypt jest wspierany przez wielu liderów branży
Oprócz oficjalnych sponsorów, wśród których znajdują się tak znane firmy jak Mozilla, Cisco, Chrome i Facebook, wśród wspierających projekt Let's Encrypt są również firmy z sektora WordPress . Na przykład Automattic lub wpbeginner. Te firmy i organizacje w szczególności doskonale pasują do Let's Encrypt ze względu na ich WordPress -specific view of the Internet and their motivation.
Automattic, nawiasem mówiąc, jest srebrnym sponsorem, co oznacza roczny koszt w wysokości 50.000 dolarów. Automattic wyróżnił się przede wszystkim domyślną integracją certyfikatów Let's Encrypt dla stron hostowanych na WordPress .com hostowane strony.
Let's Encrypt to projekt, struktury organizacyjne są znacznie większe
Samo Let's Encrypt jest jedynie usługą certyfikacyjną, tj. urzędem wydającym certyfikaty. Ogólny konstrukt organizacyjny jest jednak znacznie większy. Organizacją macierzystą Let's Encrypt jest Internet Security Research Group (ISRG) z siedzibą w San Francisco. W skład zarządu tej organizacji non-profit wchodzą naukowcy, przedstawiciele firm oraz reprezentanci fundacji i innych organizacji non-profit.
Co najmniej dwie inne instytucje są również ważne w związku z Let's Encrypt. Po pierwsze, Electronic Frontier Foundation (EFF), która od maja 2016 roku opiekuje się Certbotem, oprogramowaniem do tworzenia certyfikatów Let's Encrypt. Drugim jest Linux Foundation, która zapewnia infrastrukturę techniczną dla Let's Encrypt poprzez swój program Collaborative Projects.
W sumie kilka zespołów z organizacji non-profit jest odpowiedzialnych za Let's Encrypt i odpowiednią infrastrukturę.
Największą siłą Let's Encrypt jest łatwość użycia
Trzy największe zalety Let's Encrypt to z pewnością fakt, że certyfikaty są darmowe, że Let's Encrypt i wymagane oprogramowanie są stale rozwijane i ulepszane oraz że konfiguracja certyfikatów jest stosunkowo łatwa.
Omówiliśmy już aspekt darmowych certyfikatów. Oprócz tego Let's Encrypt jest stale rozwijany. Wreszcie, certyfikaty są również dość łatwe do skonfigurowania dla każdego, kto posiada odpowiednie umiejętności i prawa dostępu. Nawet nauka niezbędnych kroków nie musi być trudna. Wystarczy, że użyjesz Certbota i dodasz niezbędne moduły do swojego serwera WWW. Certyfikaty mogą być następnie zakładane i odnawiane.
Największą słabością Let's Encrypt jest kompatybilność
Obecnie zakres certyfikatów jest bardzo łatwy do opanowania przy użyciu tylko jednego certyfikatu. Nie zmieni się to w przyszłości, ponieważ rozszerzone walidacje wymagane dla certyfikatów OV lub EV nie mogą być zautomatyzowane, a ponadto są kosztowne. Jednak to właśnie automatyzacja sprawia, że certyfikaty Let's Encrypt są darmowe. Rozszerzone walidacje są więc obecnie trudne do pogodzenia z podstawową ideą Let's Encrypt, mimo że istniały początkowe pomysły, jak walidację można by zlecić społeczności, na przykład. Według naszej wiedzy, plany wprowadzenia rozszerzonej walidacji nie były jednak jeszcze kontynuowane.
O ile integracja certyfikatów nie jest trudna dla profesjonalistów, o tyle dla nieprofesjonalistów, czy też osób z ograniczonym dostępem do serwera WWW, może okazać się, że dostosowanie konfiguracji serwera do Certbota, zamówienie certyfikatów, ich integracja i regularne odnawianie zajmuje niepotrzebnie dużo czasu. W szczególności, okres ważności certyfikatu Let's Encrypt SSL jest znacznie krótszy niż "normalnego" certyfikatu. Certyfikaty Let's Encrypt muszą być odnawiane co 90 dni. Z kolei klasyczny certyfikat SSL jest ważny przez 12, 24 lub nawet 36 miesięcy i zazwyczaj nie wymaga w tym czasie obsługi technicznej.
W przypadku problemów, jesteś zdany wyłącznie na siebie i nie możesz korzystać z żadnych usług wsparcia ze strony Let's Encrypt. Istnieje jednak obszerne forum wsparcia społeczności. W początkowym okresie problemem była również kompatybilność darmowych certyfikatów SSL z różnymi przeglądarkami. W międzyczasie jednak, wszystkie główne przeglądarki mogą obsługiwać certyfikaty. Problemy występują właściwie tylko z przestarzałym oprogramowaniem.
Jeśli więc nie posiadasz odpowiednich umiejętności, samodzielna integracja certyfikatu, w tym testowanie, rozwiązywanie problemów i naprawa, może być znacznie droższa niż zakup certyfikatu SSL. Jednak i to jest obecnie bardziej problemem teoretycznym. Ponieważ wielu hosterów albo wspiera prostą instalację certyfikatów 1 kliknięciem, albo oferuje darmowe podstawowe certyfikaty z innych urzędów certyfikacji.
Wniosek: Let's Encrypt ma szlachetny cel, który należy wspierać
Jak twierdzi Let's Encrypt, chce uczynić Internet bezpieczniejszym i szybszym, szczególnie dla użytkowników, którzy wcześniej nie mieli dostępu do certyfikatów SSL. Dla profesjonalnych operatorów stron internetowych, Let's Encrypt ma przede wszystkim przewagę w zakresie kosztów, zaufania i SEO, nawet jeśli tylko w przypadku walidacji domen. Wątpliwe jest, czy w przewidywalnej przyszłości oferowane będą również rozszerzone walidacje - zakładając, że problem automatyzacji nie zostanie rozwiązany.
Jednak korzystanie z certyfikatów nie tylko zapewnia darmowe szyfrowanie - i dla jednej lub drugiej strony głębsze zrozumienie bezpieczeństwa w Internecie - ale także pośrednio wspiera szczytny cel Let's Encrypt. Zintegrowaliśmy Let's Encrypt głównie dlatego, że wierzymy w korzyści płynące z tego projektu. Bo choć certyfikaty są darmowe, to ich używanie nie jest darmowe, ale miejmy nadzieję, że jest to wkład w nowy standard bezpieczeństwa w sieci.
Twoje pytania dotyczące Let's Encrypt
Zdjęcie dodane: Unsplash
Hallo Johann,
zu Performanz und SEO sind mir keine Unterschiede bekannt. Ansonsten gibt es durchaus Stufen der Authentifizierung, siehe etwa https://www.digicert.com/de/difference-between-dv-ov-and-ev-ssl-certificates