Let's Encrypt

*Let's Encrypt*
Izveidots	2014. gada 18. novembrī
Dibinātājs	Electronic Frontier Foundation, Mozilla Foundation, Mičiganas Universitāte, Akamai Technologies, Cisco Systems
Tips	bezpeļņas organizācija
Mērķis	bezmaksas TLS sertifikātu izsniegšana
Galvenā mītne	Sanfrancisko, Kalifornija, ASV
Darbības reģions	visā pasaulē
Pakalpojumi	X.509 sertifikācijas iestāde
Jumta organizācija	Internet Security Research Group
Budžets (2019)	3,6 miljoni ASV dolāru
Personāls (2023)	27
Tīmekļa vietne	letsencrypt.org

Let's Encrypt ir bezpeļņas sertifikācijas iestāde, ko pārvalda Internet Security Research Group (ISRG) un kas bez maksas izsniedz X.509 sertifikātus transporta slāņa drošības (TLS) šifrēšanai. Tā ir pasaulē lielākā sertifikācijas iestāde,^[1] ko izmanto vairāk nekā 700 miljoni tīmekļa vietņu^[2] ar mērķi nodrošināt visu vietņu drošību, izmantojot HTTPS protokolu.

Galvenie sponsori ir Electronic Frontier Foundation (EFF), Mozilla Foundation, OVHcloud, Cisco Systems, Facebook, Google Chrome, Internet Society, AWS, nginx un Geitsu fonds.^[3]

Pārskats

Organizācijas misija ir radīt drošāku un privātumu respektējošu globālo tīmekli, veicinot HTTPS plašu ieviešanu.^[4] Let's Encrypt sertifikāti ir derīgi 90 dienas, un šajā laikā tos var atjaunot jebkurā brīdī.^[5] Atjaunošanu veic automatizēts process, kas aizstāj manuālu sertifikātu izveidi, validāciju, parakstīšanu, instalēšanu un atjaunošanu.^[6]

Novēršot maksājumus, tīmekļa serveru konfigurēšanu, e-pasta pārvaldību un sertifikātu atjaunošanas uzdevumus, tiek ievērojami samazināta TLS šifrēšanas iestatīšanas un uzturēšanas sarežģītība.^[7] Linux tīmekļa serverī pietiek izpildīt tikai divas komandas, lai iestatītu HTTPS šifrēšanu un iegūtu sertifikātus.^[8]

Pakalpojums izsniedz tikai domēna validācijas sertifikātus, jo tos var pilnībā automatizēt. Organizācijas validācijas un paplašinātās validācijas sertifikāti prasa cilvēka iesaisti, tāpēc Let's Encrypt tos nepiedāvā.^[9] Atbalstu ACME v2 protokolam un aizstājējzīmju sertifikātiem pievienoja 2018. gada martā.

Vēsture

Let's Encrypt projektu 2012. gadā uzsāka divi Mozilla darbinieki — Džošs Āss (Josh Aas) un Ēriks Reskola (Eric Rescorla) – kopā ar Pīteru Ekersli (Peter Eckersley) no Electronic Frontier Foundation un Aleksu Haldermanu (J. Alex Halderman) no Mičiganas Universitātes. Internet Security Research Group – uzņēmumu, kas stāv aiz Let's Encrypt — reģistrēja 2013. gada maijā.^[10]

Let's Encrypt publiski izziņoja 2014. gada 18. novembrī.^[11] 2015. gada 28. janvārī ACME protokolu oficiāli iesniedza IETF standartizēšanai.^[12] 2015. gada 9. aprīlī ISRG un Linux Foundation paziņoja par sadarbību.^[13]

2015. gada 14. septembrī Let's Encrypt izsniedza savu pirmo sertifikātu domēnam helloworld.letsencrypt.org. Tajā pašā dienā ISRG iesniedza saknes programmas pieteikumus Mozilla, Microsoft, Google un Apple.^[14] 2015. gada 19. oktobrī starpposma sertifikātus papildus parakstīja sertifikācijas iestāde IdenTrust, kas jau bija plaši uzticama, tādējādi visus Let's Encrypt izsniegtus sertifikātus atzina visas galvenās pārlūkprogrammas.^[15]

Publiskā beta versija darbojās no 2015. gada 3. decembra līdz 2016. gada 12. aprīlim. Pakalpojumu oficiāli laida klajā 2016. gada 12. aprīlī.^[16]

2020. gada 27. februārī Let's Encrypt paziņoja, ka izsniegusi miljardu sertifikātu.^[17] 2020. gada martā Let's Encrypt saņēma Free Software Foundation ikgadējo balvu par projektiem ar sociālu nozīmi.^[18]

2022. gada aprīlī Let's Encrypt saņēma Levčina balvu par "fundamentāliem uzlabojumiem sertifikātu ekosistēmā, nodrošinot bezmaksas sertifikātus visiem".^[19]

Līdz 2022. gada septembrim Let's Encrypt ziņoja par 234 miljoniem aktīvu (nederīguma termiņu nepārsniegušu) sertifikātu.^[2]

Tehnoloģija

Uzticamības ķēde

ISRG Root X1 (RSA)

2015. gada jūnijā Let's Encrypt paziņoja par sava pirmā RSA saknes sertifikāta ISRG Root X1 ģenerēšanu.^[20] Saknes sertifikātu izmantoja divu starpposma sertifikātu parakstīšanai, kurus arī papildus parakstīja sertifikācijas iestāde IdenTrust.^[15]^[21]

ISRG Root X2 (ECDSA)

2020. gada 3. septembrī Let's Encrypt izlaida sešus jaunus sertifikātus: vienu jaunu ECDSA sakni ar nosaukumu "ISRG Root X2", četrus starpposma sertifikātus un vienu papildus parakstu. Jauno ISRG Root X2 papildus parakstīja ar ISRG Root X1 — Let's Encrypt pašu saknes sertifikātu.^[22]

ACME protokols

Izaicinājuma-atbildes protokolu, ko izmanto automatizētai reģistrācijai sertifikācijas iestādē, sauc par ACME (Automatic Certificate Management Environment). Tas var veikt vaicājumus tīmekļa serveriem vai DNS serveriem, kurus kontrolē domēns, kam jāizsniedz sertifikāts. Pamatojoties uz to, vai iegūtās atbildes atbilst gaidītajam, tiek nodrošināta reģistrētāja kontrole pār domēnu (domēna validācija).

Validācijas procesus izpilda vairākas reizes pa atsevišķiem tīkla ceļiem. DNS ierakstu pārbaudi veic no vairākām ģeogrāfiski dažādām vietām, lai apgrūtinātu DNS viltošanas uzbrukumus.

ACME mijiedarbība balstās uz JSON dokumentu apmaiņu, izmantojot HTTPS savienojumus.^[23] IETF izstrādātā specifikācija ir ierosinātais standarts RFC 8555.^[24]

Programmatūras ieviešana

Sertifikācijas iestāde sastāv no programmatūras ar nosaukumu Boulder, kas uzrakstīta Go programmēšanas valodā un realizē ACME protokola servera pusi. To publicē kā brīvo programmatūru ar pirmkodu saskaņā ar Mozilla Public License 2. versijas nosacījumiem.^[25]

Python programmēšanas valodā rakstīta sertifikātu pārvaldības programma Certbot (agrāk letsencrypt) tiek instalēta klienta pusē (reģistrētāja tīmekļa serverī). To izmanto sertifikāta pasūtīšanai, domēna validācijas procesa veikšanai, sertifikāta instalēšanai, HTTPS šifrēšanas konfigurēšanai HTTP serverī un vēlākai regulārai sertifikāta atjaunošanai.^[8]^[26]

Let's Encrypt izsniedz sertifikātus, kas derīgi 90 dienas. Norādītais iemesls ir tas, ka šie sertifikāti "ierobežo kaitējumu no atslēgas kompromitēšanas un nepareizas izsniegšanas" un veicina automatizāciju.^[27]

Atsauces

↑ «For A Better Internet - ISRG 2020 Annual Report». Internet Security Research Group. 2020-11-17. Skatīts: 2021-05-11.
1 2 «Let's Encrypt Stats». Let's Encrypt. Skatīts: 2025-11-24.
↑ «Current Sponsors and Funders». Let's Encrypt.
↑ «Let's Encrypt - FAQ». Let's Encrypt. Skatīts: 2021-05-11.
↑ «Why ninety-day lifetimes for certificates?». Let's Encrypt. 2015-11-09. Skatīts: 2021-09-05.
↑ Kerner, Sean Michael. «Let's Encrypt Effort Aims to Improve Internet Security». eWeek, 2014-11-18.
↑ Tung, Liam. «EFF, Mozilla to launch free one-click website encryption». ZDNet, 2014-11-19.
1 2 Scherschel, Fabian. «Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf» (vācu). heise.de, 2014-11-19.
↑ Vaughan-Nichols, Steven J. «Securing the web once and for all: The Let's Encrypt Project». ZDNet, 2015-04-09.
↑ Aas, Josh. «Let's Encrypt», 2014-11-18.
↑ Tsidulko, Joseph. «Let's Encrypt, A Free And Automated Certificate Authority, Comes Out Of Stealth Mode». CRN, 2014-11-18.
↑ History for draft-barnes-acme
↑ Kerner, Sean Michael. «Let's Encrypt Becomes Linux Foundation Collaborative Project». eWeek, 2015-04-09.
↑ Mimoso, Michael. «First Let's Encrypt Free Certificate Goes Live». Threatpost, 2015-09-15.
1 2 Aas, Josh. «Let's Encrypt is Trusted». Let's Encrypt, 2015-10-19.
↑ Aas, Josh. «Leaving Beta, New Sponsors». Let's Encrypt, 2016-04-12.
↑ «Let's Encrypt Has Issued a Billion Certificates». Let's Encrypt. 2020-02-27. Skatīts: 2021-04-03.
↑ Let's Encrypt, Jim Meyering, and Clarissa Lima Borges receive FSF's 2019 Free Software Awards Free Software Foundation, 2020
↑ «The Levchin Prize for Real-World Cryptography». Real World Crypto Symposium. Skatīts: 2024-04-09.
↑ Aas, Josh. «Let's Encrypt Root and Intermediate Certificates». Let's Encrypt, 2015-06-04.
↑ Kaps, Reiko. «SSL-Zertifizierungsstelle Lets Encrypt will Mitte September 2015 öffnen» (vācu). heise.de, 2015-06-17.
↑ Gable, Aaron. «Let's Encrypt's New Root and Intermediate Certificates». Let's Encrypt, 2020-09-17.
↑ Brook, Chris. «EFF, Others Plan to Make Encrypting the Web Easier in 2015». Threatpost, 2014-11-18.
↑ «Automatic Certificate Management Environment (ACME)». 2019-03.
↑ «boulder/LICENSE.txt at master». GitHub.
↑ Sanders, James. «Let's Encrypt initiative to provide free encryption certificates». TechRepublic, 2014-11-25.
↑ Aas, Josh. «Why ninety-day lifetimes for certificates?». Let's Encrypt, 2015-11-09.

Ārējās saites

Vikikrātuvē par šo tēmu ir pieejami multivides faili. Skatīt: Let's Encrypt.
letsencrypt.org — oficiālā tīmekļa vietne
certbot.eff.org — Certbot
Let's Encrypt vietnē GitHub

[2020-report-1] «For A Better Internet - ISRG 2020 Annual Report». Internet Security Research Group. 2020-11-17. Skatīts: 2021-05-11.

[le-stats-2] 1 2 «Let's Encrypt Stats». Let's Encrypt. Skatīts: 2025-11-24.

[Lets-Encrypt-Sponsors-3] «Current Sponsors and Funders». Let's Encrypt.

[le-faq-4] «Let's Encrypt - FAQ». Let's Encrypt. Skatīts: 2021-05-11.

[5] «Why ninety-day lifetimes for certificates?». Let's Encrypt. 2015-11-09. Skatīts: 2021-09-05.

[Lets-Encrypt-Aims-to-Improve-Security-6] Kerner, Sean Michael. «Let's Encrypt Effort Aims to Improve Internet Security». eWeek, 2014-11-18.

[ZDNet20141109-7] Tung, Liam. «EFF, Mozilla to launch free one-click website encryption». ZDNet, 2014-11-19.

[heise20141119-8] 1 2 Scherschel, Fabian. «Let's Encrypt: Mozilla und die EFF mischen den CA-Markt auf» (vācu). heise.de, 2014-11-19.

[ZDNet20150409-9] Vaughan-Nichols, Steven J. «Securing the web once and for all: The Let's Encrypt Project». ZDNet, 2015-04-09.

[founding-10] Aas, Josh. «Let's Encrypt», 2014-11-18.

[out-of-stealth-11] Tsidulko, Joseph. «Let's Encrypt, A Free And Automated Certificate Authority, Comes Out Of Stealth Mode». CRN, 2014-11-18.

[acme-draft-history-12] History for draft-barnes-acme

[ISRG-LF-13] Kerner, Sean Michael. «Let's Encrypt Becomes Linux Foundation Collaborative Project». eWeek, 2015-04-09.

[firstcert-14] Mimoso, Michael. «First Let's Encrypt Free Certificate Goes Live». Threatpost, 2015-09-15.

[identrusted-15] 1 2 Aas, Josh. «Let's Encrypt is Trusted». Let's Encrypt, 2015-10-19.

[launch-16] Aas, Josh. «Leaving Beta, New Sponsors». Let's Encrypt, 2016-04-12.

[17] «Let's Encrypt Has Issued a Billion Certificates». Let's Encrypt. 2020-02-27. Skatīts: 2021-04-03.

[18] Let's Encrypt, Jim Meyering, and Clarissa Lima Borges receive FSF's 2019 Free Software Awards Free Software Foundation, 2020

[19] «The Levchin Prize for Real-World Cryptography». Real World Crypto Symposium. Skatīts: 2024-04-09.

[certsgenerated-20] Aas, Josh. «Let's Encrypt Root and Intermediate Certificates». Let's Encrypt, 2015-06-04.

[heise20150617-21] Kaps, Reiko. «SSL-Zertifizierungsstelle Lets Encrypt will Mitte September 2015 öffnen» (vācu). heise.de, 2015-06-17.

[ecdsaannouncement-22] Gable, Aaron. «Let's Encrypt's New Root and Intermediate Certificates». Let's Encrypt, 2020-09-17.

[Threatpost-23] Brook, Chris. «EFF, Others Plan to Make Encrypting the Web Easier in 2015». Threatpost, 2014-11-18.

[RFC_8555-24] «Automatic Certificate Management Environment (ACME)». 2019-03.

[license-boulder-25] «boulder/LICENSE.txt at master». GitHub.

[techrepublic-26] Sanders, James. «Let's Encrypt initiative to provide free encryption certificates». TechRepublic, 2014-11-25.

[27] Aas, Josh. «Why ninety-day lifetimes for certificates?». Let's Encrypt, 2015-11-09.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]